KR102422267B1 - 통제평가관리시스템 - Google Patents

통제평가관리시스템 Download PDF

Info

Publication number
KR102422267B1
KR102422267B1 KR1020200111827A KR20200111827A KR102422267B1 KR 102422267 B1 KR102422267 B1 KR 102422267B1 KR 1020200111827 A KR1020200111827 A KR 1020200111827A KR 20200111827 A KR20200111827 A KR 20200111827A KR 102422267 B1 KR102422267 B1 KR 102422267B1
Authority
KR
South Korea
Prior art keywords
information
items
control
evaluation
action
Prior art date
Application number
KR1020200111827A
Other languages
English (en)
Other versions
KR20220030076A (ko
Inventor
박명훈
서동규
Original Assignee
(주)시큐리티캠프
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)시큐리티캠프 filed Critical (주)시큐리티캠프
Priority to KR1020200111827A priority Critical patent/KR102422267B1/ko
Priority to PCT/KR2020/015031 priority patent/WO2022050486A1/ko
Priority to US18/043,720 priority patent/US20230289884A1/en
Publication of KR20220030076A publication Critical patent/KR20220030076A/ko
Application granted granted Critical
Publication of KR102422267B1 publication Critical patent/KR102422267B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/06Asset management; Financial planning or analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06316Sequencing of tasks or work
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0633Workflow analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/18Legal services

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Development Economics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Tourism & Hospitality (AREA)
  • Operations Research (AREA)
  • Game Theory and Decision Science (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Technology Law (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

기업의 기초정보 및 자산정보와 관련된 컴플라이언스(Compliance)와 법에서 정하는 통제항목들을 세분화하여 적어도 하나 이상의 액션항목으로 저장하는 저장부;
평가대상기업의 일반정보, 보안직무 및 조직도를 포함하는 기초정보 및 상기 평가대상기업이 보유한 정보자산 및 개인정보자산을 포함하는 자산정보를 미리 정해진 템플릿을 이용하여 입력받는 정보입력부;
상기 기초정보 및 상기 자산정보를 기반으로 상기 액션항목 중에서 평가항목을 추출하는 처리부;
상기 평가항목에 따른 통제평가 결과를 입력받는 결과입력부; 및
상기 통제평가 결과를 기반으로 상기 처리부가 도출한 통제항목 결함사항을 출력하는 출력부;
를 포함하고,
상기 처리부는 상기 액션항목마다 식별코드를 부여하여 상기 액션항목을 식별하고 상기 액션항목 중에서 내용이 동일 또는 유사한 액션항목이 있는 경우 내용이 동일 또는 유사한 액션항목끼리 식별코드를 매핑하고 그 결과인 매핑결과를 상기 저장부에 저장하는 통제평가관리시스템.

Description

통제평가관리시스템{Compliance assessment management system}
본 발명은 통제평가관리시스템에 관한 것으로, 보다 상세하게는 다양한 국내외 컴플라이언스(Compliance)에 효율적으로 대응할 수 있도록 기업의 사업영역에 적합한 통제항목을 제시하고 이에 대한 준수여부를 쉽게 점검할 수 있는 통제평가관리시스템에 관한 것이다.
컴플라이언스(Compliance)란 기업의 임직원이 제반 법규를 준수하도록 사전 또는 상시적으로 통제, 감독하는 일련의 활동을 의미한다. 이러한 컴플라이언스는 법규의 준수뿐만 아니라 기업의 윤리경영 등 기업의 내부규정, 지침 준수 및 청렴성까지 포함하는 넓은 의미로 볼 수 있다. 컴플라이언스의 적용범위는 기업의 활동과 관련되는 모든 법규를 대상으로 한다. 예를 들어, 주식회사의 경우 상법, 부정경쟁방지법, 개인정보보호법, 정보통신망법이 될 수 있다. 컴플라이언스는 이러한 국내 법률뿐만 아니라 ISO(International Organization for Standardization)에서 제시하는 여러 경영시스템인증도 포함할 수 있다.
최근 들어 기업의 비즈니스가 다양해지고 기업이 취급해야 할 정보가 폭발적으로 증가함에 따라 컴플라이언스의 중요성이 날로 커지고 있다. 또한, 기업이 온라인으로 고객과 교류하게 되는 상황이 빈번하게 발생함에 따라 기업이 고객에 관한 정보를 취급해야 하고 이러한 고객의 개인정보는 민감한 사항에 해당하여 기업에 대한 내부통제가 더욱더 필요하게 되었다.
하지만, 이렇게 기업의 내부통제 필요성이 커짐에도 불구하고 기업이 컴플라이언스에 대한 인식이 부족하고, 전문가들에 의해서만 이루어지고 있는 것이 현실이다. 이는 기업이 어떤 사업을 영위하려고 할 때 그 사업과 관련되는 컴플라이언스들이 다양하며, 이렇게 다양한 컴플라이언스에서 제시하는 수많은 통제항목들을 기업이 스스로 찾아내어 그 준수여부를 점검하는 것이 어렵기 때문이다.
미국 공개특허 제2008-0015913호 (공개일자: 2008. 01.17, 발명의 명칭: Global compliance management system)
본 발명이 해결하려는 과제는, 다양한 국내외 컴플라이언스에 대응하여 기업이 준수해야할 통제항목들을 기업의 사업영역에 적합한 통제항목들로 선별하여 제시하는 통제평가관리시스템을 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 컴플라이언스에 대한 감사를 수행하는 감사인의 전문적인 지식 없이도 기업이 준수해야할 통제항목들을 선별하여 제시하는 통제평가관리시스템을 제공하는 것이다.
본 발명이 해결하려는 또 다른 과제는, 기업이 준수해야할 통제항목들을 잘 준수하고 있는지 여부를 시각적으로 확인하고 이를 보완할 수 있는 통제평가관리시스템을 제공하는 것이다.
상기 과제를 해결하기 위한 본 발명의 통제평가관리시스템은 기업의 기초정보 및 자산정보와 관련된 컴플라이언스(Compliance)와 법에서 정하는 통제항목들을 세분화하여 적어도 하나 이상의 액션항목으로 저장하는 저장부, 평가대상기업의 일반정보, 보안직무 및 조직도를 포함하는 기초정보 및 상기 평가대상기업이 보유한 정보자산 및 개인정보자산을 포함하는 자산정보를 미리 정해진 템플릿을 이용하여 입력받는 정보입력부, 상기 기초정보 및 상기 자산정보를 기반으로 상기 액션항목 중에서 평가항목을 추출하는 처리부, 상기 평가항목에 따른 통제평가 결과를 입력받는 결과입력부, 및 상기 통제평가 결과를 기반으로 상기 처리부가 도출한 통제항목 결함사항을 출력하는 출력부, 를 포함하고, 상기 처리부는 상기 액션항목마다 식별코드를 부여하여 상기 액션항목을 식별하고 상기 액션항목 중에서 내용이 동일 또는 유사한 액션항목이 있는 경우 내용이 동일 또는 유사한 액션항목끼리 식별코드를 매핑하고 그 결과인 매핑결과를 상기 저장부에 저장하는 통제평가관리시스템이다.
본 발명의 일 실시예에 따른 통제평가관리시스템은, 상기 처리부는 상기 정보입력부를 통해 입력받은 인증 취득여부에 따라 상기 평가항목을 추출하는 통제평가관리시스템일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리시스템은, 상기 처리부는 상기 매핑결과를 기반으로 내용이 동일 또는 유사한 액션항목 중에서 대표항목을 선택하여 평가항목을 추출하는 통제평가관리시스템일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리시스템은, 상기 저장부는 상기 컴플라이언스에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 인증통제항목DB 및 상기 법에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 법률통제항목DB를 포함하는 통제평가관리시스템일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리시스템은, 상기 처리부는 국내 또는 국외의 법률에 관한 정보를 제공하는 서버로부터 일정한 주기로 법률정보를 수신하고, 상기 법률정보가 변경, 추가 또는 삭제된 경우에는 상기 법률정보와 대응되는 상기 액션항목을 갱신하여 상기 저장부에 저장하는 통제평가관리시스템일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리시스템은, 상기 정보입력부는 상기 액션항목에 대응하는 운영증적을 입력받는 통제평가관리시스템일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리시스템은, 상기 정보입력부는 DoA(Degree of assurance)를 입력받고, 상기 처리부는 상기 DoA에 기반하여 상기 정보자산 또는 상기 개인정보자산에 대한 자산별보호대책을 추출하고, 상기 출력부는 상기 자산별보호대책을 출력하는 통제평가관리시스템일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 저장부가 기업의 기초정보 및 자산정보와 관련된 컴플라이언스(Compliance)와 법에서 정하는 통제항목들을 세분화하여 적어도 하나 이상의 액션항목으로 저장하는 제1 단계, 처리부가 상기 액션항목마다 식별코드를 부여하여 상기 액션항목을 식별하고 상기 액션항목 중에서 내용이 동일 또는 유사한 액션항목이 있는 경우 내용이 동일 또는 유사한 액션항목끼리 식별코드를 매핑하고 그 결과인 매핑결과를 상기 저장부에 저장하는 제2 단계, 정보입력부가 평가대상기업의 일반정보, 보안직무 및 조직도를 포함하는 기초정보 및 상기 평가대상기업이 보유한 정보자산 및 개인정보자산을 포함하는 자산정보를 미리 정해진 템플릿을 이용하여 입력받는 제 3단계, 상기 처리부가 상기 기초정보 및 상기 자산정보를 기반으로 상기 액션항목 중에서 평가항목을 추출하는 제 4단계, 결과입력부가 상기 평가항목에 따른 통제평가 결과를 입력받는 제 5단계, 출력부가 상기 통제평가 결과를 기반으로 상기 처리부가 도출한 통제항목 결함사항을 출력하는 제 6단계를 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 상기 제4 단계는 상기 처리부가 상기 정보입력부를 통해 입력받은 인증 취득여부에 따라 상기 평가항목을 추출하는 단계를 더 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 상기 제2 단계는 상기 처리부가 상기 매핑결과를 기반으로 내용이 동일 또는 유사한 액션항목 중에서 대표항목을 선택하여 평가항목을 추출하는 단계를 더 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 상기 제1 단계는 상기 저장부가 상기 컴플라이언스에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 인증통제항목DB 및 상기 법에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 법률통제항목DB를 포함하는 단계를 더 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 상기 제2 단계는 상기 처리부가 국내 또는 국외의 법률에 관한 정보를 제공하는 서버로부터 일정한 주기로 법률정보를 수신하고, 상기 법률정보가 변경, 추가 또는 삭제된 경우에는 상기 법률정보와 대응되는 상기 액션항목을 갱신하여 상기 저장부에 저장하는 단계를 더 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 상기 제 3단계는 상기 정보입력부가 상기 액션항목에 대응하는 운영증적을 입력받는 단계를 더 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리방법은, 상기 제 3단계는 상기 정보입력부가 DoA(Degree of assurance)를 입력받고, 상기 상기 처리부가 상기 DoA에 기반하여 상기 정보자산 또는 상기 개인정보자산에 대한 자산별보호대책을 추출하고, 상기 출력부가 상기 자산별보호대책을 출력하는 단계를 더 포함하는 통제평가관리방법일 수 있다.
본 발명의 일 실시예에 따른 통제평가관리시스템은 다양한 국내외 컴플라이언스에 대응하여 기업이 준수해야할 통제항목들을 기업의 사업영역에 적합한 통제항목들로 선별할 수 있어 기업이 효율적으로 컴플라이언스에 대응하고 관련 통제항목들을 관리할 수 있다.
또한, 본 발명의 일 실시예에 따른 통제평가관리시스템은 컴플라이언스에 대한 감사를 수행하는 감사인의 전문적인 지식 없이도 기업이 준수해야할 통제항목들을 선별할 수 있어 기업의 감사에 따른 경제적, 시간적 비용을 절감할 수 있다.
또한, 본 발명의 일 실시예에 따른 통제평가관리시스템은 기업이 준수해야할 통제항목들을 잘 준수하고 있는지 여부를 시각적으로 확인하고 이를 보완할 수 있어 통제항목을 적절하게 준수하는데 도움을 줄 수 있다.
도 1은 본 발명의 일 실시예에 따른 통제평가관리시스템의 운용 환경의 예를 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 통제평가관리시스템의 개념도이다.
도 3은 본 발명의 일 실시예에 따른 통제평가관리시스템과 사용자 단말 간에 통제평가관리방법이 수행되는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 통제평가관리시스템이 법률정보서버와 연결되어 법률정보를 수신하는 것을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 처리부가 ISMS-P에서 제시하는 통제항목을 액션항목으로 분류한 것을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 통제평가관리시스템이 사용자에게 제공하는 취약점 점검항목을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 처리부가 법률에서 제시하는 통제항목을 분류한 것을 나타낸 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명을 설명하는데 있어서, 해당 분야에 이미 공지된 기술 또는 구성에 대한 구체적인 설명을 부가하는 것이 본 발명의 요지를 불분명하게 할 수 있다고 판단되는 경우에는 상세한 설명에서 이를 일부 생략하도록 한다. 또한, 본 명세서에서 사용되는 용어들은 본 발명의 실시예들을 적절히 표현하기 위해 사용된 용어들로서, 이는 해당 분야의 관련된 사람 또는 관례 등에 따라 달라질 수 있다. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
여기서 사용되는 전문용어는 단지 특정 실시예를 언급하기 위한 것이며, 본 발명을 한정하는 것을 의도하지 않는다. 여기서 사용되는 단수 형태들은 문구들이 이와 명백히 반대의 의미를 나타내지 않는 한 복수 형태들도 포함한다. 명세서에서 사용되는 '포함하는'의 의미는 특정 특성, 영역, 정수, 단계, 동작, 요소 및/또는 성분을 구체화하며, 다른 특정 특성, 영역, 정수, 단계, 동작, 요소, 성분 및/또는 군의 존재나 부가를 제외시키는 것은 아니다.
이하, 첨부된 도 1 내지 도 7을 참조하여 본 발명의 일 실시예에 따른 통제평가관리시스템(10)에 대해서 설명하도록 한다.
본 발명의 일 실시예에 따른 통제평가관리시스템(10)은 국내외 다양한 컴플라이언스 중에서 기업이 영위하는 사업영역에 따라 준수해야할 컴플라이언스를 선별하여 제공하고, 해당 컴플라이언스에서 기업에 요구하는 통제항목들을 기업이 제대로 준수하고 있는지 여부를 점검할 수 있도록 하는 시스템이다. 통제평가관리시스템(10)은 사용자인 기업의 담당자가 기업의 기초정보 및 자산정보를 입력하면 해당 정보에 따라 기업에게 요구되거나 기업이 준수해야할 컴플라이언스 및 통제항목들을 제시할 수 있다. 기업은 통제평가관리시스템(10)에서 제시하는 통제항목들을 제대로 준수하고 있는지 여부를 확인하고 그 결과로서 운영 증적(evidence)을 통제평가관리시스템(10)에 입력할 수 있다. 통제평가관리시스템(10)은 입력된 통제평가 결과를 통해 통제항목 중에서 어떠한 통제항목이 제대로 준수되고 있는지 여부를 파악하고 이에 따른 통제항목 결함사항과 향후 기업이 보완해야할 통제항목들을 구체적으로 제시한다. 이를 통해서 기업은 외부 전문가의 도움 없이도 기업이 준수해야할 컴플라이언스의 통제항목들을 점검 및 확인하고 내부통제를 강화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 통제평가관리시스템(10)의 운영 환경을 도시한 예이다. 통제평가관리시스템(10)은 인터넷 등 네트워크(20)에 연결될 수 있으며, 이러한 네트워크(20)를 통해 사용자 단말(40), 운영관리서버(30) 및 법률정보서버(50)와 상호 통신할 수 있다. 사용자 단말(40)은 기업의 내부 담당자 또는 외부 감사인이 통제평가관리시스템(10)에 접속할 수 있도록 하는 PC, 테블릿PC, 스마트폰 등 다양한 단말기를 의미한다. 운영관리서버(30)는 네트워크(20)를 통해 통제평가관리시스템(10)에 연결되어 통제평가관리시스템(10)의 유지보수 및 업데이트를 수행할 수 있다. 법률정보서버(50)는 후술하는 바와 같이 국내 또는 국외의 법률에 관한 정보를 제공하는 서버로서, 통제평가관리시스템(10)에게 기업이 준수해야할 법률정보를 송신하는 역할을 수행할 수 있다. 도 1은 본 개시의 설명을 위한 일례로 사용자 단말(40)의 수나 통제평가관리시스템(10)의 수가 도 1에 도시된 바와 같이 한정되는 것은 아니다.
이하, 도 2 내지 도 7을 참조하여 본 발명의 일 실시예에 따른 통제항목평가시스템의 각 구성에 대해서 설명하도록 한다.
본 발명의 통제평가관리시스템(10)은 통제항목들을 세분화하여 액션항목으로 저장하는 저장부(100), 기업의 기초정보 및 자산정보를 입력받는 정보입력부(200), 액션항목 중에서 평가항목을 추출하는 처리부(300), 통제평가 결과를 입력받는 결과입력부(400) 및 통제항목 결함사항을 출력하는 출력부(500)를 포함할 수 있다.
저장부(100)는 인증과 관련된 통제항목을 저장하는 인증통제항목DB(110), 법률과 관련된 통제항목을 저장하는 법률통제항목DB(120) 및 악성메일훈련과 관련된 데이터를 저장하는 악성메일훈련DB(130)를 포함할 수 있다. 저장부(100)는 기업의 기초정보 및 자산정보와 관련된 컴플라이언스(Compliance)와 법에서 정하는 통제항목들을 세분화하여 적어도 하나 이상의 액션항목으로 저장할 수 있다. 기업의 기초정보는 기업이 영위하고 있는 사업영역, 기업의 매출액, 종업원수, 보안직무, 조직도 등 기업에 대한 일반적인 정보를 모두 포함하는 정보로서 이를 통해 통제평가관리시스템(10)이 기업의 규모 및 사업분야를 인식할 수 있도록 한다. 기업의 자산정보는 기업이 보유하고 있는 물리적 자산과 비물리적 자산을 통칭하는 것이다. 즉, 서버, 네트워크(20) 기기, 데이터베이스, 보안시스템 등 물리적인 자산과 정보자산, 개인정보자산 또는 소프트웨어 등의 비물리적 자산을 모두 포함할 수 있다. 통제항목이란 국내외 컴플라이언스에서 규정하는 세부적인 통제내용을 의미하는 것으로서, 기업이 사업을 영위하기 위해서 법률적 또는 규범적으로 준수해야할 사항들을 의미한다. 그러나 이러한 통제항목은 그 범위나 넓거나 구체적이지 못한 경우가 있을 수 있다. 이 경우 감사인 등 전문가의 조언 없이는 기업이 그러한 통제항목에서 요구하는 내용을 구체적으로 준수하지 못하게 된다. 따라서, 이러한 통제항목들을 보다 세분화하여 구체적 인 행동지침을 기업에게 제시할 필요가 있다. 저장부(100)는 이러한 문제를 해결할 수 있도록 통제항목들을 구체적으로 세분화한 액션항목을 저장할 수 있다. 도 5는 저장부(100)에 저장된 ISMS-P의 통제항목과 액션항목을 테이블 형태로 표시한 것이다.
저장부(100)는 액션항목을 다음과 같은 기준에 의해 법률통제항목DB(120)와 인증통제항목DB(110)에 각각 구분하여 저장할 수 있다. 즉, 법에서 요구하는 통제항목에 따른 액션항목은 법률통제항목DB(120)에 저장하고, 법률 외 컴플라이언스에서 요구하는 통제항목에 따른 액션항목은 인증통제항목DB(110)에 저장할 수 있다.
저장부(100)는 기업의 악성메일 대응 훈련을 위해 훈련대상, 악성메일내용 및 훈련결과를 저장하는 악성메일훈련DB(130)를 포함할 수 있다. 훈련대상은 악성메일 대응 훈련 대상의 이름과 이메일을 포함할 수 있다. 악성메일내용은 악성메일의 본문과 메일에 첨부되는 파일을 포함할 수 있다. 악성메일훈련DB(130)는 악성메일 송신 결과에 대한 정보 즉, 송신 성공 여부, 악성메일 열람 여부, 악성 링크 클릭 여부 등을 저장할 수 있다. 이렇게 악성메일훈련DB(130)에 저장된 데이터를 통해서 기업의 보안담당자는 기업 내부자들을 대상으로 악성메일에 대한 훈련을 수행할 수 있다. 예를 들어, 기업의 보안담당자는 저장부(100)에 저장된 악성메일훈련계획을 조회하고 그 계획에 따라서 악성메일훈련 실행여부를 결정할 수 있다. 또한, 통제평가관리시스템(10)이 기업의 보안담당자에게 악성메일훈련계획에 따른 훈련 일정을 전달할수도 있다. 훈련여부가 결정되면 기업의 보안담당자는 훈련의 종류, 대상, 방법 또는 시나리오 등을 결정하여 이를 악성메일훈련DB(130)에 저장할 수 있다. 이렇게 저장된 악성메일훈련DB(130)의 훈련데이터를 토대로 통제평가관리시스템(10)은 훈련대상자를 상대로 스팸메일 등을 전송하여 악성메일훈련을 실시한다.
정보입력부(200)는 기업의 기초정보를 입력받는 기초정보입력부(210), 기업의 자산정보를 입력받는 자산정보입력부(220) 및 운영 증적을 입력받는 운영증적입력부(230)를 포함할 수 있다. 정보입력부(200)는 기업의 일반정보, 보안직무 및 조직도를 포함하는 기초정보 및 상기 평가대상기업이 보유한 정보자산 및 개인정보자산을 포함하는 자산정보를 미리 정해진 템플릿을 이용하여 입력받을 수 있다.
정보입력부(200)는 기업으로부터 인증 취득 및 운영 여부에 관한 정보를 입력받을 수 있다. 여기에서 인증이란 기업이 사업을 영위하기 위하여 취득이 필요한 각종 인증을 의미하며, 대표적으로 정보보안과 관련된 ISMS, ISO27001과 개인정보보호와 관련된 ISMS-P,ISO27701, BS10012 등을 예로 들 수 있다. 정보입력부(200)는 기업으로부터 인증 취득 및 운영 여부를 입력 받아 그 결과가 Yes(인증을 취득하겠다는 의미)인 경우에는 템플릿을 제공하여 인증 서비스 상세정보(인증여부, 인증범위)를 입력받고 이를 저장부(100)에 저장한다. 반대로 No(인증을 취득하지 않겠다는 의미)인 경우에는 내부보안기준의 보유 여부에 따라서 템플릿을 달리 하여 내부보안기준을 입력받을 수 있다. 예를 들어, 내부보안기준이 있는 경우에는 기업이 보유한 보안기준(정책, 지침, 절차서)의 내용을 입력할 수 있는 템플릿을 제공하고, 내부보안기준이 없는 경우에는 기업이 보안기준을 입력하는데 참고할 수 있도록 예시가 되는 샘플을 함께 제공할 수 있다.
정보입력부(200)는 액션항목에 대응하는 운영 증적을 입력받을 수 있다. 액션항목은 경우에 따라서 그 준수여부를 확인할 수 있는 운영 증적(evidence)을 필요로 한다. 이러한 운영 증적을 입력받음으로써, 통제평가관리시스템(10)은 기업이 해당 통제항목을 준수했는지 여부를 확인할 수 있고, 또한 통제항목 중에서 운영증적으로 입력하지 않은 통제항목은 결함사항으로 도출할 수 있다. 통제항목 결함사항에 대해서는 상세히 후술하도록 한다.
정보입력부(200)는 DoA(Degree of assurance)를 입력받을 수 있다. DoA는 위험 수용 수준을 의미하는 것으로서 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하는 위험 대응 전략 중 하나이다. 즉, 기업이 위험 분석 결과 나타난 위험에 대해 수용 가능한 위험도의 수준을 결정하는 것이다. 기업이 결정한 위험도의 수준에 따라서 정보보호 대책을 어떻게 수립할 것인지 결정된다. 통제평가관리시스템(10)은 DoA를 입력받음으로써, 자산 별 보호대책을 수립할 수 있다. 이때 수립된 자산 별 보호대책은 후술할 출력부(500)를 통해 출력되어 기업의 담당자가 확인할 수 있다.
처리부(300)는 Web서비스를 제공할 수 있는 Web Service부(310) 및 기업이 보유한 개인정보자산을 암호화할 수 있는 암호화부(320)를 포함할 수 있다. 처리부(300)는 Web Service부(310)를 통해서 사용자가 Web환경에서 본 발명의 통제평가관리시스템(10)을 접근할 수 있도록 한다. 또한, 기업이 개인정보를 보유한 경우에는 이를 암호화하여 저장할 수 있도록 암호화부(320)를 포함할 수 있다.
처리부(300)는 기업의 기초정보 및 자산정보를 기반으로 액션항목 중에서 평가항목을 추출할 수 있다. 상술한 바와 같이 저장부(100)에 저장되는 액션항목은 국내외의 컴플라이언스가 기업에 요구하는 통제항목에 대응되는 액션항목을 모두 포함할 수 있다. 이러한 모든 액션항목을 기업이 빠짐없이 준수할 필요는 없다. 기업의 사업영역이나 보유자산에 따라 준수해야할 컴플라이언스들이 다르기 때문이다. 따라서, 기업이 준수할 필요가 있는 통제항목들에 대응되는 액션항목만을 추출할 필요가 있다. 이렇게 추출된 액션항목이 평가항목이며, 처리부(300)에 의해 추출된 평가항목은 저장부(100)에 저장된다.
처리부(300)는 액션항목마다 식별코드를 부여하여 액션항목을 식별하고 액션항목 중에서 내용이 동일 또는 유사한 액션항목이 있는 경우 내용이 동일 또는 유사한 액션항목끼리 식별코드를 매핑하고 그 결과인 매핑결과를 저장부(100)에 저장할 수 있다. 컴플라이언스에서 요구하는 통제항목은 다양하지만 때에 따라서는 내용이 거의 동일한 경우가 있을 수 있다. 이렇게 내용이 동일 또는 유사한 통제항목의 경우 액션항목 또한 내용이 동일 또는 유사할 것이다. 복수의 컴플라이언스에 대해 대응할 필요가 있는 기업의 경우 동일 또는 유사한 액션항목을 중복하여 준수할 필요가 없으므로, 하나의 액션항목을 준수하는 것으로 중복되는 다른 액션항목을 준수하는 것으로 대체할 수 있다. 이를 위해서 액션항목마다 식별코드를 부여하여 각각의 액션항목을 구별하고 동일 또는 유사한 액션항목끼리 각각의 식별코드를 매핑(Mapping)할 수 있다. 매핑된 결과는 저장부(100)에 저장될 수 있다.
처리부(300)는 매핑결과를 기반으로 내용이 동일 또는 유사한 액션항목 중에서 대표항목을 선택하여 평가항목을 추출할 수 있다. 액션항목들을 매핑하게 되면 그 중에서 대표항목을 선택하여 대표항목만을 준수하면 매핑된 다른 액션항목도 준수할 수 있게 된다. 따라서 이러한 대표항목을 평가항목으로 추출하게 되면 기업이 동일한 내용에 대해서 중복으로 준수여부를 확인할 필요가 없다.
처리부(300)는 정보입력부(200)를 통해 입력받은 인증 취득여부에 따라 평가항목을 추출할 수 있다. 기업은 준수하고자 하는 컴플라이언스 중에서 인증을 취득 및 운영할 것인지 여부를 결정할 수 있다. 인증을 취득하지 않고 단순히 통제항목을 준수만 하고자 하는 기업의 경우에는 준수해야할 통제항목이 인증을 취득하고자 하는 경우와 달라질 수 있다. 따라서, 인증 취득 및 운영 여부를 확인하여 평가항목을 추출함으로써, 기업의 상황에 맞는 평가항목을 제시할 수 있다.
처리부(300)는 국내 또는 국외의 법률에 관한 정보를 제공하는 서버로부터 일정한 주기로 법률정보를 수신하고, 법률정보가 변경, 추가 또는 삭제된 경우에는 법률정보와 대응되는 액션항목을 갱신하여 저장부(100)에 저장할 수 있다. 도 4에 도시된 바와 같이 법률정보서버(50)는 네트워크(20)를 통해 통제평가관리시스템(10)과 연결될 수 있다. 처리부(300)는 네트워크(20)를 통하여 법률정보서버(50)에 갱신된 법률정보를 확인할 수 있고 만약 신설, 개정, 삭제, 추가된 법률정보가 있는 경우에는 그 내용에 해당하는 데이터를 수신할 수 있다. 이렇게 수신한 데이터를 상술한 법률통제항목DB(120)에 저장할 수 있다. 이를 통해서 통제평가관리시스템(10)은 최신화된 법률정보를 저장하고 이를 반영하여 평가항목을 추출할 수 있다.
처리부(300)는 DoA(Degree of assurance)에 기반하여 정보자산 또는 개인정보자산에 대한 자산별보호대책을 추출할 수 있다. 또한, 처리부(300)는 자산별보호대책을 기반으로 연간보안운영계획을 도출할 수 있다.
결과입력부(400)는 평가항목에 따른 통제평가 결과를 통제평가 결과입력부(410)를 통해 입력받을 수 있다. 기업의 담당자 또는 외부 감사인은 처리부(300)를 통해 추출된 평가항목을 확인하고 이에 따른 통제평가를 실시할 수 있다. 통제평가를 실시한 기업의 담당자는 그 결과를 결과입력부(400)에 입력할 수 있다. 결과입력부(400)에 입력된 통제평가 결과는 처리부(300)에 전송되어 처리부(300)가 통제평가 결함사항을 도출하는데 이용될 수 있다.
결과입력부(400)는 정보보호감사 결과인 감사이행증빙, 정보보호교육결과인 교육이행증빙, 침해사고 훈련의 결과인 도상훈련이행증빙을 입력받을 수 있다. 결과입력부(400)가 입력받은 각각의 이행증빙은 저장부(100)에 저장되며 향후 사용자가 출력부(500)를 통해서 확인할 수 있다.
출력부(500)는 자산의 위험을 시각화하거나 통제평가 결함사항을 출력할 수 있는 통합 대시보드(510) 및 내부통제에 관한 스케쥴을 확인하거나 경고할 수 있는 스케쥴러(520)를 포함할 수 있다. 출력부(500)는 통합 대시보드(510)를 통해 기업이 보유한 자산에 대한 위험을 시각화하여 출력할 수 있다. 이렇게 시각화된 위험을 통해서 기업은 현재 기업의 자산이 갖고 있는 위험에 대해서 효율적이고 신속하게 파악할 수 있다. 출력부(500)는 액션항목에 대한 스케쥴 및 스케쥴에 따른 알림을 스케쥴러(520)를 통해 출력할 수 있다. 출력부(500)는 스케쥴러(520)를 통해 통제항목에 대한 스케쥴링과 알림을 출력할 수 있어 사용자는 디스플레이 화면을 통해 향후 내부통제를 위해 기업이 어떠한 행동을 취해야하는지 파악할 수 있다.
출력부(500)는 통제평가 결과를 기반으로 처리부(300)가 도출한 통제항목 결함사항을 출력할 수 있다. 상술한 바와 같이 결과입력부(400)가 통제평가 결과를 입력받으면 이는 처리부(300)에게 전송된다. 통제평가 결과를 수신한 처리부(300)는 통제항목 또는 액션항목을 기반으로 어떠한 통제항목이 준수되고 있지 않은지 판단한다. 이때 처리부(300)는 정보입력부(200)가 입력받은 운영 증적을 포함하여 어떠한 통제항목이 준수되고 있지 않은지 판단할 수 있다. 이후 처리부(300)는 통제항목 결함사항을 도출할 수 있고 그 결과는 출력부(500)를 통해 출력될 수 있다. 출력부(500)는 사용자UI에 해당하는 통합 대시보드(510) 통해서 통제항목 결함사항을 출력할 수 있다. 이를 통해 사용자는 현재 어떠한 통제항목이 준수되고 있지 않은지 파악할 수 있다.
출력부(500)는 자산별보호대책 또는 연간보안운영계획을 출력할 수 있다. 출력부(500)가 출력하는 자산별보호대책을 통해서 기업은 각각의 자산에 대한 보호대책을 강구할 수 있다. 출력부(500)가 출력하는 연간보안운영계획을 통해서 기업의 보안담당자는 별도로 보안운영계획을 세우거나 관리할 필요없이 본 발명의 일 실시예에 따른 통제평가관리시스템(10)을 통해서 기업의 보안운영계획을 파악할 수 있다.
본 발명의 각 실시예에 개시된 기술적 특징들은 해당 실시예에만 한정되는 것은 아니고, 서로 양립 불가능하지 않은 이상, 각 실시예에 개시된 기술적 특징들은 서로 다른 실시예에 병합되어 적용될 수 있다.
이상, 본 발명의 통제평가관리시스템의 실시예들에 대해 설명하였다. 본 발명은 상술한 실시예 및 첨부한 도면에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자의 관점에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명의 범위는 본 명세서의 청구범위뿐만 아니라 이 청구범위와 균등한 것들에 의해 정해져야 한다.
10: 통제평가관리시스템
20: 네트워크
30: 운영관리서버
40: 사용자 단말
50: 법률정보서버
100: 저장부
110: 인증통제항목DB
120: 법률통제항목DB
130: 악성메일훈련DB
200: 정보입력부
210: 기초정보입력부
220: 자산정보입력부
230: 운영증적입력부
300: 처리부
310: Web Service부
320: 암호화부
400: 결과입력부
410: 통제평가 결과입력부
500: 출력부
510: 통합 대시보드
520: 스케쥴러

Claims (14)

  1. 기업의 기초정보 및 자산정보와 관련된 컴플라이언스(Compliance)와 법에서 정하는 통제항목을 기업이 영위하는 사업분야에 기초하여 세분화한 액션항목으로 저장하는 저장부 - 상기 통제항목은 복수의 액션항목에 대응되고, 상기 액션항목은 운영증적에 대응됨 -;
    평가대상기업의 일반정보, 보안직무 및 조직도를 포함하는 기초정보 및 상기 평가대상기업이 보유한 정보자산 및 개인정보자산을 포함하는 자산정보를 미리 정해진 템플릿을 이용하여 입력받는 정보입력부;
    상기 평가대상기업이 준수할 필요가 있는 통제항목에 대응되는 복수의 액션항목 중 상기 평가대상기업의 상기 기초정보 및 상기 자산정보를 기반으로 상기 평가대상기업이 영위하는 사업분야에 따라 상기 복수의 액션항목 중에서 일부를 평가항목으로 추출하는 처리부 - 상기 처리부는 상기 평가대상기업이 영위하는 사업분야에 따라 상기 복수의 액션항목 중에서 나머지 일부는 상기 평가항목으로 추출하지 않음 -;
    상기 평가항목에 따른 통제평가 결과를 입력받는 결과입력부; 및
    상기 통제평가 결과를 기반으로 상기 처리부가 도출한 통제항목 결함사항을 출력하는 출력부; 를 포함하고,
    상기 처리부는 상기 액션항목마다 식별코드를 부여하여 상기 액션항목을 식별하고 상기 액션항목 중에서 내용이 동일 또는 유사한 액션항목이 있는 경우 내용이 동일 또는 유사한 액션항목끼리 식별코드를 매핑하고 그 결과인 매핑결과를 상기 저장부에 저장하고, 국내 또는 국외의 법률에 관한 정보를 제공하는 법률정보서버로부터 일정한 주기로 법률정보를 수신하고, 상기 법률정보가 변경, 추가 또는 삭제된 경우에는 상기 법률정보와 대응되는 상기 액션항목을 갱신하여 상기 저장부에 저장하고,
    상기 정보입력부는 상기 액션항목에 대응하는 상기 운영증적을 입력받고 상기 액션항목 중에서 상기 평가대상기업이 영위하는 사업분야에 따라 적어도 하나의 액션항목을 선택하는 사용자 입력과 상기 평가대상기업이 영위하는 사업분야에 따라 준수할 필요가 있는 액션항목을 입력받으며, 기업의 기초정보를 입력받는 기초정보입력부, 상기 평가대상기업의 상기 자산정보를 입력받는 자산정보입력부 및 상기 액션항목에 대응하는 상기 운영증적을 입력받는 운영증적입력부를 더 포함하고
    상기 출력부는 상기 정보자산 및 상기 개인정보자산의 위험을 시각화하며 통제평가 결함사항을 출력하는 통합 대시보드 및 내부통제에 관한 스케쥴을 확인하고 경고하는 스케쥴러를 더 포함하는 통제평가관리시스템.
  2. 제1 항에 있어서,
    상기 처리부는 상기 정보입력부를 통해 입력받은 인증 취득여부에 따라 상기 평가항목을 추출하는 통제평가관리시스템.
  3. 제1 항에 있어서,
    상기 처리부는 상기 매핑결과를 기반으로 내용이 동일 또는 유사한 액션항목 중에서 대표항목을 선택하여 평가항목을 추출하는 통제평가관리시스템.
  4. 제1 항에 있어서,
    상기 저장부는 상기 컴플라이언스에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 인증통제항목DB 및 상기 법에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 법률통제항목DB를 포함하는 통제평가관리시스템.
  5. 삭제
  6. 삭제
  7. 제1 항에 있어서,
    상기 정보입력부는 DoA(Degree of assurance)를 입력받고,
    상기 처리부는 상기 DoA에 기반하여 상기 정보자산 또는 상기 개인정보자산에 대한 자산별보호대책을 추출하고,
    상기 출력부는 상기 자산별보호대책을 출력하는 통제평가관리시스템.
  8. 저장부가 기업의 기초정보 및 자산정보와 관련된 컴플라이언스(Compliance)와 법에서 정하는 통제항목을 기업이 영위하는 사업분야에 기초하여 세분화한 액션항목으로 저장하는 제1 단계 - 상기 통제항목은 복수의 액션항목에 대응되고, 상기 액션항목은 운영증적에 대응됨 -;
    처리부가 상기 액션항목마다 식별코드를 부여하여 상기 액션항목을 식별하고 상기 액션항목 중에서 내용이 동일 또는 유사한 액션항목이 있는 경우 내용이 동일 또는 유사한 액션항목끼리 식별코드를 매핑하고 그 결과인 매핑결과를 상기 저장부에 저장하는 제2 단계;
    정보입력부가 평가대상기업의 일반정보, 보안직무 및 조직도를 포함하는 기 초정보 및 상기 평가대상기업이 보유한 정보자산 및 개인정보자산을 포함하는 자산정보를 미리 정해진 템플릿을 이용하여 입력받는 제3 단계;
    상기 처리부가 상기 평가대상기업이 준수할 필요가 있는 통제항목에 대응되는 복수의 액션항목 중 상기 평가대상기업의 상기 기초정보 및 상기 자산정보를 기반으로 상기 평가대상기업이 영위하는 사업분야에 따라 상기 복수의 액션항목 중에서 일부를 평가항목으로 추출하는 제4 단계 - 상기 처리부는 상기 평가대상기업이 영위하는 사업분야에 따라 상기 복수의 액션항목 중에서 나머지 일부는 상기 평가항목으로 추출하지 않음 -;
    결과입력부가 상기 평가항목에 따른 통제평가 결과를 입력받는 제5 단계;
    출력부가 상기 통제평가 결과를 기반으로 상기 처리부가 도출한 통제항목 결함사항을 출력하는 제6 단계; 를 포함하고,
    상기 제2 단계는 상기 처리부가 국내 또는 국외의 법률에 관한 정보를 제공하는 법률정보서버로부터 일정한 주기로 법률정보를 수신하고, 상기 법률정보가 변경, 추가 또는 삭제된 경우에는 상기 법률정보와 대응되는 상기 액션항목을 갱신하여 상기 저장부에 저장하는 단계를 더 포함하고,
    상기 제3 단계는 상기 정보입력부가 상기 액션항목에 대응하는 운영증적을 입력받고 상기 액션항목 중에서 상기 평가대상기업이 영위하는 사업분야에 따라 적어도 하나의 액션항목을 선택하는 사용자 입력과 상기 평가대상기업이 영위하는 사업분야에 따라 준수할 필요가 있는 액션항목을 입력받고, 기초정보입력부가 기업의 기초정보를 입력받고, 자산정보입력부가 상기 평가대상기업의 상기 자산정보를 입력받고, 운영증적입력부가 상기 액션항목에 대응하는 상기 운영증적을 입력받는 단계를 더 포함하고,
    상기 제6 단계는 통합 대시보드가 상기 정보자산 및 상기 개인정보자산의 위험을 시각화하며 통제평가 결함사항을 출력하고 스케쥴러가 내부통제에 관한 스케쥴을 확인하고 경고하는 단계를 더 포함하는 통제평가관리방법.
  9. 제8 항에 있어서,
    상기 제4 단계는 상기 처리부가 상기 정보입력부를 통해 입력받은 인증 취득여부에 따라 상기 평가항목을 추출하는 단계를 더 포함하는 통제평가관리방법.
  10. 제8 항에 있어서,
    상기 제2 단계는 상기 처리부가 상기 매핑결과를 기반으로 내용이 동일 또는 유사한 액션항목 중에서 대표항목을 선택하여 평가항목을 추출하는 단계를 더 포함하는 통제평가관리방법.
  11. 제8 항에 있어서,
    상기 제1 단계는 상기 저장부가 상기 컴플라이언스에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 인증통제항목DB 및 상기 법에서 요구하는 통제항목을 세분화하여 액션항목으로 저장하는 법률통제항목DB를 포함하는 단계를 더 포함하는 통제평가관리방법.
  12. 삭제
  13. 삭제
  14. 제8 항에 있어서,
    상기 제 3단계는 상기 정보입력부가 DoA(Degree of assurance)를 입력받고,
    상기 상기 처리부가 상기 DoA에 기반하여 상기 정보자산 또는 상기 개인정보자산에 대한 자산별보호대책을 추출하고,
    상기 출력부가 상기 자산별보호대책을 출력하는 단계를 더 포함하는 통제평가관리방법.
KR1020200111827A 2020-09-02 2020-09-02 통제평가관리시스템 KR102422267B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020200111827A KR102422267B1 (ko) 2020-09-02 2020-09-02 통제평가관리시스템
PCT/KR2020/015031 WO2022050486A1 (ko) 2020-09-02 2020-10-30 통제평가관리시스템
US18/043,720 US20230289884A1 (en) 2020-09-02 2020-10-30 Control assessment management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200111827A KR102422267B1 (ko) 2020-09-02 2020-09-02 통제평가관리시스템

Publications (2)

Publication Number Publication Date
KR20220030076A KR20220030076A (ko) 2022-03-10
KR102422267B1 true KR102422267B1 (ko) 2022-07-18

Family

ID=80491148

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200111827A KR102422267B1 (ko) 2020-09-02 2020-09-02 통제평가관리시스템

Country Status (3)

Country Link
US (1) US20230289884A1 (ko)
KR (1) KR102422267B1 (ko)
WO (1) WO2022050486A1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101931525B1 (ko) * 2018-05-02 2018-12-21 박정권 정보 보호를 위한 운영 관리 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100752677B1 (ko) * 2006-04-19 2007-08-29 ㈜ 메타리스크 정보기술 위험관리시스템 및 그 방법
KR20090084250A (ko) * 2008-01-31 2009-08-05 한남대학교 산학협력단 멀티 레벨 보안 구축 방법
KR20160141457A (ko) * 2015-06-01 2016-12-09 주식회사 에스씨엘 정보보호관리체계 위험평가 시스템
KR102213465B1 (ko) * 2018-09-28 2021-02-09 주식회사 엘지씨엔에스 통합보안업무관리장치 및 통합보안업무관리방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101931525B1 (ko) * 2018-05-02 2018-12-21 박정권 정보 보호를 위한 운영 관리 시스템

Also Published As

Publication number Publication date
US20230289884A1 (en) 2023-09-14
KR20220030076A (ko) 2022-03-10
WO2022050486A1 (ko) 2022-03-10

Similar Documents

Publication Publication Date Title
Rodríguez-Espíndola et al. Analysis of the adoption of emergent technologies for risk management in the era of digital manufacturing
US9912686B2 (en) Methods and systems for enhancing data security in a computer network
Macher et al. ISO/SAE DIS 21434 automotive cybersecurity standard-in a nutshell
Settanni et al. A collaborative cyber incident management system for European interconnected critical infrastructures
US10296751B2 (en) Automated real-time information management risk assessor
US20100205014A1 (en) Method and system for providing response services
Nguyen et al. Risk assessment of maritime container shipping blockchain-integrated systems: An analysis of multi-event scenarios
Ringmann et al. Requirements for legally compliant software based on the GDPR
Ross et al. Systems security engineering
Di Gregorio et al. Blockchain adoption in the shipping industry
Dean et al. Data mining: an ethical baseline for online privacy policies
Khou et al. A customizable framework for prioritizing systems security engineering processes, activities, and tasks
CA2921126A1 (en) Methods and systems for enhancing data security in a computer network
KR102422267B1 (ko) 통제평가관리시스템
Buehler et al. Getting to know—and manage—your biggest AI risks
De Hert et al. The new cloud computing ISO/IEC 27018 standard through the lens of the EU legislation on data protection
ÖZKANLISOY et al. Risk Assessment in Digital Supply Chains.
Alsmadi Acquisition Management
Bray et al. Report of the Commission on the Geopolitical Impacts of New Technologies and Data
Karyda et al. Content, context, process analysis of is security policy formation
Holmes Exploring the Challenges of the Risk Management Framework Implementation for Cybersecurity Professionals
US11558182B2 (en) Method and system to facilitate assessment, authorization, and monitoring of policy documents related to an organization
US20230419223A1 (en) Vendor risk assessment
Jansen Preservation as a service for trust: An InterPARES trust specification for preserving authentic records in the cloud
Wilson et al. A Methodology for Quantifying the Value of Cybersecurity Investments in the Navy

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant