KR102671357B1 - Information Security Evaluation Management System - Google Patents
Information Security Evaluation Management System Download PDFInfo
- Publication number
- KR102671357B1 KR102671357B1 KR1020230152935A KR20230152935A KR102671357B1 KR 102671357 B1 KR102671357 B1 KR 102671357B1 KR 1020230152935 A KR1020230152935 A KR 1020230152935A KR 20230152935 A KR20230152935 A KR 20230152935A KR 102671357 B1 KR102671357 B1 KR 102671357B1
- Authority
- KR
- South Korea
- Prior art keywords
- evaluation
- score
- items
- inquiry
- security
- Prior art date
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 107
- 238000007689 inspection Methods 0.000 claims abstract description 27
- 230000004044 response Effects 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 9
- 230000008520 organization Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0637—Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Educational Administration (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Game Theory and Decision Science (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 정보보안 평가관리 시스템에 관한 것으로, 사용자를 인증하고 사용자 권한을 관리하는 사용자 인증 및 권한 관리부; 자체점수 요약, 실사점수 요약, 최종평가점수 계산을 출력하는 포함하는 대시 보드부; 점검 항목과 질의 항목을 분류하고 등록하는 평가항목 등록부; 등록된 보안 평가 항목과 세부 질의 항목에 대하여 증빙자료를 첨부하고 평가를 관리하는 증빙 및 평가 관리부; 및 등록된 보안 평가 항목과 세부 질의 항목에 대하여 평가 점수를 관리하는 평가점수 관리부;를 포함하는 것을 특징으로 한다.The present invention relates to an information security evaluation and management system, comprising: a user authentication and authority management unit that authenticates users and manages user rights; A dashboard unit that includes outputting self-score summary, actual score summary, and final evaluation score calculation; An evaluation item register that classifies and registers inspection items and inquiry items; Evidence and evaluation management department, which attaches supporting materials for registered security evaluation items and detailed inquiry items and manages the evaluation; and an evaluation score management unit that manages evaluation scores for registered security evaluation items and detailed query items.
Description
본 발명은 정보보안 평가관리 시스템에 관한 것으로, 더욱 상세하게는 정보보안 관리실태평가에 대하여 체계적으로 증빙자료를 준비하고, 정보보안실태를 관리할 수 있는 정보보안 평가관리 시스템에 관한 것이다.The present invention relates to an information security evaluation and management system, and more specifically, to an information security evaluation and management system that systematically prepares supporting materials for information security management status evaluation and manages the information security status.
정보보안 평가관리 시스템은 조직의 정보보안을 평가하고 관리하기 위한 종합적인 접근 방식을 제공하는 시스템이다. 이 시스템은 정보자산의 기반 구조, 데이터, 소프트웨어, 하드웨어, 네트워크 및 인적 자원과 관련된 다양한 보안 측면을 고려하여 정보보안을 향상시키는 도구와 프로세스를 통합한다.The information security evaluation and management system is a system that provides a comprehensive approach to evaluate and manage an organization's information security. The system integrates tools and processes to improve information security by considering various security aspects related to the infrastructure, data, software, hardware, network and human resources of information assets.
최근 들어, 국내 공공기관의 사이버 보안 피해 사례가 늘어나고 있어 국내 공공기관은 정보보안에 대한 관리와 대응 역량을 강화하기 위해 정례적인 정보보안 관리 실태평가를 실시하고 있다. Recently, as the number of cyber security damage cases in domestic public institutions is increasing, domestic public institutions are conducting regular information security management status assessments to strengthen their management and response capabilities to information security.
정보보안 관리 실태평가의 필요성이 점차 증가함에 따라 정보보안 관리 실태평가에 능동적으로 대응하고 관리적, 기술적, 위기대응 역량 부분을 체계적이고 효율적으로 관리가 필요한 실정이다.As the need for information security management status assessment gradually increases, it is necessary to actively respond to information security management status assessment and manage managerial, technical, and crisis response capabilities systematically and efficiently.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 정보보안 관리실태평가(관리적, 기술적, 위기대응 역량 분야)에 대하여 체계적으로 증빙자료를 준비하고 정보보안 실태를 관리할 수 있는 정보보안 평가관리 시스템을 제공하는 데 있다. The purpose of the present invention to solve the above problems is to provide an information security evaluation and management system that systematically prepares supporting materials for information security management status evaluation (in the field of managerial, technical, and crisis response capabilities) and manages the information security status. is to provide.
상기와 같은 목적을 달성하기 위한 본 발명의 정보보안 평가관리 시스템은 사용자를 인증하고 사용자 권한을 관리하는 사용자 인증 및 권한 관리부; 자체점수 요약, 실사점수 요약, 최종평가점수 계산을 출력하는 포함하는 대시 보드부; 점검 항목과 질의 항목을 분류하고 등록하는 평가항목 등록부; 등록된 보안 평가 항목과 세부 질의 항목에 대하여 증빙자료를 첨부하고 평가를 관리하는 증빙 및 평가 관리부; 및 등록된 보안 평가 항목과 세부 질의 항목에 대하여 평가 점수를 관리하는 평가점수 관리부;를 포함하는 것을 특징으로 한다.The information security evaluation and management system of the present invention for achieving the above purpose includes a user authentication and authority management unit that authenticates users and manages user rights; A dashboard unit that includes outputting self-score summary, actual score summary, and final evaluation score calculation; An evaluation item register that classifies and registers inspection items and inquiry items; Evidence and evaluation management department, which attaches supporting materials for registered security evaluation items and detailed inquiry items and manages the evaluation; and an evaluation score management unit that manages evaluation scores for registered security evaluation items and detailed query items.
상기 자체점수 요약 및 실사점수 요약은 관리적, 기술적, 위기대응역량 부분에 대하여 자체 및 실사 평가점수를 보여주며, 상기 최종평가점수 계산은 실사점수 및 자체평가 부실도 점수(시스템에서 계산되어 자동 입력되는 값)와 추가정보보안 활동점수(실사평가 후 평가자로부터 입력되는 값)이며, 대응훈련 참여기관일 경우 훈련점수를 평가자로부터 확인된 값을 입력(1점~5점)하고, 기반시설 관리기관일 경우 훈련점수를 평가자로부터 확인된 값을 입력(1점~20점)하는 것을 특징으로 한다.The self-score summary and due diligence score summary show the self-assessment and due diligence evaluation scores for managerial, technical, and crisis response capabilities, and the final evaluation score calculation is based on the due diligence score and self-assessment poorness score (calculated and automatically entered in the system). value) and the additional information security activity score (value entered by the evaluator after the due diligence evaluation). If the organization participates in response training, enter the training score confirmed by the evaluator (1 to 5 points), and the infrastructure management agency In this case, the training score is characterized by entering the value confirmed by the evaluator (1 to 20 points).
상기 대시 보드부는 관리적보안, 기술적보안, 위기대응역량 분야에 대하여 자체점검 및 현장실사 별 점수를 출력하고, 평가준비 상항을 대기, 진행, 완료로 구분하여 당해연도 평가준비 상황을 출력하며, 최근 3개년에 대하여 출력하는 연도별 평가 결과를 출력하는 것을 특징으로 한다.The dashboard section outputs scores for each self-inspection and on-site inspection in the areas of managerial security, technical security, and crisis response capabilities, and divides evaluation preparation status into waiting, progress, and completion to output the evaluation preparation status for the current year, and displays the evaluation preparation status for the current year. It is characterized by outputting yearly evaluation results for each year.
상기 평가항목 등록부는 등록 항목에 대하여 증빙자료 첨부 및 평가가 이루어지는 것을 특징으로 한다.The evaluation item register is characterized by attaching supporting materials and evaluating registered items.
상기 평가항목 등록부는 관리하려는 점검 항목을 등록/삭제, 점검항목에 해당하는 질의항목을 등록/삭제, 질의항목을 수정하고, 질의항목에 대한 세부 내용을 보여주며, 전년도 항목과 비교하여 보여주는 것을 특징으로 한다.The evaluation item register registers/deletes inspection items to be managed, registers/deletes inquiry items corresponding to the inspection items, modifies inquiry items, shows detailed information on inquiry items, and compares them with the previous year's items. Do this.
상기 증빙 및 평가 관리부는 저장된 증빙자료를 다운로드 및 질의 항목별 진행상태(대기/진행/완료)를 저장하고, 질의 항목별 해설서와 전년도 자료를 보여주며, 증빙자료, 질의별 해설서, 평가 의견을 등록하는 것을 특징으로 한다.The above evidence and evaluation management department downloads the saved evidence and saves the progress status (waiting/in progress/complete) for each inquiry item, displays the explanation for each inquiry item and previous year's data, and registers the evidence, explanation for each inquiry, and evaluation opinion. It is characterized by:
상기 평가점수 관리부는 자체점수 및 실사점수에 대한 요약, 점검항목에 속한 질의항목의 점수합계, 및 질의항목별 점수를 보여주며, 질의항목별 상세내용을 보여주고 점수를 체크하는 것을 특징으로 한다.The evaluation score management unit displays a summary of the self-score and due diligence score, the total score of the inquiry items belonging to the inspection item, and the score for each inquiry item, and shows detailed information for each inquiry item and checks the score.
본 발명에 따르면 정보보안 실태평가에 대응하여 평가 항목별, 질의별로 평가항목을 등록하고, 증빙자료 및 평가점수를 관리하여 정보보안 수준을 향상시키는데 도움을 줄 수 있다.According to the present invention, it is possible to help improve the level of information security by registering evaluation items by evaluation item and query in response to information security status evaluation, and managing supporting materials and evaluation scores.
도 1은 본 발명에 따른 정보보안 평가관리 시스템의 구성도이다.
도 2는 본 발명에 따른 대시 보드부의 화면 구성도이다.
도 3은 본 발명에 따른 평가항목 등록부의 화면 구성도이다.
도 4는 본 발명에 따른 증빙 및 평가 관리부의 화면 구성도이다.
도 5는 발명에 따른 평가점수 관리부의 화면 구성도이다.1 is a configuration diagram of an information security evaluation management system according to the present invention.
Figure 2 is a screen configuration diagram of the dashboard unit according to the present invention.
Figure 3 is a screen configuration diagram of the evaluation item register according to the present invention.
Figure 4 is a screen configuration diagram of the evidence and evaluation management unit according to the present invention.
Figure 5 is a screen configuration diagram of the evaluation score management unit according to the invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.Below, with reference to the attached drawings, embodiments of the present invention will be described in detail so that those skilled in the art can easily implement the present invention. However, the present invention may be implemented in many different forms and is not limited to the embodiments described herein.
그러면 본 발명에 따른 정보보안 평가관리 시스템의 바람직한 실시예에 대하여 자세히 설명하기로 한다.Next, a preferred embodiment of the information security evaluation and management system according to the present invention will be described in detail.
도 1은 본 발명에 따른 정보보안 평가관리 시스템의 구성도이고, 도 2는 본 발명에 따른 대시보드부의 화면 구성도이고, 도 3은 본 발명에 따른 평가항목등록부의 화면 구성도이고, 도 4는 본 발명에 따른 증빙·평가관리부의 화면 구성도이며, 도 5는 발명에 따른 평가점수관리부의 화면 구성도이다.Figure 1 is a configuration diagram of an information security evaluation management system according to the present invention, Figure 2 is a screen configuration diagram of the dashboard unit according to the present invention, Figure 3 is a screen configuration diagram of an evaluation item register according to the present invention, and Figure 4 is a screen configuration diagram of the evidence and evaluation management unit according to the present invention, and Figure 5 is a screen configuration diagram of the evaluation score management unit according to the invention.
도 1을 참조하면, 본 발명에 따른 정보보안 평가관리 시스템(Information Security Evaluation Management System; ISEMS)은 정보보안 평가관리 서비스를 제공하기 위한 서버(100)를 포함할 수 있다. 상기 서버(100)는 관리자 단말(200)을 통해 요구되는 정보보안 평가관리 시스템의 다양한 기능을 제공할 수 있고, 정보보안 평가관리 시스템에서 생성되는 데이터를 저장하고 관리할 수 있다. 또한, 관리자별 개인화된 UI/UX를 제공할 수 있다. 그리고 상기 서버(100)는 다수의 관리자 단말(200)을 통해 동시 작업이 가능하도록 확장 가능한 아키텍처와 성능 최적화를 통해 대량의 데이터 처리와 병렬 작업을 지원할 수 있으며, 데이터의 유실을 방지하기 위해서 주요 데이터의 백업과 복구를 지원할 수도 있다. 또한, 상기 서버는(100) 네트워크를 통하여 다수의 관리자 단말(200)과 데이터를 주고받을 수 있다.Referring to FIG. 1, the Information Security Evaluation Management System (ISEMS) according to the present invention may include a server 100 for providing information security evaluation management services. The server 100 can provide various functions of the information security evaluation and management system required through the administrator terminal 200, and can store and manage data generated in the information security evaluation and management system. Additionally, personalized UI/UX can be provided for each administrator. In addition, the server 100 can support large amounts of data processing and parallel work through a scalable architecture and performance optimization to enable simultaneous work through a plurality of administrator terminals 200, and can support major data processing and parallel work to prevent data loss. It can also support backup and recovery. Additionally, the server 100 can exchange data with a plurality of manager terminals 200 through a network.
여기서, 상기 서버(100)는 사용자 인증 및 권한 관리부(110), 대시 보드부(120), 평가항목 등록부(130), 증빙 및 평가 관리부(140), 및 평가점수 관리부(150) 등의 메뉴를 포함할 수 있다. Here, the server 100 provides menus such as the user authentication and authority management unit 110, the dashboard unit 120, the evaluation item registration unit 130, the evidence and evaluation management unit 140, and the evaluation score management unit 150. It can be included.
상기 사용자 인증 및 권한 관리부(110)는 사용자를 인증하고 사용자 권한을 관리한다.The user authentication and permission management unit 110 authenticates users and manages user permissions.
상기 대시 보드부(110)는 자체점수 요약, 실사점수 요약, 최종평가점수 계산 등을 출력한다. The dashboard unit 110 outputs self-score summary, inspection score summary, final evaluation score calculation, etc.
도 2를 참조하면, 상기 대시 보드부(110)는 ① 자체점수 요약은 관리적, 기술적, 위기대응역량 부분에 대하여 자체 평가점수를 보여주고, ② 실사점수 요약은 관리적, 기술적, 위기대응역량 부분에 대하여 실사 평가점수를 보여주며, ③ 최종평가점수 계산은 실사점수, 자체평가 부실도 점수(시스템에서 계산되어 자동 입력되는 값)와 추가정보보안 활동점수(실사평가 후 평가자로부터 입력되는 값)이며, 대응훈련 참여기관일 경우 훈련점수를 평가자로부터 확인된 값을 입력(1점~5점)과 기반시설 관리기관일 경우 훈련점수를 평가자로부터 확인된 값을 입력(1점~20점)할 수 있다. Referring to Figure 2, the dashboard unit 110 displays ① self-score summary showing self-assessment scores in the managerial, technical, and crisis response capabilities sections, and ② due diligence score summary in the managerial, technical, and crisis response capabilities sections. ③ The final evaluation score calculation is the due diligence score, self-assessment poorness score (a value calculated and automatically entered by the system), and additional information security activity score (a value entered by the evaluator after the due diligence evaluation). If you are an organization participating in response training, you can input the training score as confirmed by the evaluator (1 to 5 points). If you are an infrastructure management agency, you can enter the training score as confirmed by the evaluator (1 to 20 points). .
또한, 상기 대시 보드부(110)는 ④ 관리적보안, 기술적보안, 위기대응역량 분야에 대하여 자체점검 및 현장실사 별 점수를 원형 그래프로 출력하고, ⑤ 당해연도 평가준비 상황은 평가준비 상항을 대기, 진행, 완료로 구분하여 막대그래프로 출력하며, ⑥ 연도별 평가 결과는 최근 3개년에 대하여 평가 결과를 막대그래프로 출력한다.In addition, the dashboard unit 110 outputs scores for each self-inspection and on-site inspection in the areas of ④ managerial security, technical security, and crisis response capabilities in a circular graph, ⑤ waits for evaluation preparation status for the current year, It is divided into progress and completion and output as a bar graph. ⑥ Annual evaluation results for the last three years are output as a bar graph.
한편, 후술하는 증빙 및 평가 관리부(140) 메뉴에서 진행상태를 저장하고, 평가점수관리부(400) 메뉴에서 자체점수/실사점수를 등록하면 대시보드부(120)에 바로 반영될 수 있다.Meanwhile, if the progress status is saved in the evidence and evaluation management unit 140 menu, which will be described later, and the self-score/inspection score is registered in the evaluation score management unit 400 menu, it can be immediately reflected in the dashboard unit 120.
상기 평가항목 등록부(130)는 점검 항목과 질의 항목을 분류하고 등록한다. 이때, 등록 항목에 대하여 증빙자료 첨부 및 평가가 이루어지게 된다.The evaluation item register 130 classifies and registers inspection items and inquiry items. At this time, supporting materials are attached and evaluated for the registered items.
도 3을 참조하면, 상기 평가항목 등록부(130)는 ① 점검항목 등록/삭제는 관리하려는 점검 항목을 등록/삭제하고, ② 질의항목 등록/삭제는 점검항목에 해당하는 질의항목을 등록/삭제하며, ③ 질의항목 보기는 질의항목에 대한 세부 내용을 보여주고, ④ 질의항목 수정/비교 열기는 질의항목을 수정하며, ⑤ 전년도 항목비교는 전년도 항목과 비교하여 보여준다.Referring to FIG. 3, the evaluation item register 130 registers/deletes the inspection item to be managed by ① registering/deleting the inspection item, and ② registering/deleting the inquiry item registers/deletes the inquiry item corresponding to the inspection item. , ③ View inquiry item shows the details of the inquiry item, ④ Open inquiry item edit/comparison edits the inquiry item, and ⑤ Compare previous year's item shows it in comparison with the previous year's item.
상기 증빙 및 평가 관리부(140)는 등록된 보안 평가 항목과 세부 질의 항목에 대하여 증빙자료를 첨부하고 평가를 관리한다. The evidence and evaluation management unit 140 attaches supporting materials to registered security evaluation items and detailed query items and manages the evaluation.
도 4를 참조하면, 상기 증빙 및 평가 관리부(140)는 ① 증빙자료 다운로드는 저장된 증빙자료를 다운로드하고, ② 진행상태 저장은 질의 항목별 진행상태(대기/진행/완료)를 저장하고, ③ 해설서 보기는 질의 항목별 해설서를 보여주고, ④ 등록/상세 열기는 증빙자료/질의별 해설서/평가 의견을 등록하며. ⑤ 전년도 자료보기는 전년도 자료를 보여준다.Referring to FIG. 4, the evidence and evaluation management unit 140 ① downloads the stored evidence to download the evidence, ② saves the progress status to store the progress status (waiting/progress/complete) for each query item, and ③ downloads the commentary. View shows the commentary for each question item, and ④ Register/Open details registers supporting materials/explanations/evaluation opinions for each inquiry. ⑤ View previous year’s data shows the previous year’s data.
상기 평가점수 관리부(150)는 등록된 보안 평가 항목과 세부 질의 항목에 대하여 평가 점수를 관리한다. The evaluation score management unit 150 manages evaluation scores for registered security evaluation items and detailed query items.
도 5를 참조하면, 상기 평가점수 관리부(150)는 ① 자체점수 요약/실사점수 요약은 자체점수, 실사점수에 대하여 요약하여 보여주고, ② 점검 항목은 점검항목에 속한 질의항목의 점수합계를 보여주고, ③ 질의 항목은 질의항목별 점수를 보여주며, ④ 점수 상세 열기는 질의항목별 상세내용을 보여주고 점수를 체크한다.Referring to FIG. 5, the evaluation score management unit 150 displays ① self-score summary/inspection score summary in summary of self-score and inspection score, and ② inspection item shows the total score of inquiry items belonging to the inspection item. ③ Query item shows the score for each query item, and ④ Open score details shows the details for each query item and checks the score.
본 발명의 정보보안 평가관리 시스템은 웹서버(톰캣)에 설치되는 소프트웨어로써 사용자는 웹브라우저를 통하여 접속하여 사용하며, 정보보안 관리실태 평가에 대응하여 평가 항목별, 질의별로 평가항목을 입력하고, 증빙자료 및 평가점수를 등록하여 대시보드를 통해 시각화하여 보여줄 수 있다.The information security evaluation and management system of the present invention is software installed on a web server (Tomcat), and the user accesses and uses it through a web browser. In response to the evaluation of information security management status, the user enters evaluation items by evaluation item and query, Evidence and evaluation scores can be registered and visualized through the dashboard.
본 발명에 따르면 상시 점검 체계 지원 및 이행 점검을 통한 준비와 정보보안관리실태 평가 업무 지속성 및 효율성을 증대할 수 있으며, 정보보안관리 평가 업무 진행 상황을 전체적으로 파악할 수 있다. 또한, 관리자별 업무에 대한 진행현황 파악 및 누락 없는 평가 준비를 진행할 수 있고, 이행 현황 관리를 통한 보안담당자 업무효율성을 제고할 수 있다. 그리고, 상황판(DashBoard)을 통한 보안 수준 및 진행현황 모니터링 체계 구축과 과도한 반복적 보안운영 업무를 효율적으로 수행하여 평가에 활용할 수 있다. According to the present invention, the continuity and efficiency of preparation and information security management status evaluation work can be increased through regular inspection system support and implementation inspection, and the progress of the information security management evaluation work can be viewed as a whole. In addition, it is possible to identify the progress of each manager's work and prepare for evaluation without omission, and to improve the work efficiency of security personnel through management of the implementation status. In addition, it can be used for evaluation by establishing a security level and progress monitoring system through the DashBoard and efficiently performing excessively repetitive security operation tasks.
이상에서 설명한 것은 본 발명에 따른 정보보안 평가관리 시스템을 설명하기 위한 실시예에 불과한 것으로, 본 발명을 상기한 실시예에 한정하지 않고, 이하의 특허청구범위에서는 청구하는 본 발명의 요지를 벗어남이 없이 해당발명이 속하는 분야에서 통상의 지식을 가진자라면 누구든지 다양한 변형 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.What has been described above is only an example for explaining the information security evaluation and management system according to the present invention, and the present invention is not limited to the above-described embodiment, and the scope of the following patent claims goes beyond the gist of the claimed invention. Anyone with ordinary knowledge in the field to which the relevant invention pertains will say that the technical spirit of the present invention exists to the extent that various modifications can be made.
100: 서버 110: 사용자 인증 및 권한 관리부
120: 대시 보드부 130: 평가항목 등록부
140: 증빙 및 평가 관리부 150: 평가점수 관리부
200: 사용자 단말100: Server 110: User authentication and authority management department
120: Dashboard section 130: Evaluation item register
140: Evidence and evaluation management department 150: Evaluation score management department
200: user terminal
Claims (7)
자체점수 요약, 실사점수 요약, 최종평가점수 계산을 출력하는 대시 보드부;
점검 항목과 질의 항목을 분류하고 등록하는 평가항목 등록부;
등록된 보안 평가 항목과 세부 질의 항목에 대하여 증빙자료를 첨부하고 평가를 관리하는 증빙 및 평가 관리부; 및
상기 등록된 보안 평가 항목과 세부 질의 항목에 대하여 평가 점수를 관리하는 평가점수 관리부;를 포함하되,
상기 대시 보드부의 자체점수 요약은 관리적보안, 기술적보안, 위기대응역량 부분에 대하여 자체 평가점수를 보여주고, 상기 실사점수 요약은 관리적, 기술적, 위기대응역량 부분에 대하여 실사 평가점수를 보여주며, 상기 최종평가점수 계산은 실사점수, 자체평가 부실도 점수(시스템에서 계산되어 자동 입력되는 값)와 추가정보보안 활동점수(실사평가 후 평가자로부터 입력되는 값)이며, 대응훈련 참여기관일 경우 훈련점수를 평가자로부터 확인된 값을 입력(1점~5점)과 기반시설 관리기관일 경우 훈련점수를 평가자로부터 확인된 값을 입력(1점~20점)하며,
상기 대시 보드부는 관리적보안, 기술적보안, 위기대응역량 분야에 대하여 자체점검 및 현장실사 별 점수를 원형 그래프로 출력하고, 당해연도 평가준비 상황은 평가준비 상항을 대기, 진행, 완료로 구분하여 막대그래프로 출력하며, 연도별 평가 결과는 최근 3개년에 대하여 평가 결과를 막대그래프로 출력하며,
상기 평가항목 등록부는 관리하려는 점검 항목을 등록 및 삭제하고, 점검항목에 해당하는 질의항목을 등록 및 삭제하며, 질의항목에 대한 세부 내용을 보여주고, 질의항목을 수정하고, 전년도 항목과 비교하여 보여주며,
상기 증빙 및 평가 관리부는 저장된 증빙자료를 다운로드하고, 질의 항목별 진행상태(대기/진행/완료)를 저장하고, 질의 항목별 해설서와 전년도 자료를 보여주며, 증빙자료, 질의별 해설서 및 평가 의견을 등록하는 것을 특징으로 하는 정보보안 평가관리 시스템.a user authentication and authority management department that authenticates users and manages user permissions;
A dashboard section that outputs self-score summary, actual score summary, and final evaluation score calculation;
An evaluation item register that classifies and registers inspection items and inquiry items;
Evidence and evaluation management department, which attaches supporting materials for registered security evaluation items and detailed inquiry items and manages the evaluation; and
Including an evaluation score management unit that manages evaluation scores for the registered security evaluation items and detailed query items,
The self-score summary of the dashboard section shows the self-assessment scores in the areas of managerial security, technical security, and crisis response capabilities, and the due diligence score summary shows the due diligence evaluation scores in the areas of managerial, technical, and crisis response capabilities. The final evaluation score is calculated as the due diligence score, self-assessment poorness score (a value calculated and automatically entered by the system), and additional information security activity score (a value entered by the evaluator after the due diligence evaluation). If an organization participates in response training, the training score is calculated. Enter the value confirmed by the evaluator (1 point to 5 points) and, if you are an infrastructure management agency, enter the value confirmed by the evaluator for the training score (1 point to 20 points).
The dashboard section outputs scores for each self-inspection and on-site inspection in the areas of managerial security, technical security, and crisis response capabilities in a circular graph, and the evaluation preparation status for the year is divided into waiting, progress, and completion, and is displayed in a bar graph. The yearly evaluation results are output as bar graphs for the last three years.
The evaluation item register registers and deletes the inspection items to be managed, registers and deletes inquiry items corresponding to the inspection items, shows detailed information on the inquiry items, modifies the inquiry items, and compares them with the previous year's items. Give,
The above evidence and evaluation management department downloads the saved evidential materials, stores the progress status (waiting/in progress/complete) for each inquiry item, displays explanations for each inquiry item and previous year's data, and provides supporting materials, explanations for each inquiry, and evaluation opinions. An information security evaluation management system characterized by registration.
상기 평가점수 관리부는 자체점수 및 실사점수에 대한 요약, 점검항목에 속한 질의항목의 점수합계, 및 질의항목별 점수를 보여주며, 질의항목별 상세내용을 보여주고 점수를 체크하는 것을 특징으로 하는 정보보안 평가관리 시스템.According to paragraph 1,
The evaluation score management unit shows a summary of the self-score and due diligence score, the total score of the inquiry items belonging to the inspection item, and the score for each inquiry item, and shows detailed information for each inquiry item and checks the score. Security evaluation management system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230152935A KR102671357B1 (en) | 2023-11-07 | 2023-11-07 | Information Security Evaluation Management System |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230152935A KR102671357B1 (en) | 2023-11-07 | 2023-11-07 | Information Security Evaluation Management System |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102671357B1 true KR102671357B1 (en) | 2024-05-31 |
Family
ID=91330090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230152935A KR102671357B1 (en) | 2023-11-07 | 2023-11-07 | Information Security Evaluation Management System |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102671357B1 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140081071A (en) * | 2012-12-21 | 2014-07-01 | 한국과학기술원 | Method and system for real-time security performance and measurement management |
| KR20180069971A (en) | 2016-12-15 | 2018-06-26 | 주식회사 진앤현시큐리티서비스 | System for integrating security management |
| KR102233695B1 (en) * | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | Information and communication system for performing information protection risk analysis |
-
2023
- 2023-11-07 KR KR1020230152935A patent/KR102671357B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140081071A (en) * | 2012-12-21 | 2014-07-01 | 한국과학기술원 | Method and system for real-time security performance and measurement management |
| KR20180069971A (en) | 2016-12-15 | 2018-06-26 | 주식회사 진앤현시큐리티서비스 | System for integrating security management |
| KR102233695B1 (en) * | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | Information and communication system for performing information protection risk analysis |
Non-Patent Citations (1)
| Title |
|---|
| 국방조직의 정보보호 평가 방법론 개발(한국IT서비스학회지, 2013.12.31.) 1부.* * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111192012B (en) | Item processing method, item processing device, server and storage medium | |
| US9633115B2 (en) | Analyzing a query and provisioning data to analytics | |
| US9672488B1 (en) | Assessment construction tool | |
| US20110129806A1 (en) | System for training | |
| CA2786355C (en) | Associative memory technology for analysis of requests for proposal | |
| CN111062690A (en) | User purchase management system based on block chain technology | |
| Dustdar et al. | Interaction pattern detection in process oriented information systems | |
| Young | The impact of technological innovation on service delivery: social media and smartphone integration in a 311 system | |
| Anu | Information security governance metrics: a survey and taxonomy | |
| Hoad et al. | The use of search experimentation in discrete-event simulation practice | |
| Santos et al. | Templates for textual use cases of software product lines: results from a systematic mapping study and a controlled experiment | |
| KR102671357B1 (en) | Information Security Evaluation Management System | |
| Al-Bahri et al. | Evaluate the role of big data in enhancing strategic decision making for E-governance in E-Oman portal | |
| Sönmez et al. | Evaluation of security information and event management systems for custom security visualization generation | |
| Yang et al. | [Retracted] Framework Design of Science and Technology Venture Capital Salary Management System Driven by Blockchain Technology | |
| Kurien et al. | Development of PHP and MySQL based Digital Asset Management System for Secure Organizations | |
| Furfaro et al. | Cybersecurity compliance analysis as a service: Requirements specification and application scenarios | |
| US20140156339A1 (en) | Operational risk and control analysis of an organization | |
| US9990599B1 (en) | Method and system for multidisciplinary research collaboration | |
| US20170060647A1 (en) | Event-based data management method and device | |
| Obi et al. | E-government project implementation: Insight from interviews in Vietnam | |
| Mauelshagen et al. | Respect for experience and organisational ability to operate in complex and safety critical environments | |
| KR102671361B1 (en) | Integrated Information Security Evaluation System | |
| KR20210095601A (en) | Public information sharing system affiliated agency oriented self-diagnosis system for enhancing information sharing by using text mining : method thereof | |
| Moses et al. | ISMS in small public sector organisations: requirements and design of a procedural approach. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AMND | Amendment | ||
| X091 | Application refused [patent] | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |