KR20040051744A - System for evaluating risk value of network property and method thereof - Google Patents

System for evaluating risk value of network property and method thereof Download PDF

Info

Publication number
KR20040051744A
KR20040051744A KR1020020078711A KR20020078711A KR20040051744A KR 20040051744 A KR20040051744 A KR 20040051744A KR 1020020078711 A KR1020020078711 A KR 1020020078711A KR 20020078711 A KR20020078711 A KR 20020078711A KR 20040051744 A KR20040051744 A KR 20040051744A
Authority
KR
South Korea
Prior art keywords
risk
primary
reference value
rating
asset
Prior art date
Application number
KR1020020078711A
Other languages
Korean (ko)
Inventor
김현숙
정연화
임미정
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020020078711A priority Critical patent/KR20040051744A/en
Publication of KR20040051744A publication Critical patent/KR20040051744A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports

Abstract

PURPOSE: A system for calculating a risk level of network assessment and a method therefor are provided to reduce the cost necessary for risk evaluation by introducing a concept of references and differentially applying risk evaluation. CONSTITUTION: A risk level setup device(130) evaluates risk of network assessment firstly and secondly, and calculates first and second risk levels, and a total risk level, and detail levels. A reference setup device(120) calculates first and second references which is references when dividing the first and second risk levels. A security information storage(110) stores the calculated first and second risk levels, and a total risk level, and detail levels, stores the first and second references, stores basic investigation contents necessary for risk evaluation and intermediate data produced in risk evaluation, and stores information of network assessment.

Description

네트워크 자산의 위험 등급 산출 시스템 및 그 방법{System for evaluating risk value of network property and method thereof}System for evaluating risk value of network property and method

본 발명은 네트워크 자산의 위험 등급 산출 시스템 및 그 방법에 관한 것으로, 네트워크 자산의 위험 평가 레벨을 차등화하여 위험 평가를 수행하고, 이전의 위험 평가 결과를 다음 평가에 반영하는 네트워크 자산의 위험 등급 산출 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for calculating a risk rating of a network asset. The present invention relates to a risk rating calculation system for a network asset that performs a risk evaluation by differentially evaluating a risk assessment level of a network asset and reflects the previous risk evaluation result in a next evaluation. And to a method thereof.

네트워크 자산에 대한 위험 평가 기술은 아직 표준화가 추진 중에 있으며, 대표적인 표준화 기관으로 ISO(International Organization for Standardization)의 RA(Risk Assessment) Part가 있으나 위험 평가 기술 자체를 표준화하는 것이 아니라 위험 평가와 보안 관리 사이의 개념을 정립하는 것이다.The standardization of risk assessment technology for network assets is still underway, and the representative standardization agency is the Risk Assessment (RA) part of the International Organization for Standardization (ISO), but it does not standardize the risk assessment technology itself, but rather between risk assessment and security management. It is to establish the concept of.

더욱이 위험 평가의 특성상 기본적인 환경 분석을 통해 대상 시설 자산을 분류하는 방법, 각 자산에 적합한 위험 분석을 적용하는 방법, 위험 분석 결과를 가공하여 위험 등급을 산출하는 방법, 및 산출된 자산의 위험 등급을 평가하여 전체 네트워크의 보안 등급을 산출하는 방법 등은 정형화되어 있는 상황이 아니다.Moreover, due to the nature of the risk assessment, basic environmental analysis is used to classify the target facility assets, apply appropriate risk analysis to each asset, process the risk analysis results to calculate the risk rating, and calculate the risk rating of the calculated assets. How to evaluate and calculate the security level of the entire network is not a formal situation.

따라서 이 부분에 대한 깊이 있는 연구가 요구되며, 실제 적용을 통한 검증 역시 필요한 상황이다.Therefore, an in-depth study of this area is required, and verification through actual application is also required.

본 발명의 목적은, 네트워크 자산의 위험 평가 레벨을 차등화하여 위험 등급을 산출하는데 있다.It is an object of the present invention to calculate a risk rating by differentiating the risk assessment level of a network asset.

본 발명의 다른 목적은, 네트워크 자산의 위험 평가 레벨에 각각 기준치를 설정하여 위험 등급을 산출하는데 있다.Another object of the present invention is to calculate a risk level by setting a reference value at each risk assessment level of a network asset.

도 1은 본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템의 구성도.1 is a block diagram of a system for calculating a risk rating of a network asset according to the present invention.

도 2는 도 1의 데이터 처리부에서 위험 평가의 1차 기준치를 산출하는 과정의 흐름도.FIG. 2 is a flowchart of a process of calculating a primary reference value of risk assessment in the data processor of FIG. 1.

도 3은 도 1의 데이터 처리부에서 위험 평가의 2차 기준치를 산출하는 과정의 흐름도.3 is a flowchart of a process of calculating a second reference value of risk assessment in the data processor of FIG. 1;

도 4는 본 발명에 따른 위험 평가의 동작 흐름도.4 is an operational flow of risk assessment in accordance with the present invention.

이를 위하여, 본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템은, 네트워크 자산의 위험 평가를 1차 및 2차로 나누어 평가하고, 1차 및 2차의 평가에 따라 1차 및 2차 위험 등급과 전체 위험 등급 및 세부 등급을 각각 산출하는 위험 등급 설정 장치; 1차 및 2차의 위험 평가 시, 1차 및 2차 위험 등급을 나누는 기준이 되는 1차 및 2차 기준치를 각각 산출하는 기준치 설정 장치; 및 매회 위험 평가 시 산출되는 1차 및 2차 위험 등급과 전체 위험 등급 및 세부 등급을 저장하고, 1차 및 2차 기준치를 저장하며, 위험 평가에 필요한 기본 조사 내용과 위험 평가 시 산출되는 중간 데이터를 저장하고, 네트워크 자산의 정보를 저장하는 보안 정보 저장 장치를 구비하는 것을 특징으로 한다.To this end, the risk rating calculation system of network assets according to the present invention evaluates the risk assessment of the network assets by dividing them into primary and secondary risks, and according to the primary and secondary assessments, the primary and secondary risk classes and overall risks. A risk class setting device for calculating a class and a detailed class respectively; A reference value setting device that calculates primary and secondary reference values, which serve as a reference for dividing the primary and secondary risk classes, respectively, in the primary and secondary risk evaluations; And primary and secondary risk levels and overall risk and detail ratings calculated during each risk assessment, primary and secondary baseline values, basic investigations required for risk assessment, and intermediate data generated during risk assessment. And a security information storage device for storing the information of the network asset.

그리고, 본 발명에 따른 네트워크 자산의 위험 등급 산출 방법은, 미리 조사되어 있는 네트워크 자산에 대한 기본 조사 내용을 참조하여 세부 등급을 산출하는 제 1과정; 산출된 세부 등급을 이용하여 1차 및 2차 위험 수치를 산출하는 제 2과정; 산출된 1차 위험 수치를 이용하여 1차 위험 등급을 산출하는 제 3과정; 산출된 1차 위험 등급을 위험 평가의 대상을 선별하는 기준인 1차 기준치와 비교하여, 1차 위험 등급이 1차 기준치보다 크면, 2차 위험 수치를 이용하여 2차 위험 등급을 산출하는 제 4과정; 네트워크 자산의 전체 위험 등급을 산출하는 제 5과정; 및 산출된 전체 위험 등급을 보안 투자를 결정하는 기준인 2차 기준치와 비교하여, 전체 위험 등급이 2차 기준치보다 크면, 해당 자산에 보안 처리가 필요함을 판단하는 제 6과정을 포함하는 것을 특징으로 한다.In addition, the risk rating calculation method of the network asset according to the present invention may include a first step of calculating a detailed rating by referring to basic survey contents of a network asset that has been previously investigated; A second step of calculating first and second risk values using the calculated detailed grades; A third step of calculating a primary risk level using the calculated primary risk value; Comparing the calculated primary risk rating to the primary threshold, the criteria for screening the subjects of risk assessment, and if the primary risk rating is greater than the primary threshold, a fourth risk rating is calculated using the secondary risk value. process; Calculating a total risk level of the network asset; And a sixth process of comparing the calculated overall risk level with a second reference value that is a criterion for determining the security investment, and determining that the asset requires security processing if the overall risk level is greater than the second reference value. do.

이하, 본 발명에 따른 바람직한 실시 예를 첨부 도면을 참조하여 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템은, 연속적인 위험 평가를 하기 위하여 각 자산별로 목록을 만들어 이에 대한 위험 분석을 수행하고 이를 평가하여 전체적인 위험 상태를 수치화함으로써 향후 네트워크 자산의 투자 여부와 투자 내용을 결정하도록 한다.In the risk rating calculation system of network assets according to the present invention, in order to perform a continuous risk assessment, a list of each asset is made, a risk analysis is performed, and the overall risk state is quantified by evaluating the risks. Determine the content.

이를 위하여 본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템은, 도1에 도시된 바와 같이, 보안 정보 데이터베이스(110), 기준치 설정 장치(120), 및 위험 등급 설정 장치(130)를 구비하며, 일정한 주기에 따라 네트워크 자산의 위험을 평가하여 등급을 산출한다.To this end, the risk rating calculation system for network assets according to the present invention, as shown in Figure 1, comprises a security information database 110, a reference value setting device 120, and a risk rating setting device 130, The cycle evaluates the risk of network assets and calculates a rating.

보안 정보 데이터베이스(110)는 이러한 네트워크 자산의 위험 등급 산출을 위해 필요한 정보를 저장하며, 이를 위하여 기본적인 네트워크 자산의 정보와 매회마다 수행된 위험 평가 결과를 저장하는 위험 평가 히스토리 데이터베이스(112)와 현재 수행되는 위험 평가에 필요한 기본 조사 내용과 현재 수행되는 위험 평가의 중간 데이터 및 결과를 저장하는 위험 진단 데이터베이스(114), 및 위험 등급 산출에 필요한 기준치를 저장하는 기준치 관리 데이터베이스(116)를 구비한다.The security information database 110 stores information necessary for calculating a risk level of such network assets. For this purpose, the risk information history database 112 and the current performance of the risk assessment history are stored to store basic network asset information and a risk assessment result performed every time. A risk diagnosis database 114 for storing the basic investigation contents necessary for the risk assessment to be performed and intermediate data and results of the current risk assessment, and a reference value management database 116 for storing the reference values necessary for calculating the risk level.

위험 평가 히스토리 데이터베이스(112)에 저장되는 기본적인 네트워크 자산의 정보란, 자산의 히스토리 정보로서, 자산에 대한 분류(인적/물적) 정보와 함께 이들의 상세 정보(물적 자산의 경우, 도입년도, 도입비용, 감가상각률 등)등을 포함하는, 자산 가치를 산정할 수 있는 정보이다.The basic network asset information stored in the risk assessment history database 112 is history information of the asset, together with the classification (human / physical) information about the asset and their detailed information (in the case of the physical asset, the introduction year and introduction cost). Information about which assets can be valued, including depreciation rates, etc.).

그리고, 매회마다 수행된 위험 평가 결과란, 위험 평가의 연속성을 위해 이전의 위험 평가 결과를 다음 평가에 반영하기 위한 것으로, 예를 들면, 각 자산별로 전체 위험 등급, 1차 및 2차 위험 등급, 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급 등의 세부적인 등급이 이에 해당된다.The result of each risk assessment is to reflect the previous risk assessment result in the next assessment for the continuity of the risk assessment. For example, the total risk rating, the first and second risk ratings for each asset, This includes detailed ratings such as revenue contribution, other asset correlation, risk implication, asset rating, vulnerability rating, and threat rating.

위험 진단 데이터베이스(114)는 앞으로 수행될 위험 평가의 위험 등급 산출을 위해 세부적인 자료 조사 및 설문 조사 결과를 저장한다.The risk diagnosis database 114 stores detailed data surveys and survey results for the purpose of calculating risk ratings for risk assessments to be performed in the future.

따라서 위험 진단 데이터베이스(114)는 매회 위험 평가를 수행할 때마다 업데이트되며, 여기에는 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급 등을 산출하기 위한 기본 조사 내용이 저장된다.Therefore, the risk diagnosis database 114 is updated every time a risk assessment is performed, which includes basic survey contents for calculating profit contribution, other asset correlation, risk implication, asset rating, vulnerability rating, and threat rating. Is stored.

이러한 이유로 위험 평가에 필요한 세부적인 조사 항목의 선정은 조직의 정책에 따라 융통성있게 적용될 수 있다.For this reason, the selection of detailed investigation items for risk assessment can be applied flexibly, depending on the organization's policies.

예를 들면, 수익기여도와 타자산연관도의 경우에는 운영자 및 관리자의 설문 조사(등급 체크)로 수행될 수 있고, 위험내재도의 경우에는 운영자 및 관리자의 설문 조사(등급 체크)와 과거 위험 발생 빈도 조사로 수행될 수 있으며, 이러한 모든 조사 내용은 자산별로 수행되어 입력된다.For example, in the case of revenue contribution and other asset-related diagrams, the survey may be conducted by the operator and the manager (grade check), and in the case of the risk implication, the operator and the manager's survey (the grade check) and past risks are generated Frequency surveys can be conducted and all of these surveys are performed on a per asset basis.

또한, 위험 진단 데이터베이스(114)는 상기와 같은 세부적인 자료 조사 및 설문 조사 결과를 이용하여 위험 평가를 수행하면서 산출되는 여러 가지 중간 데이터들과 위험 평가의 결과 값을 저장한다.In addition, the risk diagnosis database 114 stores various intermediate data calculated while performing risk assessment using the detailed data survey and questionnaire results and the result value of the risk assessment.

위험 평가 히스토리 데이터베이스(112)에 저장되어 있는 기본적인 네트워크 자산의 정보는 자산의 처분 및 구입에 따라 내용의 삭제 및 추가가 가능하도록 하는 것이 바람직하고, 매회마다 수행된 위험 평가의 결과는 조직의 보안 정책에 따라 최근 몇년까지 저장한다는 원칙 하에 업데이트 되는 것이 바람직하며, 반면, 위험 진단 데이터베이스(114)는 상술된 바와 같이 현재 수행할 위험 평가의 위험 등급 산출에 사용되는 정보를 저장하므로 매회마다 업데이트 되는 것이 바람직하다.The basic network asset information stored in the risk assessment history database 112 should be able to delete and add contents according to the disposal and purchase of the asset, and the result of the risk assessment performed every time is the organization's security policy. According to the principle of storing up to recent years, the risk diagnosis database 114 stores the information used to calculate the risk level of the risk assessment to be performed at present, as described above. Do.

기준치 관리 데이터베이스(116)는 n-1회의 위험 평가 수행 시 산출된 1차 및 2차 기준치를 저장하며, 이러한 n-1회의 1차 및 2차 기준치는 n회의 1차 및 2차 기준치 산출에 사용된다.The baseline management database 116 stores the primary and secondary baseline values calculated during n-1 risk assessments, and these n-1 primary and secondary baselines are used to calculate n primary and secondary baseline values. do.

따라서, 기준치 관리 데이터베이스(116)는 매회 산출되는 1차 및 2차 기준치를 저장하여 다음 회의 1차 및 2차 기준치 산출을 위해 사용되며, 매회 1차 및 2차 기준치가 산출되면 업데이트 된다.Therefore, the reference value management database 116 stores the first and second reference values calculated each time and is used for calculating the next first and second reference values, and is updated when the first and second reference values are calculated each time.

그리고 본 발명은 위험 평가 레벨을 1차 위험 평가와 2차 위험 평가의 두 단계로 차등화하여 자산의 위험 평가를 수행하는데, 1차 위험 평가를 통해 2차 위험 평가를 수행하지 않아도 될 자산을 필터링한다.In addition, the present invention performs risk assessment of assets by dividing the risk assessment level into two stages of primary risk assessment and secondary risk assessment, and filters assets that do not require secondary risk assessment through primary risk assessment. .

다시 말하면, 1차 위험 평가를 통해 분리되어 2차 위험 평가를 수행하지 않은 자산은 위험도가 낮아 위험 제어, 즉 보안 투자가 필요없는 자산으로 판단된다.In other words, assets that are separated through the primary risk assessment and do not perform the secondary risk assessment are considered to be low-risk assets that do not require risk control, that is, security investment.

이에, 1차 및 2차의 위험 평가를 통해 자산의 위험 등급을 나누기 위한 기준치가 필요하며, 이러한 기준치는 기준치 설정 장치(120)에서 설정된다.Therefore, a reference value for dividing the risk level of the asset through the first and second risk assessment is required, and this reference value is set in the reference value setting device 120.

1차 위험 평가를 위한 1차 기준치는 위험 평가의 대상을 선별하는 기준 값이며, 2차 위험 평가를 위한 2차 기준치는 위험 평가 결과에 따라 보안 투자를 결정하는 기준 값이다.The primary baseline for the primary risk assessment is the baseline for screening the subjects of the risk assessment, and the secondary baseline for the secondary risk assessment is the baseline for determining security investments based on the results of the risk assessment.

1차 및 2차 기준치 모두 이전에 수행되었던 위험 평가의 결과를 가공하여 산출되며, 이러한 산출 방법은 해당 위험 평가가 대상 네트워크의 변화 관리 결과를 연속적으로 반영시킨다는 장점을 갖는다.Both primary and secondary baseline values are calculated by processing the results of risk assessments that have been previously performed, and this method has the advantage that the risk assessment continuously reflects the change management results of the target network.

기준치 설정 장치(120)는 데이터 입력부(122), 데이터 처리부(124), 및 데이터 출력부(126)를 구비한다.The reference value setting device 120 includes a data input unit 122, a data processing unit 124, and a data output unit 126.

데이터 입력부(122)는 1차 및 2차 기준치를 산출하기 위하여 위험 평가 히스토리 데이터베이스(112)로부터 n-1회에 수행된 위험 평가 결과의 1차 및 2차 위험등급과 전체 위험 등급 정보를 가져오고, 기준치 관리 데이터베이스에서 2차 기준치 정보를 가져온다.The data input unit 122 obtains the first and second risk ratings and the overall risk rating information of the risk evaluation results performed n-1 times from the risk assessment history database 112 to calculate the first and second reference values. From the baseline management database, the secondary baseline information is retrieved.

그리고, 가져온 n-1회 1차 및 2차 위험 등급과 전체 위험 등급 정보를 이용하여, 1차 위험 등급 < 2차 위험 등급인 자산 비율, 1차 위험 등급 > 2차 위험 등급인 자산 비율, 전체 위험 등급 < 2차 기준치인 자산 비율, 및 전체 위험 등급 > 2차 기준치인 자산 비율 등의 값을 계산한다.Then, using the imported n-1 times primary and secondary risk ratings and overall risk rating information, the proportion of assets with primary risk rating <secondary risk rating, primary risk rating> secondary risk rating, overall Calculate values such as Risk Rate <Secondary Baseline Asset Ratio, and Overall Risk Class> Secondary Baseline Asset Ratio.

이때 계산된 정보는 이전 위험 평가 결과 자료에 대한 통계치로서, 1차 및 2차 위험 평가를 모두 수행한 자산들의 위험 등급의 차이를 산출한 값들이다.The calculated information is a statistical value of the previous risk assessment data, and is a value that calculates the difference in risk grades of assets that have performed both the first and second risk assessments.

데이터 입력부(122)에서 계산된 통계 자료가 입력되면, 이를 이용하여 데이터 처리부(124)는 n회 위험 평가의 1차 기준치 및 2차 기준치를 산출한다.When the statistical data calculated by the data input unit 122 is input, the data processing unit 124 calculates the first reference value and the second reference value of the n-time risk assessment using the same.

도 2는 데이터 처리부(124)에서 n회 위험 평가의 1차 기준치를 산출하는 과정의 흐름도이다.2 is a flowchart of a process of calculating a first reference value of n-time risk assessment by the data processor 124.

먼저, n회 위험 평가의 1차 기준치 하향 비율을 산출한다(S210).First, the first baseline down ratio of the n-time risk assessment is calculated (S210).

이는 데이터 입력부(122)를 통해 입력받은 1차 위험 등급 < 2차 위험 등급인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 기록 가운데 2차 위험 평가 결과 얻어진 위험 등급이 1차 위험 등급보다 높아진 자산의 비율을 계산함으로써 산출된다.The risk rating obtained as a result of the second risk assessment is the first among the risk assessment records that were performed n-1 times using the value of the ratio of the assets having the first risk rating <the second risk rating input through the data input unit 122. It is calculated by calculating the percentage of assets above the risk class.

그리고 n회 위험 평가의 1차 기준치 상향 비율을 산출한다(S220).In operation S220, the first baseline increase rate of the risk assessment is calculated.

이는 데이터 입력부(122)를 통해 입력받은 1차 위험 등급 > 2차 위험 등급인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 기록 가운데 2차 위험평가 결과 얻어진 위험 등급이 1차 위험 등급보다 낮아진 자산의 비율을 계산함으로 산출된다.This is based on the value of the asset ratio of the first risk level> the second risk level, which is input through the data input unit 122, and the risk level obtained as a result of the second risk evaluation is the first among the risk evaluation records performed n-1 times. It is calculated by calculating the proportion of assets below the risk class.

산출된 1차 기준치 하향 비율이 일정 수준(T1)을 초과하면(S230), n회 위험 평가의 1차 기준치를 하향 조정한다(S240).If the calculated first baseline down ratio exceeds a predetermined level (T1) (S230), the first baseline of the n-time risk assessment is adjusted down (S240).

그러나 산출된 1차 기준치 상향 비율이 일정 수준(T1)을 초과하면(S250), n회 위험 평가의 1차 기준치를 상향 조정한다(S260).However, if the calculated first baseline rate of increase exceeds a predetermined level (T1) (S250), the first baseline of the n-time risk assessment is adjusted (S260).

위 두가지 조건에 만족하지 않으면 기존의 1차 기준치를 그대로 유지한다(S270).If the above two conditions are not satisfied, the existing primary reference value is maintained as it is (S270).

도 3은 데이터 처리부(124)에서 n회 위험 평가의 2차 기준치를 산출하는 과정의 흐름도이다.3 is a flowchart of a process of calculating a second reference value of n-time risk assessment by the data processor 124.

먼저, n회 위험 평가의 2차 기준치 하향 비율을 산출한다(S310).First, a rate of decreasing the second reference value of the n-time risk assessment is calculated (S310).

이는 데이터 입력부(122)를 통해 입력받은 전체 위험 등급 < 2차 기준치인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 결과 산출된 전체 위험 등급이 2차 기준치보다 작은 경우에 해당하는 자산의 비율을 계산함으로써 산출된다.This is the case when the total risk rating calculated as a result of the risk assessment performed at n-1 times is smaller than the second reference value by using the value of the asset ratio which is the total risk rating <the second reference value input through the data input unit 122. Calculated by calculating the ratio of assets to

그리고 n회 위험 평가의 2차 기준치 상향 비율을 산출한다(S320).In operation S320, a rate of raising the second reference value of the n-time risk assessment is calculated.

이는 데이터 입력부(122)를 통해 입력받은 전체 위험 등급 > 2차 기준치인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 결과 산출된 전체 위험 등급이 2차 기준치보다 큰 경우에 해당하는 자산의 비율을 계산함으로써 산출된다.This is the case when the total risk rating calculated as a result of the risk assessment performed at n-1 times is greater than the second reference value by using the value of the asset ratio which is the total risk level> the second reference value input through the data input unit 122. Calculated by calculating the ratio of assets to

산출된 2차 기준치 하향 비율이 일정 수준(T2)을 초과하면(S330), n회 위험평가의 2차 기준치를 하향 조정한다(S340).If the calculated second threshold fall ratio exceeds a predetermined level (T2) (S330), the second threshold of the n-time risk assessment is adjusted downward (S340).

그러나 산출된 2차 기준치 상향 비율이 일정 수준(T2)을 초과하면(S350), n회 위험 평가의 2차 기준치를 상향 조정한다(S360).However, if the calculated second baseline rate of increase exceeds a predetermined level (T2) (S350), the second baseline of the n-time risk assessment is adjusted (S360).

위 두가지 조건에 만족하지 않으면 기존의 2차 기준치를 그대로 유지한다(S370).If the above two conditions are not satisfied, the existing secondary reference value is maintained as it is (S370).

그리고, 상기와 같은 n회의 1차 및 2차 기준치를 산출하기 위한 1차 기준치 하향 및 상향 비율과 2차 기준치 하향 및 상향 비율은, 위험 평가 수행을 위한 중간 데이터로서 위험 진단 데이터베이스(114)에 임시 저장되어 있다가 1차 및 2차 기준치를 산출하는데 사용된다.In addition, the first baseline down and up rates and the second base line down and up rates for calculating the n primary and secondary base values as described above are temporarily stored in the risk diagnosis database 114 as intermediate data for performing risk assessment. It is stored and used to calculate the primary and secondary reference values.

데이터 출력부(126)는 이렇게 산출된 n회의 1차 및 2차 기준치를 기준치 관리 데이터베이스(116)에 저장하여 추후 위험 등급 설정 장치(130)에서 기준치에 의한 네트워크 자산의 위험 등급이 산출되도록 한다.The data output unit 126 stores the n times the first and second reference values calculated in the reference value management database 116 so that the risk rating of the network asset based on the reference value may be calculated in the risk class setting device 130 later.

위험 등급 설정 장치(130)는 위험 분석부(132), 위험 평가부(134), 및 위험 제어부(136)를 구비한다.The risk rating device 130 includes a risk analyzer 132, a risk evaluator 134, and a risk controller 136.

n회 위험 평가를 위한 위험 등급 설정 장치(130)의 기능 및 동작을 도 4를 참조하여 설명한다.The function and operation of the risk class setting device 130 for n-time risk evaluation will be described with reference to FIG. 4.

위험 분석부(132)는 네트워크 자산, 예를 들면, 라우터 및 스위치 등의 장비, 운용 및 관리 인력, 문서화 등의 자료에 대한 리스트를 바탕으로 각각의 수준에 맞게 위험을 분석한다.The risk analysis unit 132 analyzes the risk at each level based on a list of data on network assets, such as equipment such as routers and switches, operation and management personnel, and documentation.

이때 위험 분석은 자산별로 1차와 2차로 나누어 수행되며, 1차 분석은 수익기여도, 타자산연관도, 및 위험내재도를 점수화하여 자산별 1차 위험 수치를 산출하는 것이고, 2차 분석은 자산등급, 취약성등급, 및 위협성등급을 세부 항목별로 분석하여 자산별 2차 위험 수치를 산출하는 것이다.In this case, the risk analysis is performed by dividing the asset into primary and secondary, and the primary analysis is to calculate the primary risk value for each asset by scoring the profit contribution, other asset correlation, and risk intrinsicness. The secondary risk value for each asset is calculated by analyzing the ratings, vulnerability ratings, and threat ratings in detail.

이를 위하여, 위험 분석부(132)는 먼저, 위험 진단 데이터베이스(114)로부터 n회 위험 평가를 위해 미리 조사되어 저장되어 있는 기본 조사 내용을 참조하여, 1차 및 2차 위험 수치를 산출하기 위한 기초 데이터로서, 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급 등을 산출한다(S410).To this end, the risk analysis unit 132 first refers to the basic investigation contents which have been pre-investigated and stored for the risk assessment n times from the risk diagnosis database 114, and the basis for calculating the primary and secondary risk values. As data, the degree of profit contribution, the degree of association with other assets, the degree of risk implications, the asset class, the vulnerability rating, and the threat rating are calculated (S410).

특히, 자산등급, 취약성등급, 및 위협성등급을 산출하는 식은 식 1과 같다.In particular, the equation for calculating asset class, vulnerability class, and threat class is as shown in Equation 1.

<식 1><Equation 1>

자산등급=실제자산가치수익기여도타자산연관도위험내재도Asset class = actual asset value Revenue contribution Other asset association diagram Risk implications

취약성등급=취약성요소가중치취약심각도Vulnerability Rating = Vulnerability Factor Weighted Vulnerability Severity

위협성등급=위협성요소가중치위협빈도Threat class = weight of threat factor Threat frequency

식 1에서 자산등급, 취약성등급, 및 위협성등급을 산출하기 위한 실제자산가치, 수익기여도, 타자산연관도, 위험내재도, 취약성요소가중치, 취약심각도, 위협성요소가중치, 및 위협빈도는 위험 진단 데이터베이스(114)로부터 n회 위험 평가를 위해 미리 조사되어 저장되어 있는 기본 조사 내용에 포함되는 정보이다.Actual asset value, revenue contribution, other asset correlation, risk intrinsic, vulnerability weighting, vulnerability severity, threat factor weighting, and threat frequency for calculating asset class, vulnerability class, and threat class in Equation 1 The information included in the basic investigation content which is previously investigated and stored for n risk assessments from (114).

상기와 같이 1차 및 2차 위험 수치를 산출하기 위한 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급의 기초 데이터 산출이 완료되면, 식 2에 따라 자산별 1차 및 2차 위험 수치를 산출한다(S420).As described above, when the basic data of revenue contribution, other asset association, risk impliedness, asset class, vulnerability rating, and threat rating are calculated to calculate the primary and secondary risk values, The second and second risk values are calculated (S420).

<식 2><Equation 2>

1차 위험 수치=수익기여도타자산연관도위험내재도1st risk figure = revenue contribution Other asset association diagram Risk implications

2차 위험 수치=자산등급취약성등급위협성등급2nd risk figure = asset class Vulnerability level Threat rating

상술된 바와 같이 위험 분석부(132)에서 산출된 자산별 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급과, 자산별 1차 및 2차 위험 수치는 위험 평가 수행을 위한 중간 데이터로서 위험 진단 데이터베이스(114)에 저장된다.As described above, the asset-specific revenue contribution, other asset correlation, risk implication, asset class, vulnerability rating, and threat rating, and the first and second risk values for each asset are calculated by the risk analysis unit 132. It is stored in the risk diagnosis database 114 as intermediate data for performance.

위험 평가부(134)는 먼저, 위험 분석부(132)에서 산출된 1차 위험 수치를 위험 진단 데이터베이스(114)로부터 참조하여 자산별 1차 위험 등급을 산출한다(S430).The risk evaluation unit 134 first calculates a primary risk level for each asset by referring to the primary risk value calculated by the risk analysis unit 132 from the risk diagnosis database 114 (S430).

1차 위험 등급의 산출은 기 정해진 규칙에 따라 1차 위험 수치가 해당 위험 등급에 포함되는 수치인지를 판단하여 수행된다.The calculation of the primary risk level is carried out by determining whether the primary risk value is included in the risk level according to a predetermined rule.

1차 위험 등급이 산출되면, 기준치 관리 데이터베이스(116)의 1차 기준치를 참조하여, 산출된 1차 위험 등급과 위험 평가의 대상을 선별하는 기준인 1차 기준치와 비교하여(S440) 1차 위험 평가 등급이 더 크면 자산별 2차 위험 등급을 산출한다(S450).When the primary risk level is calculated, the primary risk is compared with the primary reference value, which is a criterion for selecting the target risk level and the object of the risk assessment, by referring to the primary reference value of the baseline management database 116 (S440). If the evaluation grade is larger, a second risk rating for each asset is calculated (S450).

2차 위험 등급의 산출은 1차 위험 등급의 산출과 마찬가지로, 위험 분석부(132)에서 산출된 2차 위험 수치를 위험 진단 데이터베이스(114)로부터 참조하여 기 정해진 규칙에 따라 해당 위험 등급에 포함되는 수치인지를 판단하여 수행된다.Similar to the calculation of the primary risk rating, the calculation of the secondary risk rating refers to the secondary risk value calculated by the risk analysis unit 132 from the risk diagnosis database 114 and is included in the corresponding risk level according to a predetermined rule. This is done by determining if it is a numerical value.

2차 위험 등급이 산출되고 나면 해당 자산의 위험 평가에 대한 전체 위험 등급을 산출한다(S460).After the secondary risk rating is calculated, the overall risk rating for the risk assessment of the asset is calculated (S460).

위험 평가부(134)에서 산출된 자산별 1차 및 2차 위험 등급과 전체 위험 등급은 위험 평가 수행을 위한 중간 데이터로서 위험 진단 데이터베이스(114)에 저장된다.The asset-specific primary and secondary risk grades and the overall risk grade calculated by the risk assessment unit 134 are stored in the risk diagnosis database 114 as intermediate data for performing the risk assessment.

전체 위험 등급이 산출되면, 위험 제어부(136)는 기준치 관리 데이터베이스 (116)의 2차 기준치를 참조하여, 산출된 전체 위험 등급과 위험 평가 결과에 따라 보안 투자를 결정하는 기준 값인 2차 기준치를 비교하며(S470), 이에 전체 위험 등급이 2차 기준치보다 더 크면 해당 자산을 위험 평가 결과 보안이 필요한 것으로 판단하여 그에 따른 제어가 이루어지도록 한다(S480).Once the overall risk rating is calculated, the risk control unit 136 refers to the secondary reference value of the baseline management database 116 and compares the calculated secondary risk value with the secondary reference value, which is a reference value for determining the security investment based on the risk assessment result. If (S470), if the overall risk level is greater than the second reference value, it is determined that the asset is required for security as a result of risk assessment, and control is performed accordingly (S480).

상술된 바와 같이, 본 발명은 기준치 개념을 도입하여 위험 평가를 차등 적용함으로써 위험 평가에 소요되는 비용을 절감하는 효과가 있다.As described above, the present invention has an effect of reducing the cost required for risk assessment by differentially applying risk assessment by introducing the concept of a baseline.

더욱이 기준치 설정을 위하여 이전에 수행되었던 위험 평가의 결과를 사용함으로써 네트워크의 변화를 연속적으로 반영하기 때문에 중장기적인 관점에서 소요되는 보안 관리 비용이 절감되며, 연속적이며 체계적인 보안 관리를 가능하게 한다.Furthermore, by using the results of the risk assessment that has been previously performed to establish the baseline, it continuously reflects changes in the network, thereby reducing the cost of security management in the mid to long term, and enabling continuous and systematic security management.

그리고, 향후 위험 평가 시스템의 개선을 위한 기본 데이터를 제공할 수 있으며, SLA(Service Level Agreement) 사업의 보안 서비스 부분의 기본 인프라를 구축할 수 있다.In addition, it is possible to provide basic data for improving the risk assessment system in the future, and to establish a basic infrastructure of the security service part of a service level agreement (SLA) project.

Claims (13)

네트워크 자산의 위험 평가를 1차 및 2차로 나누어 평가하고, 상기 1차 및 2차의 평가에 따라 1차 및 2차 위험 등급과 전체 위험 등급 및 세부 등급을 각각 산출하는 위험 등급 설정 장치;A risk rating apparatus for evaluating a risk assessment of a network asset by dividing it into primary and secondary, and calculating primary and secondary risk grades, overall risk grades, and detailed grades respectively according to the primary and secondary assessments; 상기 1차 및 2차의 위험 평가 시, 상기 1차 및 2차 위험 등급을 나누는 기준이 되는 1차 및 2차 기준치를 각각 산출하는 기준치 설정 장치; 및A reference value setting device that calculates primary and secondary reference values, respectively, as a reference for dividing the primary and secondary risk levels, when the primary and secondary risks are evaluated; And 매회 위험 평가 시 산출되는 상기 1차 및 2차 위험 등급과 전체 위험 등급 및 세부 등급을 저장하고, 상기 1차 및 2차 기준치를 저장하며, 상기 위험 평가에 필요한 기본 조사 내용과 상기 위험 평가 시 산출되는 중간 데이터를 저장하고, 상기 네트워크 자산의 정보를 저장하는 보안 정보 저장 장치를 구비하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.The primary and secondary risk levels and the overall risk level and detail level, which are calculated at each risk assessment, are stored, and the primary and secondary reference values are stored. And a security information storage device for storing intermediate data to be stored and for storing information of the network asset. 제 1 항에 있어서,The method of claim 1, 상기 세부 등급은, 상기 네트워크 자산의 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급을 포함하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.The level of detail, the risk rating calculation system of the network asset, characterized in that it comprises the revenue contribution, other asset association, risk intrinsic degree, asset rating, vulnerability rating, and threat rating of the network asset. 제 2 항에 있어서,The method of claim 2, 상기 위험 평가에 필요한 기본 조사 내용은, 관리자의 설문 조사 및 과거 위험 발생 빈도 조사 등을 포함하여, 상기 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급을 산출하는데 사용되는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.The basic survey contents required for the risk assessment include the survey of the manager and the survey of the frequency of past risk occurrences to calculate the revenue contribution, other asset association, risk implication, asset rating, vulnerability rating, and threat rating. A risk rating calculation system for network assets, characterized in that it is used. 제 1 항에 있어서,The method of claim 1, 상기 네트워크 자산의 정보는, 상기 네트워크 자산에 대한 인적 및 물적 정보와, 물적 자산의 경우 도입년도, 도입비용, 및 감가상각률을 포함하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.The information of the network asset, the risk rating calculation system of the network asset, characterized in that the physical asset and the asset, the introduction year, the introduction cost, and the depreciation rate for the network asset. 제 1 항에 있어서,The method of claim 1, 상기 기준치 설정 장치는,The reference value setting device, 상기 보안 정보 저장 장치로부터 상기 1차 및 2차 위험 등급과 전체 위험 등급 및 2차 기준치를 전달받아 이전에 수행된 위험 평가의 통계 자료를 산출하는 데이터 입력부;A data input unit for receiving the first and second risk levels, the overall risk level, and the second reference value from the security information storage device to calculate statistical data of a risk assessment previously performed; 상기 이전에 수행된 위험 평가의 통계 자료를 참조하여, 상기 1차 기준치의 하향 및 상향 비율을 산출하고 상기 2차 기준치의 하향 및 상향 비율을 산출하여, 상기 1차 및 2차 기준치를 각각 산출하는 데이터 처리부; 및The first and second reference values may be calculated by calculating down and up ratios of the first reference value and calculating the down and up ratios of the second reference value with reference to the statistical data of the risk assessment previously performed. A data processor; And 상기 1차 및 2차 기준치를 상기 보안 정보 저장 장치에 저장하는 데이터 출력부를 구비하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.And a data output unit for storing the primary and secondary reference values in the security information storage device. 제 5 항에 있어서,The method of claim 5, wherein 상기 이전에 수행된 위험 평가의 통계 자료는,The statistical data of the risk assessments performed previously, 1차 위험 등급 < 2차 위험 등급인 자산 비율, 1차 위험 등급 > 2차 위험 등급인 자산 비율, 전체 위험 등급 < 2차 기준치인 자산 비율, 및 전체 위험 등급 > 2차 기준치인 자산 비율 정보를 포함하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.Information about asset ratios of primary risk class <secondary risk class, ratio of assets with primary risk class> secondary risk class, total risk class <percentage of assets with secondary baseline, and overall risk class> percentage of assets with secondary baseline And a risk rating calculation system for the network asset. 제 5 항에 있어서,The method of claim 5, wherein 상기 1차 기준치의 하향 및 상향 비율과 상기 2차 기준치의 하향 및 상향 비율은, 상기 위험 평가 시 산출되는 중간 데이터임을 특징으로 하는 네트워크 자산의 위험 등급 산출 시스템.And the down and up rates of the first baseline and the down and up rates of the second baseline are intermediate data calculated during the risk assessment. 제 1 항에 있어서,The method of claim 1, 상기 위험 등급 설정 장치는,The risk rating device, 상기 세부 등급을 산출하고, 상기 산출된 세부 등급을 이용하여 1차 및 2차 위험 수치를 산출하는 위험 분석부;A risk analysis unit for calculating the detailed grade and calculating first and second risk values using the calculated detailed grade; 상기 1차 및 2차 위험 수치를 이용하여 상기 1차 및 2차 위험 등급을 산출하고 상기 전체 위험 등급을 산출하는 위험 평가부; 및A risk evaluation unit for calculating the first and second risk levels and calculating the overall risk level using the first and second risk values; And 상기 산출된 전체 위험 등급과 상기 2차 기준치와 비교하여 해당 네트워크 자산에 보안 처리가 필요한지를 판단하는 위험 제어부를 구비하는 것을 특징으로하는 네트워크 자산의 위험 등급 산출 시스템.And a risk controller for comparing whether the security risk is required for the corresponding network asset by comparing the calculated overall risk level with the second reference value. 미리 조사되어 있는 네트워크 자산에 대한 기본 조사 내용을 참조하여 세부 등급을 산출하는 제 1과정;A first step of calculating a detailed grade by referring to basic survey contents of a network asset which has been previously investigated; 상기 산출된 세부 등급을 이용하여 1차 및 2차 위험 수치를 산출하는 제 2과정;A second step of calculating first and second risk values using the calculated detailed grades; 상기 산출된 1차 위험 수치를 이용하여 1차 위험 등급을 산출하는 제 3과정;A third step of calculating a primary risk level using the calculated primary risk value; 상기 산출된 1차 위험 등급을 위험 평가의 대상을 선별하는 기준인 1차 기준치와 비교하여, 상기 1차 위험 등급이 상기 1차 기준치보다 크면, 상기 2차 위험 수치를 이용하여 2차 위험 등급을 산출하는 제 4과정;Comparing the calculated primary risk level with a primary reference value that is a criterion for selecting a target for risk assessment, and if the primary risk level is larger than the primary reference value, the secondary risk level is used by using the secondary risk value. A fourth process of calculating; 상기 네트워크 자산의 전체 위험 등급을 산출하는 제 5과정; 및Calculating a total risk level of the network asset; And 상기 산출된 전체 위험 등급을 보안 투자를 결정하는 기준인 2차 기준치와 비교하여, 상기 전체 위험 등급이 상기 2차 기준치보다 크면, 해당 자산에 보안 처리가 필요함을 판단하는 제 6과정을 포함하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 방법.Comprising a sixth step of comparing the calculated overall risk rating with a second reference value that is a criterion for determining the security investment, if the overall risk rating is greater than the second reference value, it is determined that the asset requires security treatment Characterized by the risk rating method of the network asset. 제 9 항에 있어서,The method of claim 9, 상기 기본 조사 내용은, 관리자의 설문 조사 및 과거 위험 발생 빈도 조사 등을 포함하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 방법.The basic survey content, the risk rating calculation method of the network asset, characterized in that it comprises a survey of the administrator and the frequency of past risk occurrence. 제 9 항에 있어서,The method of claim 9, 상기 세부 등급은, 상기 네트워크 자산의 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급을 포함하는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 방법.The level of detail, the risk contribution calculation method of the network asset, characterized in that it comprises the revenue contribution, other asset association, risk intrinsic degree, asset rating, vulnerability rating, and threat rating. 제 9 항에 있어서,The method of claim 9, 상기 1차 기준치는,The primary reference value, 이전에 산출된 1차 위험 등급과 2차 위험 등급을 이용하여 상기 1차 기준치의 하향 비율 및 상향 비율을 산출하는 제 1단계;A first step of calculating a down rate and an up rate of the first reference value using previously calculated first and second risk levels; 상기 1차 기준치의 하향 비율이 일정 수치 이상이면 이전에 산출된 1차 기준치를 하향 조정하는 제 2단계;A second step of lowering the previously calculated primary reference value when the down ratio of the primary reference value is a predetermined value or more; 상기 1차 기준치의 상향 비율이 일정 수치 이상이면 이전에 산출된 1차 기준치를 상향 조정하는 제 3단계; 및A third step of adjusting a previously calculated primary reference value when the ratio of the primary reference value is higher than a predetermined value; And 상기 제 2단계와 상기 제 3단계에서 상기 1차 기준치의 하향 비율 및 상향 비율이 일정 수치 이하이면, 이전에 산출된 1차 기준치를 유지하는 제 4단계를 포함하는 과정에 의해 산출되는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 방법.If the down ratio and the up ratio of the primary reference value in the second step and the third step is less than a predetermined value, it is calculated by a process comprising a fourth step of maintaining a previously calculated primary reference value How to calculate the risk rating of your network assets. 제 9 항에 있어서,The method of claim 9, 상기 2차 기준치는,The secondary reference value, 이전에 산출된 전체 위험 등급과 2차 기준치를 이용하여 상기 2차 기준치의 하향 비율 및 상향 비율을 산출하는 제 1단계;Calculating a downward ratio and an upward ratio of the secondary reference value using the previously calculated overall risk level and the secondary reference value; 상기 2차 기준치의 하향 비율이 일정 수치 이상이면 이전에 산출된 2차 기준치를 하향 조정하는 제 2단계;A second step of lowering a previously calculated secondary reference value if the ratio of the downward reference value is greater than or equal to a predetermined value; 상기 2차 기준치의 상향 비율이 일정 수치 이상이면 이전에 산출된 2차 기준치를 상향 조정하는 제 3단계; 및A third step of adjusting a previously calculated secondary reference value when the rate of increase of the secondary reference value is greater than or equal to a predetermined value; And 상기 제 2단계와 상기 제 3단계에서 상기 2차 기준치의 하향 비율 및 상향 비율이 일정 수치 이하이면, 이전에 산출된 2차 기준치를 유지하는 제 4단계를 포함하는 과정에 의해 산출되는 것을 특징으로 하는 네트워크 자산의 위험 등급 산출 방법.If the down ratio and the up ratio of the secondary reference value in the second step and the third step is less than a predetermined value, it is calculated by a process comprising a fourth step of maintaining a previously calculated secondary reference value How to calculate the risk rating of your network assets.
KR1020020078711A 2002-12-11 2002-12-11 System for evaluating risk value of network property and method thereof KR20040051744A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020078711A KR20040051744A (en) 2002-12-11 2002-12-11 System for evaluating risk value of network property and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020078711A KR20040051744A (en) 2002-12-11 2002-12-11 System for evaluating risk value of network property and method thereof

Publications (1)

Publication Number Publication Date
KR20040051744A true KR20040051744A (en) 2004-06-19

Family

ID=37345551

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020078711A KR20040051744A (en) 2002-12-11 2002-12-11 System for evaluating risk value of network property and method thereof

Country Status (1)

Country Link
KR (1) KR20040051744A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100713546B1 (en) * 2005-12-22 2007-04-30 기술신용보증기금 Method of technology evaluation
KR20180060616A (en) * 2016-11-29 2018-06-07 주식회사 엘앤제이테크 RBA based integrated weak point diagnosis method
CN114884735A (en) * 2022-05-10 2022-08-09 厦门融达信数据技术股份有限公司 Multisource data intelligent evaluation system based on security situation

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100713546B1 (en) * 2005-12-22 2007-04-30 기술신용보증기금 Method of technology evaluation
KR20180060616A (en) * 2016-11-29 2018-06-07 주식회사 엘앤제이테크 RBA based integrated weak point diagnosis method
CN114884735A (en) * 2022-05-10 2022-08-09 厦门融达信数据技术股份有限公司 Multisource data intelligent evaluation system based on security situation

Similar Documents

Publication Publication Date Title
US11657352B2 (en) Reducing cybersecurity risk level of a portfolio of companies using a cybersecurity risk multiplier
US11282018B2 (en) Method and system for risk measurement and modeling
US20190034845A1 (en) Reducing cybersecurity risk level of a portfolio of companies using a cybersecurity risk multiplier
Roldán-Molina et al. A comparison of cybersecurity risk analysis tools
Fenz et al. Information security risk management: In which security solutions is it worth investing?
KR100892415B1 (en) Cyber Threat Forecasting System and Method therefor
US20120203590A1 (en) Technology Risk Assessment, Forecasting, and Prioritization
KR100755000B1 (en) Security risk management system and method
Woods et al. Towards integrating insurance data into information security investment decision making
JPWO2008139856A1 (en) Risk model correction system, risk model correction method, and risk model correction program
EP3726441A1 (en) Company bankruptcy prediction system and operating method therefor
CN114492605A (en) Federal learning feature selection method, device and system and electronic equipment
WO2008154346A2 (en) System and method for risk prioritization
CN112561685A (en) Client classification method and device
CN115760332A (en) Risk prediction method, system, medium and device based on enterprise data analysis
KR100524649B1 (en) Risk analysis system for information assets
CN113505980A (en) Reliability evaluation method, device and system for intelligent traffic management system
CN117132383A (en) Credit data processing method, device, equipment and readable storage medium
CN115660774B (en) Block chain-based material supply chain system credit evaluation method
KR20040051744A (en) System for evaluating risk value of network property and method thereof
US8000995B2 (en) System and method for assessing customer segmentation strategies
Derakhshandeh et al. New framework for comparing information security risk assessment methodologies
Rodpysh Model to predict the behavior of customers churn at the industry
Dhaniawaty Evaluation Maturity Level IT Risk Management of Metatrader Software Using Risk IT Framework With Domain Risk Governance (RG)
CN113822490B (en) Asset collection method and device based on artificial intelligence and electronic equipment

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid