KR20060030015A - 전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템 - Google Patents

전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템 Download PDF

Info

Publication number
KR20060030015A
KR20060030015A KR1020057018364A KR20057018364A KR20060030015A KR 20060030015 A KR20060030015 A KR 20060030015A KR 1020057018364 A KR1020057018364 A KR 1020057018364A KR 20057018364 A KR20057018364 A KR 20057018364A KR 20060030015 A KR20060030015 A KR 20060030015A
Authority
KR
South Korea
Prior art keywords
scan
scanning
conformance
user
security
Prior art date
Application number
KR1020057018364A
Other languages
English (en)
Inventor
조셉 파타넬라
Original Assignee
트러스트웨이브 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 트러스트웨이브 코포레이션 filed Critical 트러스트웨이브 코포레이션
Publication of KR20060030015A publication Critical patent/KR20060030015A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Signal Processing (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)

Abstract

본 발명은 컴퓨터 시스템에서 또는 그래픽 사용자 인터페이스에서 수행되는 전자 성능 지원 시스템을 개발하는 방법 및 시스템에 관한 것이다. 본 발명의 방법 및 시스템은 규제방식을 갖는 전자 준거성을 결정하고, 준거성 표준 및 컴퓨터 네트워크의 기술 평가 뿐만 아니라 적어도 하나의 기설정된 표준과의 컴퓨터 네트워크 준거성의 평가를 수행하도록 스캐닝 엔진과 결부하여 질문 및 응답 촉구의 사용을 포함한다.
전자적 준거성, 네트워크, 보안, 취약성

Description

전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템{Methods and Systems for Assessing and Advising on Electronic Compliance}
본 발명은 다양한 표준과 관련된 전자 준거성(electronic compliance)의 평가 방법 및 시스템에 관한 것으로서, 더 구체적으로는, 컴퓨터 시스템을 사용하는 규정(regulartory) 또는 보안(security) 표준에 따른 전자적 준거성을 평가하는 방법과 시스템에 관한 발명과, 그래픽 유저 인터페이스(GUI: Graphical User Interface)를 통한 규정 또는 보안표준에 따른 전자적 준거성을 평가하는 방법 및 시스템에 관한 발명에 관한 것이다. 본원 발명은 또한, 사용자에게 그들 개개인의 준거성 레벨을 제공하는 스캐닝 엔진(scanning engine)과 함께 질의/응답 프롬프트(question and answer prompt)를 사용하는 그래픽 유저 인터페이스상의 통한 조정 또는 보안표준에 따른 전자적 준거성을 평가하는 방법 및 시스템에 관한 것이다.
보안 정보를 책임지는 개인은 종종, 방화벽(firewalls) 또는 암호화 프로그램(encryption program) 또는 암호 토큰(password token)과 같은 솔루션 중심(solution-centric)의 수단을, 상기 개인이 속한 조직에 상기 수단이 미칠 영향을 충분히 이해하지 못한 채로 배치한다. 보안 정보 주제를 언급하는 문서화된 표준과 규정은 업계 최고의 표준에 강요받고 특정한 보안 문제를 해결하기 위한 임시 변통 으로 이루어진 보안 솔루션과 구조(architecture)의 환경을 만들 수 있다.
최근에, 몇몇 초기시도(initiative)는 정보 확실성(IA; information assurance)을 위한 표준의 부재를 지적하여 왔다. 이러한 규정에 의한 초기시도(regulatory initiatives)는 개인 재정과 의료 정보의 보안을 요구한 Gramm-Leach-Bliley(GLB) 법안과 Health Insurance Portability and Accountability(HIPAA: Health Insurance Portability and Accountability ACT) 법안 등이 있다. 또한, 기업 비밀에 관한 표준이 지속적으로 수정되어, 개인 단체에게는 안정적인 비즈니스를 영유하기 위해 사용 가능한 요구가 없었다. 게다가, 자산과 기능과 같은 것을 보호하는 정보 보호 및 보안 정책과 프로그램을 수립하고 계획하는 경우, 기업의 정보 자산과 중요한 기업 기능은 모든 조직이 단속자, 주주, 고객, 비지니스 파트너에게 회답하여야 하는 수단인 전자적 기반(electronic infrastructure)에 점점 의존하고 있다.
법 규정뿐만 아니라 내부적, 외부적 표준과 내부적 외부적 보안 요구에 부응하기 위해서는 조직은 항상 IA 표준을 언급하는 그들의 비지니스 수요를 표출하는 일련을 절차를 따라야 하고, 조직인 이러한 표준들과 어떠게 부합할 수 있는지를 구체화하는 보얀 규정 서명(security policy statement)을 따라야 한다. 동시에 기업은 그들의 보안 규정과 시제로 부합하는 보안 프로그램을 반드시 구현해야만 한다. 추가적으로, 기업은 일상적으로 그들의 구현된 보안 프로그램이 유효한지를 감시하고 정당성을 입증해야 하고, 그들의 구현된 보안 프로그램이 IA 변화와 컴퓨터 네트워크 정보 기반이 관련된 요수로서의 정보 정책의 목적에 부합하는지를 감시해 야 한다.
기업이 규정에 의한 표준(regulatory standards)과 보안 정책(security policy)에 따라 보안 시스템의 유연성을 평가할 수 있는 방법은 다양하게 존재한다. 예를 들어, 상담자는 기업의 정보 담당자(information officer)에게 기업이 기업의 정보 자산(informaion asset)을 보호하기 위한 어떤 수단을 채택하는지를 문의할 수 있다. 또는, 기업은 상기 평가의 일면을 충분히 수행하는 자동화된 도구를 구매, 배치할 수 있다. 몇몇 상용화된 자동화된 도구들은 CyberCop Scanner, SATAN(the Security Administrator Tool for Analyzing Networks), Internet Security Systems의 ISS Scanner등을 포함한다. 비록 이러한 자동화된 도구들은 컴퓨터 기반(computer infrastructure)을 사용자의 컴퓨터 내트워크의 특정부분을 약점을 찾기 위해 능동적으로 검색하지만, 이러한 공공 기반의 응용 프로그램은 특정한 규정에 의한 표준 또는 특정한 보안 정책 또는 요구에 관련된 분석 정보(analysis)를 제공하지 못한다. 게다가, 종래의 자동화된 도구들은 컴퓨터 기반의 검색 결과를 관리하는 분석 메커니즘이 부족하다. 오프 소스(open-source) 검색 도구나 상업적 검색 도구의 또 다른 단점은 이러한 도구의 보고 능력이 불충분한 것과 검색 결과로부터 결과를 분석할 수 있는 높은 기술 능력을 갖는 기술 인력을 요구하는 것이다.
그래서, 만약 자동화된 프롬프트(automated prompting)를 제공하고 정책 정보와 행정 정보의 조합을 자동화된 설문(automated questionnaire)을 통해 제공하는 시스템 또는 방법에는 나름의 이점이 있을 것이다. 만약 상기 설문 (questionnaire)이 사용자에 의해 채택된 규정과 보안 정책의 종류에 따라 구체적으로 만드는 경우 역시 이점이 있을 것이다. 또한, 상기 질의가 유사한 상황의 사용자에 의해 사용되고 데이터 베이스에 저장되는 경우 역시 이점이 있을 것이다. 또한, 시스템과 방법에 입력 데이터에 기초한 사용자의 컴퓨터 네트워크에 대하여 고안된 평가를 분석하는 메카니즘(analytical mechanisim)을 포함되는 경우에도 이점이 있을 것이다. 정책 질의의 필연적 귀결에 의해 만약 시스템과 방법이 보안 정책과 규정에 의한 표준에 부함하도록 사용자의 네트워크를 원격으로 검색하고 보조적으로 평가하여 상기 질의의 입력을 유효화를 결정할 뿐만 아니라 사용자 네트워크의 추가적인 결점에 관한 평가를 제공할 수 있다면 이러한 시스템과 방법은 유용할 것이다. 또한 상기 생성된 데이터가 사용자에 다양한 포멧으로 상기 사용자에게 제출되는 것 역시 유용할 것이다.
본 출원의 제출과 관련하여, 미국특허청에 "네트워크 취약성을 감지하고 준거성을 평가하기 위한 장치 및 방법"(대리인 사건 번호 01619.0001)이라는 명칭의 함께 출원중인 출원이 동시에 제출되고, 그것의 전문이 여기에 첨부되었다. 본 발명은 상술한 문제를 경감시키고 비용 효과 및 임의 개수의 규제들, 정책들 및 표준들에 관한 준거성 및 사용자 네트워크를 평가하기 위한 적절한 방법을 제공한다. 특별히 본 발명은 임의 형태의 규제적 표준, 보안 정책이나 운영 조건에 따른 사용자의 준거성을 평가하기 위한 수단을 제공할 수 있다. 보안 관리자는 본 발명의 방법과 관련된 단계들을 수행하거나 또는 본 발명의 장치 및 시스템을 사용함에 의하여 이것을 달성할 수 있다. 그러한 시스템과 장치는 예를 들면, 컴퓨터 시스템일 수 있다.
특정한 실시예에서, 본 발명은 바람직한 규제 방식을 획득하고, 그 규제방식에 근거한 질문들을 구축하고, 사용자로부터 응답을 이끌어내도록 사용자에게 질문을 보여주는 것에 의하여 HIPAA와 같은 규제 방식에 따른 컴퓨터 시스템의 준거성을 평가 또는 감정하기 위한 시스템 및 방법을 포함할 수 있다. 중요하게, 사용자에게 보여지는 질문들은 임의의 소스로부터 유도될 수 있다. 예를 들면, 질문들은 신용 카드 보유자 정보의 저장뿐만 아니라 인터넷을 통한 신용 카드 처리에 사용되는 하드웨어 및 소프트웨어에 관하여 특정 회사의 컴퓨터 시스템이 신용 카드 협회(Credit Card Association)의 보안 요구를 따르는지 여부를 결정하기 위하여 형성되고 구성될 수 있다. 또는 질문들은 사용자 컴퓨터 시스템이 예를 들면, 고객 기록 및 정보의 보안 및 신뢰성을 보장하는 재정 정책을 요구하는 GLB Act의 보안 정책을 따르는지 여부를 결정하기 위하여 형성되고 구성될 수 있다.
유사하게, 질문들은 희생자 프라이버시를 다루는 HIPPA에 의하여 요구되는 규칙에 관한 사용자 컴퓨터 시스템의 준거성을 결정하기 위하여 형성되고 구성도리 수 있다. 일단 일련의 질문들이 소정의 형태의 산업, 즉, 재정, 건강, 복지, 미국정부 등을 위하여 구성되고 형성되면, 그것은 유사한 사업에 종사할 미래 사용자들을 위하여 저장될 수 있다. 일단 형성되고 구성되면, 소정 사용자를 위한 질문표는 데이터 베이스에 저장된 각 질문에 대한 응답들과 함께 온라인 상에 제공될 수 있다.
본 발명에 따른 장치는 네트워크 및 어플리케이션 평가자로서 설명되어질 것이다. 그러나 네트워크 평가자에 의해 수행되는 실제 기능들은 네트워크 평가뿐만 아니라 네트워크 스캐닝 및 특정 운영 체계에 따른 준거성을 위하여 관련된 응용을 포함한다. 사용자에게 나타나는 질문들은 또한 스캔을 위하여 사용될 수 있거나, 또는 입력이 자동화될 수 있다. 그러한 입력은 사용자 네트워크가 동작중인 운영 체계의 형식을 포함한다. 이러한 운영 체계는 규제적 표준, 보안 정책 및 운영 조건을 포함한다. 네트워크 평가자가 수용할 다른 입력은 다양한 서버의 IP 주소, 라우터, 게이트웨이 또는 사용자 네트워크 상의 다른 하드웨어와 관련된 정보로 구성되어 있다. 추가적으로 네티워크 평가자로의 입력은 예를 들면, 정책 단점, 운영 절차 단점들, 운영 체계 단점들, 네트워크 통신 취약점 및 서비스 취약점의 거절을 포함하는 사용자가 조사되기 원하는 정책 형태 및 관리 문제와 관련된 정보를 포함할 수 있다.
유사하게, 네트워크 스캐너로의 입력은 사용자가 수행되기 원하는 스캔의 주파수뿐만 아니라, 스캔하는 동안 사용자가 어드레스하기 원하는 관련 취약성 및 고객 소프트웨어 어플리케이션과 관련된 정보를 포함할 수 있다. 다른 입력 정보는 사용자가 스캔을 일어나거나 일어나지 않기를 원하는 날의 시간(최대 작업 시간 또는 휴일과 같은 작업 기간의 경우로서)을 포함한다. 스캔의 타이밍은 만약 네트워크 스캐너가 서비스 공격의 거절을 위한 사용자 네트워크 취약성을 시험한다면 특별히 중요하게 될 수 있다.
네트워크 스캐너가 테스트할 수 있는 운영 체계 취약성은 또한 너무 많은 정보를 제공하거나, 특별히 권한 없는 사용자에게 지나치게 높은 권한 레벨을 허용하는 것을 포함할 수 있다.네트워크 스캐너가 테스트할 수 있는 네트워크 통신 취약성은 엿보기, 위장하기 또는 조사하기에 대한 민감성을 포함할 수 있다. 네트워크 스캐너가 조사할 수 있는 서비스 취약성의 거절은 서비스 거절의 특정한 형태, 및 및 보안 소프트웨어 또는 하드웨어와 관련된 기능에 대한 서비스 공격의 거부를 채용하는 기능에 대한 취약성을 포함할 수 있다.
데이터가 네트워크 평가자에 입력될 수 있는 한 가지 방법은 개별화된 질문서의 사용을 통하는 것일 수 있다. 이러한 질문서는 전형적인 종이 매체 상에 제공될 수 있거나, 또는 예를 들면, HTML 인터페이스를 통하여 전자 문서로 제공될 수 있다. 일단 충분한 데이터가 수집되고 검증되면, 네트워크 평가자로의 데이터 입력은 네트워크 스캐너 모듈로 제공될 수 있다. 이 네트워크 스캐너 모듈은 다음으로 그것의 평가와 사용자 네트워크의 분석을 시작한다. 이것은 매우 다양한 작업들을 포함할 수 있다. 예를 들면, 네트워크 스캐너 모듈은 인터넷 가시 시스템의 포스트 스캔을 수행하려 하거나 또는 사용자 네트워크에 통과된 패스워드 또는 다른 감지기능 자료를 감지하기 위하여 지역 네트워크 상의 패킷들을 들을 수 있다. 유사하게, 네트워크 스캐너 모듈은 시스템의 예상된 디폴트 설정들을 사용하여 사용자 시스템이 스스로 인증하는 것을 시도하거나, 접근 가능한 시스템 상에 저장된 미디어를 읽는 것을 시도하고, 위장 헤더 정보와 같은 위장하기 기술을 사용함으로써 가시적이지 않은 사용자 시스템과 통신을 시도할 수 있다.
하나 이상의 이러한 평가 또는 스캔 작업들을 달성하기 위하여, 네트워크 스캐너 모듈은 다수의 네트워크 보안 툴들과 상호작용하거나 결합할 수 있다. 일단 네트워크 스캐닝이 완료되고 사용자 네트워크의 운영 환경을 특징을 나타내는 데이터가 평가 모듈의 데이터베이스에 저장되면, 발명 시스템은 사용자에 의하여 입력된 정보뿐만 아니라 그 데이터에 기초한 선행 분석을 수행할 수 있다.
발명 시스템이 그것의 평가를 완료한 때, 또는 심지어 그것의 평가가 완료되는 동안에, 발명 시스템은 발명 시스템의 조사 결과를 식별하기 위한 리포트를 생성하기 위하여 리포트 생성자를 이용할 수 있다. 이 생성된 리포트는 예를 들면, 사용된 각 툴들의 직접 출력을 포함할 수 있고, 또는 생성된 리포트는 바람직하게는 균일하고 이해하기 쉬운 방식으로 출력을 제공할 수 있다.
예를 들면, 프로그램은 발명 시스템에 의하여 식별된 각 잠재적인 취약성들을 분류하고 간결하게 나열할 수 있고, 각 식별된 취약성들을 "낮은 위험", "중간 위험" , "높은 위험", "정보 위험", 또는 "관리 위험"과 같은 직관적인 서술자와 관련시킬 수 있다. 이러한 위험 레벨의 엄격함은 추가적으로 정의될 수 있다.예를 들면, "높은 위험"은 사용자 시스템을 즉시 위태롭게 하는 결과를 낳을 수 있고, 그래서 사용자에 의하여 즉시 어드레싱되어야 하는 취약성을 언급할 수 있다. "중간 위험"은 잠재적으로 정보 또는 시스템을 위험하게 하는 결과를 가져올 수 있으나 즉각적인 주의를 요하지 않는 취약성을 언급할 수 있다. "정보 위험"은 잠재적으로 정보를 훼손하는 결과를 가져올 수 있는 취약성과 관련된 "중간 위험"은 특정한 분류이다. "낮은 위험"(이것은 관리 위험과 동의어일 수 있다)은 사용자 시스템을 위태롭게 하려는 공격자를 도울 수 있거나 또는 조사 관심 정보를 나타내는 시스템 구성과 같은 문제들 또는 경고들로 언급할 수 있다.
리포트는 또한 예글 들면 식별된 취약성을 어떻게 해결할 것인지에 대한 제안을 포함할 수 있다. 만약 리포트가 HTML 페이지로 제공된다면, 그 페이지는 운영 시스템의 보안 패치들과의 연결 및/또는 또는 사용자 또는 네트워크 보안 테스팅 절차에 의하여 식별된 다른 소프트웨어를 포함할 수 있다. 또한 리포트는 특별히 만약 사용자가 너트웨크 보안의 주기적인 평가를 선택하였다면 이메일 경고로서 제공될 수 있다.
본 발명의 목적은 예를 들면, 주어진 처리를 위한 규제적 방식을 획득하고, 규제적 방식에 기초한 사용자의 응답을 이끌어내기 위하여 질문들을 구축하고, 그 질분들에 대한 응답들에 기초하여 스캔 변수들를 생성하고, 스캔 변수들을 사용하여 전자 시스템을 스캐닝하고, 규제적 방식에 대한 준거성에 관한 평가를 제공하는 것을 포함하는 규제적 정책 또는 보안 방식 또는 공개된 방식과 같은 운영 체계의 준거성을 결정하는 방법을 제공하기 위한 것이다.
본 발명의 다른 목적은 사용자에게 운영 체계의 준거성을 결정하기 위한 능력을 제공하는 컴퓨터 시스템을 포함한다. 컴퓨터 시스템은 예를 들면, 일련의 규제적 또는 보안 구조; 사용자에게 질문들을 제공하기 위한 수단; 결정 삼단계 구조를 생성하기 위한 수단; 시스템 취약성을 위하여 다른 컴퓨터 시스템을 스캐닝하기 위한 수단; 적어도 하나의 스캐닝 툴; 상기 스캐닝하는 수단에 의하여 발생한 데이터를 기록하기 위한 데이터베이스; 및 상기 데이터베이스에 포함된 데이터를 디스플레이하기 위한 인터페이스를 포함힌다.
도1은 본 발명과 결합하여 사용될 수 있는 범용 컴퓨터 시스템을 도시한 다이어그램이다;
도2는 본 발명의 일 실시예에 따른 완전 평가의 개요도이다;
도3은 금융 단체를 위한 안전 규범의 대표도이다;
도4a는 본 발명의 일 실시예에 따른 온라인 질문서를 위한 그래픽 유저 인터페이스(GUI)의 대표도이다;
도4b는 HIPAA 동작 프레임워크(framework) 내의 질문서 예시를 도시한 것이다;
도5는 자기 평가 질문서 내에서 다양한 응답의 가중치 부여 방법을 도시한 것이다;
도6 시스템 데이터베이스 내의 테이블의 타입을 도시한 것이다; 그리고
도7은 스캔에 의해 생성되는 그래픽 분석의 대표도를 도시한 것이다.
이하에서 사용되는 용어들은 단지 구체적인 실시예들을 설명하기 위한 것으로서, 첨부된 특허청구범위에 의해서 해석되어질 본 발명의 범위를 제한할 의도는 아니라는 점이 이해되어야 한다.
이하의 상세한 설명 및 첨부된 특허청구범위에서 단수 형태 "a', "an" 및 "the"는 문맥상 다르게 사용됨이 명백하지 않는 한 복수형을 포함할 수 있음이 지적되어야 한다. 따라서, 예를 들면, "a tool"은 당업자에게 알려진 하나 이상의 "tool" 및 그 등가물을 포함한다.
달리 정의되어 있지 않는 한, 이하에서 사용되는 기술적 및 과학적 용어는 본 발명이 속하는 기술분야에서의 통상의 지식을 가진 자에게 통상적으로 이해되는 것과 동일한 의미를 갖는다. 비록 이하에서 설명되는 것들과 유사하거나 동등한 다른 방법들, 장치들 그리고 물질들이 본 발명의 실무 또는 테스트에 사용될 수 있으나, 바람직한 방법, 장치 및 물질들이 이하에서 설명된다.
이하에서 언급되는 모든 공개문서, 특허 출원서 및 특허는, 예를 들면, 본 발명과 관련되어 사용될 수 있고 상기 문서들에 기술된 시스템 및 방법들은, 설명 및 개시의 목적으로 참고자료로서 편입된다. 텍스트를 통해서 논의되는 공개문서들은 본 출원의 출원일 전의 개시를 위한 목적으로 제공된다. 이하에서의 어느 것도 선행 발명에 의하여 그러한 개시보다 선행하는 자격을 박탈할 목적으로 해석되어서는 아니된다.
첨부된 도면을 참조하여 본 발명의 적용예들을 구체적으로 설명하도록 한다. 가능하면, 동일하거나 유사한 부분을 언급하기 위하여 도면 전체를 통해서 또한 이하에 상세한 설명을 통해서 동일한 참조 번호가 사용될 것이다.
이하에서 사용되는 것과 같이; 인터넷은 적어도 서로 간에 통신을 수행하기 위한 TCP(Transmission control protocol) 또는 IP(Internet Protocol) 한 쌍을 사용하는 다수의 네트웍 및 게이트웨이들의 집합을 의미한다. WWW(World Wide Web)은 HTTP(Hypertext Transport Protocol) 서버들 내에 존재하는 상호 관련된 하이퍼텍스트 문서들의 집합을 의미한다. 이하에서 사용되는 바와 같이, WWW는 또한 적어도 HTTP 서버들(HTTPS) 등과 같은 안전 서버들(secure servers)에 억세스하는 문서들을 의미하고, 암호화 및 안전 포트를 통한 전송을 제공한다. 이하에서 웹 페이지로 언급될 수 있는 WWW 문서들은, 예를 들면, HTML(Hypertext Markup Language)로 작성될 수 있다. 이하에서 사용되는 바와 같이, "웹사이트(web site)"라는 용어는 적어도 WWW 상의 HTTP 또는 HTPPS 서버에 의해 제공될 수 있는 하나 이상의 HTML 문서, 관련 파일, 스크립트 및 데이터베이스들을 의미한다. "웹 브라우저(web browser)"라는 용어는 적어도 사용자로 하여금 HTML 문서들을 볼 수 있게 하고 상기 문서들과 관련된 파일 및 소프트웨어에 접근하게 할 수 있는 소프트웨어 및 하드웨어를 의미한다.
본 발명과 관련된 시스템 및 방법들은 개인용 컴퓨터(PC), 랩탑(laptop) 컴퓨터, 서버, 워크스테이션, PDA, 이동 및/또는 무선 통신 장치 또는 상호 연결된 범용 컴퓨터 그룹 등과 같은 범용 컴퓨터 시스템 타입을 이용하여 구현될 수 있다. 본 발명의 적어도 일 실시예로 이용 가능한 범용 컴퓨터 시스템의 일례가 도1에 도시되어 있다.
도 1을 간략하게 참조하면, 이하에서 개시되는 평가 시스템에 구동되고 있는 범용 컴퓨터 시스템(10)은 중앙 프로세서(12), 프로그램 및/또는 데이터를 저장하기 위한 주 메모리 유닛(14), 입/출력 콘트롤러(16), 네트워크 인터페이스(18), 디스플레이 장치(20), 하나 이상의 입력 장치(22), 고정 또는 하드 디스크 드라이브 유닛(24), 탈착 가능한 매체 저장 드라이브(예를 들면, 플로피 디스크 드라이브 또는 콤팩 디스크(CD) 드라이브(26), 테이프 드라이브 유닛(28) 및 상기 구성요소들 을 연결시켜 상호 간 뿐만 아니라 다른 컴퓨터 시스템들과 통신 가능하게 하는 데이터 버스(30)를 포함한다. 그러한 통신은 직접 연결에 의하거나, WWW에 의하거나, 또는 케이블, 전화선, 마이크로파 및 무선 통신과 같은 다른 통신 수단을 통해 일어난다.
상기 컴퓨터 시스템(10)에서 사용되는 상기 중앙 프로세서(12)는 캘리포니아 산타 클라라에 있는 인텔에 의해 제조되는 펜티엄 프로세서와 같은 임의의 타입의 마이크로프로세서가 사용될 수 있다. 상기 디스플레이 장치(12)는, 프린터, LCD, CRT, LED, PG(Plasma Gas) 등과 같이 본 발명에 따른 시스템 및 방법들에 따라 생성되는 결과물들을, 전체 또는 부분적으로, 디스플레이 할 수 있는 임의의 타입의 디스플레이 장비일 수 있다. 상기 입력 장치(22)는, 키보드, 숫자 키패드, 터치 스크린, 포인팅(pointing) 장비, 스위치, 스타일러스(styluses) 및 광 필기구(light pens) 등과 같이 여기서 설명되는 입력들을 제공할 수 있는 임의의 타입의 장비일 수 있다. 상기 네트웍 인터페이스(18)은 상기 컴퓨터 시스템(10)에 컴퓨터 또는 프린터 등과 같은 다른 장비로의 네트웍 억세스를 제공할 수 있는 임의의 형태의 장비, 카드, 어댑터 또는 커넥터일 수 있다. 본 발명의 일 실시예에 있어서, 상기 네트웍 인터페이스(18)는 상기 컴퓨터 시스템(10)을 인터넷과 같은 컴퓨터 네트웍과 연결시키고(또는 연결시키거나) 이하에서 설명되는 본 발명의 시스템 및 방법들이 구동될 수 있는 다른 컴퓨터 시스템과 연결시킬 수 있다.
본 발명을 구현하는 상기 컴퓨터 시스템(10)이 도 1에 도시된 모든 구성요소를 포함할 필요는 없고, 상기 구성요소들의 각각의 등가물들이 본 발명의 정신 및 범위 내에서 포함될 수 있음은 당업자에게 자명한 사항이다. 예를 들어, 상기 컴퓨터 시스템(10)은 상기 테이프 드라이브(28)를 포함시킬 필요 없이, CD, DVD 드라이브 등과 같은 다른 형태의 드라이브들을 포함할 수 있다. CD 드라이브는, 예를 들면, 읽고 쓸 수 있어서 이하에서 설명되는 데이터베이스들 내의 일부 또는 모든 데이터를 저장할 수 있다.
본 발명의 일실시예에 따르면, 하나 이상의 컴퓨터 프로그램들은 평가 시스템의 동작 능력들을 정의한다. 이들 프로그램들은 하드 디스크 드라이브(24), 미디어 저장 드라이브(26), 테이프 드라이브(28), 또는 네트워크 인터페이스(18)를 통해 여러 방식들로 컴퓨터 시스템(10)에 로드될 수 있다. 대안으로, 상기 프로그램들은 메인 메모리(14)의 영구 메모리 영역 (즉, ROM(read only memory) 칩)에 있게된다. 또 다른 실시 예에 따르면, 상기 컴퓨터 시스템(10)은 컴퓨터 프로그램으로부터의 명령에 대한 필요성이 없이 본 명세서에서 설명된 모든 기능을 수행하는 특별히 설계된, 전용의 하드와이어 전자회로를 포함할 수 있다.
본 발명에 따른 일실시예에 따르면, 평가 시스템은 클라이언트가 서버에 요청을 송신하고, 서버가 클라이언트의 요청에 대해 응답하는 클라이언트-서버 시스템의 일부이다. 물론, "클라이언트"는 파일을 요청하거나 그 파일을 받을 수 있는 사람을 의미하는 것으로 폭넓게 해석될 수 있고, "서버"는 파일을 다운로드하는 실체가 되는 것으로 폭넓게 해석될 수 있다. 기본적으로, 평가 시스템은 하나의 클라이언트 시스템이나 하나의 서버 시스템 중 어느 하나가 될 수 있다. 일예로써, 본 발명은 서버측에 구현되고, 사용자 컴퓨터상에 실행되는 리더 어플리케이션(reader application)과 같이 클라이언트로부터의 요청을 수신하고 응답한다.
클라이언트는 컴퓨터 시스템(10), 또는 그 특정 부품(예를 들어, 워크스테이션(work station), 무선 핸드-헬드 디바이스(wireless hand-held device), 전자북(electronic book), 개인용 디지털 기기(personal digital assistant), 주변기기(peripheral)), 또는 인터넷과 같은 임의의 타입의 컴퓨터 네트워크에 알려지거나 최신식으로 직간접적으로 연결되거나 연결될 수 있는 하나의 컴퓨터에서 운영되는 소프트웨어 프로그램과 같은 실체가 될 수 있다. 예를 들어, 하나의 대표적인 클라이언트는 x-86-, 파워 피씨.알티엠.(Power PC.RTM.), 팬티엄 기반(PENTIUM-based), 또는 알아이에스씨 기반(RISC-based)이고, 이는 IBM, RTM, LINUX, OS/2.RTM, 또는 MICROSOFT WINDOWS(워싱턴 레드몬드의 마이크로소프트사에서 제조됨)와 같은 오퍼레이팅 시스템을 포함하며, 자바 가상 머신(JVM : Java Virtual Machine)을 갖는 MICROSOFT INTERNET EXPLORER, NETSCAPE NAVIGATOR(켈리포니아 마운틴뷰의 네스케이프사에서 제조됨)웹 브라우저를 포함하고, 어플리케이션 플로그-인(application plug-ins) 또는 보조 어플리케이션들(helper applications)용 지원을 포함하는 개인용 컴퓨터이다. 또한 하나의 클라이언트는 노트북 컴퓨터, 핸드-헬드 연산 디바이스(hand-held computing device : 예로써, PDA), 인터넷 기기(Internet appliance), 전화기, 전자리더장치(electronic reader device), 또는 컴퓨터 네트워크에 연결될 수 있는 장치가 될 수도 있다.
서버는 컴퓨터 시스템(10), 컴퓨터 플랫폼(computer platform), 컴퓨터나 플랫폼의 부속물, 또는 그에 관한 클라이언트의 요청에 대해 응답할 수 있는 프로그 램과 같은 구성요소와 같은 실체가 될 수 있다. 서버는 또한 관리와 운용을 위한 그래픽 사용자 인터페이스(GUI)를 지원하는 디스플레이 및 어플리케이션 개발자가 공통 게이트웨이 인터페이스(CGI) 프로그램들, 플러그-인, 서브렛(Servlets), 엑티브 서버 페이지(ASP : Active Server Pages), 서버 사이드 인클루드(SSI : Server Side Include) 기능 등을 포함하는 소프트웨어 프로그램들을 통한 핵심 기능들을 주문 제작하고/하거나 확장할 수 있도록 확장들을 제공하는 어플리케이션 프로그래밍 인터페이스(API)를 포함할 수 있다.
본 발명의 실시예들은 소프트웨어 어플리케이션들, 컴퓨터-리더블 프로그램 미디어, 데이터 구조들, 반송파 신호들, 사용자 인터페이스들, 및 어플리케이션 프로그램 인터페이스들과 같은 컴퓨터 기술들을 사용하여 구현될 수 있다. 예를 들어, 일실시예에 따른 본 발명에서 구현되는 소프트웨어는 컴퓨터 시스템(10)에서 운영되는 적어도 하나의 어플리케이션에 존재한다. 또 다른 일실시예에 따른 본 발명은 컴퓨터 시스템(10)과 같이 사용할 수 있는 하나의 컴퓨터-리더블 프로그램 매체를 포함한다. 또 다른 일실시예에 따른 본 발명은 하나의 컴퓨터 또는 컴퓨터-리더블 프로그램 매체에 저장되는 데이터 구조를 포함한다. 더욱이, 일실시예에 따르면, 본 발명은 상기 컴퓨터 시스템(10)과 다른 실체 간에 전송되는 하나 이상의 반송파 신호들과 같은 전송 매체를 포함한다. 일실시예에 따른 본 발명은 또한 어플리케이션 프로그래밍 인터페이스(API) 또는 사용자 인터페이스를 포함한다. 추가로, 일실시예에 따른 본 발명은 하나의 데이터 구조를 포함한다.
일실시예에 따르면, 본 발명은 소정의 표준을 갖는 준거성(compliance)의 사 용자의 레벨을 평가하고, 상기 평가를 준거성의 사용자 특정 레벨을 상세한 리포트로 변환하는 시스템들과 방법들을 포함한다. 상기 리포트는 사용자가 어떤 질의들, 예를 들어 규제 요건, 또는 컴퓨터에서 필요로 하는 보안레벨에 집중된 소정의 질의들에 대한 사요자 응답으로써 평가 시스템에 의해 생성된다. 또한 상기 리포트는 알려진 사용자 컴퓨터 시스템의 스캔 결과 이후에 평가 시스템에 의해 생성될 수 있다. 또는 평가 시스템은 상기 두 경우의 결과들을 합하여 하나의 리포트를 생성할 수 있다. 절차들은 초기 입력 단계, 스캔 단계, 그리고 출력 단계의 각 세 단계로 동작될 수 있다.
평가결정의 초기 입력 단계에서, 동작 구조가 설정된다. 도 2에 도시된 바와 같이, 상기 준거성 평가 시스템(200)의 상기 초기 입력 단계는 부과될 사용자의 고유한 동작 구조(202) 내로부터 적어도 하나의 준거성 기준을 선택함으로써 특징화 될 수 있다. 더욱이, 상기 선택된 동작 구조(202)는 상기 준거성 평가 시스템(200)이 자체 평가에 기초가 될 기준 형식을 결정한다. 예를 들어, 동작 구조(202)는 규정 기준(204)의 어떤 형식에 따라 형성될 수 있다. 예를 들어, HIPAA(206)은 미연방 법률 타이틀(45 CFR§160, 162, 그리고 164)에서 확인할 수 있는 규정 기준의 특정 형식이다. 유사하게, 미국법 타이틀 15, 서브항목 1, 섹션들 6801-6809에서 확인할 수 있는 GLB Act 208의 제한들에 의해 법인들이 고객의 개인 정보를 관리하는 방법에 대해 또한 면밀히 규정된다. 규정 기준의 다른 형식들은 또한 VISA사의 카드회원 정보 보안 프로그램 등과 같은 신용카드 회사들을 포함할 수 있다. 따라서, 관련 규정들을 갖는 중요 기반(212)의 어느 형식은 실제로 양적으로 질적으로 구분될 수 있고 규정 기준 동작 구조(204)에 의해 구현될 수 있다.
상기 동작 구조(202)는 원격 파이넨션 처리들을 수행하는 어떤 형식의 협회의 보안 조직들(214)에 따라 선택적으로 구성될 수 있다. 예를 들어, 인증된 은행(발행 은행)은 VISA®사 또는 MasterCard®사 신용카드들을 고객들에게 발행할 수 있다. 그리고 그들 카드들을 받는 상인들에게 카드 스와이프 기계(card swipe machine)를 발행한다. 상인이 발행 은행과의 권한 부여를 위해서, 그 상인은 고객의 인터넷 기반 신용 카드 처리, 그리고 그 상인이 VISA의 보안 기관(216)에 만족하기 위해 필요한 고객들의 적절한 보호장치 파이넨션 정보와 카드회원 데이터를 조치하기에 앞서서 VISA®사와 MasterCard®사의 보안 요구에 따르는 것을 동의하여야 한다. 도 3에 도시된 바와 같이, 현재 인터넷 웹주소 "http://www.usa.visa.com/media/business/cisp/Security_Audit_Procedures_and_Reporting.pdf"에서 확인되는 VISA의 보안 조직은, 그들의 발행들을 신청하는 설문지를 채워 넣음으로써, 어떤 보안 최고 관행을 준수하는 것을 그들의 상인들인 인증하는 것을 필요로 한다. 덧붙여, VISA사는 인터넷상에서 VISA사의 신용카드들을 받는 그들의 상인들이 그들의 보안 요구조건들을 만족하는 것을 필요로 한다. 유사하게, MasterCard사의 보안 조직 218은, 예를 들어, 현재 인터넷 상에 웹 주소 "http://sdp.mastercardintl.com/bestpractices.pdf"에서 확인될 수도 있고, 다른 것들 간에, 외부 약점 스캔 등과 같은 전자 상인들에 의해 완성되는 경영상 그리고 정책적인 조사들을 필요로 한다. 파이넨션 처리들을 진행하거나 그들의 에이젼트를 허가하는 파이넨션 실체의 다른 형태 또는 파이넨셜 처리들을 진행하는 가입자 상인들은 유사한 보안 조직들 214을 갖출 것이다. 그들은 American Express사 220 (웹 주소 http://home5.americanexpress.com/merchant/resources/fraudprevention/datasecurity_standards1.asp를 확인)를, 데빗 카드들(debit cards)을 발행하는 것, 은행 수표들을 인수하는 것 등을 포함한다.
상기 동작 구조(202)는 실제로 보안 정책(222) 하에서 동작하는 어떤 형식의 실체가 준거성 평가 시스템(200)을 구현할 수 있도록 적용된다. 예를 들어, 소프트웨어 개발 법인은 그의 피고용자들이 그 법인 서버들로부터 그들의 전자메일을 원격으로 접속할 수 있도록 허가하기 이전에, 그 소프트웨어 개발 법인은 전형적으로 이러한 원격 접속이 어떻게 발생할 것인지, 그리고 원격 해킹을 적절히 방지하기 위한 보호장치가 어떤 것이 있는지를 상세한 보안 정책을 적절히 가질 것이다. 유사하게, 그 보안 정책은 원격 접속의 약점들(vulerability)을 언급하고 최고 관행들이 만족되는 것을 필요로 하는 ISO-17799와 같은 기준에 따르는 법인에 의해 구현될 수 있다. 일 예에서, 정책은 법인 네트워크로의 원격 연결을 허가하기 이전에 두 가지 요소의 인증(보안 ID 토큰 패스워드는 물론 개인 패스워드와 같은)을 필요로 한다. 보안 정책은 또한 BS-7799(정보 보안 최고 관행들에 관련된 영국 기준)와 같은 기준에 따라 구현될 수 있다.
다양한 동작 구조(202)의 모두는, 규정 기준들(202), 보안 조직들(214), 보안 정책들(222), 그리고 그들의 조합들에 한정되는 것이 아니라, 사실은 주어진 동 작 구조마다 특정 산업과 회사에 내에서 사업을 수행하기 위한 사용자의 컴퓨터 동작 환경에 무엇이 포함되어야 하는지를 상세한 체크리스트 내의 아이템들이다. 주어진 동작 구조(202)에서 각 체크리스트 아이템은 하나의 질의로써 구성되고, 그 때 그는 사용자에게 있게 된다. 특히, 상기 질의는 사용자에게 그 특정 아이템이 그들의 연산 환경에 있는지 없는지를 묻는다.
각 동작 구조(202)에 대한 체크리스트가 일 시리즈의 질의들로 변환될 때, 그 질의들은 하나의 준거성 질의 데이터베이스(224)에 저장될 수 있다. 예를 들어, HIPAA 규정 기준(206)과 관련된 상기 체크리스트는 일 시리즈의 HIPAA 준거성 질의들로 변환될 수 있고 상기 준거성 질의 데이터베이스(224)에 저장될 수 있다. 유사하게, VISA의 보안 조직(216)과 관련된 상기 체크리스트는 일 시리즈의 VISA 준거성 질의들로 변환될 수 있고, 그 변환된 것은 또한 상기 준거성 질의 데이터베이스(224)에 저장될 수 있다. 규정 기준들(204), 보안 조직들(214), 그리고 보안 정책들(222)과 같은 각 동작 구조들은 해당 체크리스트들을 갖기 때문에, 모든 그들 체크리스트들은 질의 형태로 상기 준거성 질의 데이터베이스 224에 저장될 수 있다. 상기 준거성 질의 데이터베이스 224의 존재는 상기 컴퓨터 시스템이 새로운 세트의 질의들을 만들 필요 없이 다른 사용자의 준거성에 접속하도록 허가한다.
그러므로, 일실시예에 따라서 사용자가 준거성 세금부과 절차를 한번 시작하면, 그들은 사용자 동작 구조(202)를 가장 바람직하게 예로든 일 리스트의 옵션들을 주게 될 것이다. 예를 덜어, 사용자가 신용 카드로써 VISA사를 사용하는 신용 카드 처리들을 수행하기 위한 능력을 제공할려고 하는 상인 백화점이면, 상기 사용 자는 동작 구조의 형식으로써 "VISA"를 선택할 것이다. 선택적으로, 사용자가 환자들의 개인 진료 기록들을 저장하는 병원이라면, 상기 사용자는 HIPAA 동작 구조(206)를 선택할 것이다. 일단 동작 구조(202)의 형식이 선택되면, 상기 준거성 평가 시스템(200)은 상기 구조의 요구조건들에 적절한 질의들을, 이 경우에, VISA사 또는 HIPAA 중의 하나, 각각, 상기 준거성 질의 데이터베이스(224)로부터 가져온다. 그리고 상기 질의들은 온라인 설문지(on-line questionnaire)(226)에 전달된다. 상기 온라인 설문지(226)는 그 때 웹 기반 사용자 인터페이스(228)에 의해 사용자에게 건네진다.
상기 준거성 질의들은 사용자에게 구두적으로, 서면 양식에 의해, 음성 합성에 의해, 또는 PDA, 셀 폰(cell phone) 또는 블랙베리(BlackBerry) 디바이스와 같은 무선 디바이스에 의한 무선 전송과 같은 사용자에게 문의를 제공하기 위한 어떤 다른 수단에 의해 선택적으로 건네질 수 있다. 유사하게, 웹 기잔 사용자 인터페이스로의 입력은 선택적으로 온라인 포털, 무선 디바이스(PDA, 호출기, 블랙베리(BlackBerry)TM 등), 음성 합성기, 또는 상기 준거성 시스템 200에 사용자의 응답들을 전송하는 다른 어떤 장치에 의해 수행될 수 있다.
바람직한 실시 예에 따르면, 상기 사용자는 상기 준거성 질의들에 대한 사용자 이해와 응답을 도와주는 제안들로의 링크를 포함하는 설문지를 통해 안내되기도 한다.
웹 기반 사용자 인터페이스(228)에 의하면, 상기 온라인 설문지(226)는 조직 이 그들의 시스템상에서 정보를 어떻게 관리하고 보호하는지에 대한 질의들을 사용자에게 알려줄 수도 있다. 보다 중요하게, 그들 질의들은 개인 카드회원 데이터에 대한 VISA의 요구조건들과 같은 사용자의 특정 동작 구조(202)를 고려하여 적절히 고칠 수도 있다. 사용자가 동작 구조(202)로써 HIPAA 규정들을 선택했다면, 상기 온라인 설문지(226)는 HIPAA 요구조건들에 관련된 특정한 것에 집중된 질의들을 사용자에게 알려줄 수도 있다. 도4a는 상기 온라인 설문지(226)가 알려줄 때 사용자가 어떤 것을 보게 되는지를 나타낸 것이다. 도4b는 하나의 HIPAA 동작 구조(206) 내의 전형적인 설문지(226)를 나타낸 것이다. 상기 전술된 동작 구조(202)의 다른 경우에 근거하여 설문지(226)를 유사하게 생성하는 방법은 본 발명의 분야에서 통상의 지식을 가진자가 충분히 이해하는 것은 당연하다. 도4b에서 알 수 있듯이, 질의에 대해 각 가능한 응답은 준거성이 준거성 내에 있을지 없을지에 대해 유지되거나 달성되거나 둘 중 하나가 되는지를 확인하도록 사용자를 도와줄 권고를 생성할 수도 있다.
준거성 질문 데이터베이스(226)에서 다른 문제들로는 소정의 준거성 레벨을 필요로 하는 단체 지침, 보안정책, 또는 다른 규제를 포함할 수 있다. 사용자에 나타날 때, 온라인 설문지(226)에서의 질문은 특정한 정책영역에 의해 맵되거나 그룹화된다. 예컨대, 도 2에 도시된 바와 같이, 질문은 조직이 적절하게 구성된 방화벽을 갖는지 여부에 대한 네트워크 보안문제(228); 어떻게 조직이 개인정보를 보호하는지를 나타내는 사행활문제(230); 문 잠금 및 중요 시스템 룸에 대한 접속을 제한하는 문제를 나타내는 사용자의 하드웨어에 대한 물리적문제(232); 종업원에 대한 경력 검사가 수행되는지와 같은 개인문제(234); 및 전원 정전 후에 동작을 계속하도록 하는 계획과 같은 우연성문제(236)의 정책영역에 그룹화될 수 있다. 다른 정책영역 또는 기존 정책영역의 서브세트는 예를 들어 오프라인 데이터 보안, 온라인 데이터 보안, 서버보안, 인증 및 검증, 인간 자원 및 재난복구를 포함할 수 있다. 더 일반적으로, 온라인 설문지(226)를 통해 사용자에게 나타난 질문은 방화벽, 보안패치, 저장된 데이터의 암호화, 개방 네트워크를 통해 전송된 데이터의 암호화, 안티바이러스 프로그램의 사용, 데이터 접속제한, 및 고유 사용자 식별 또는 다른 등가물 또는 관련된 문제의 할당을 포함하나 이에 국한되지 않는다.
사용자가 온라인 설문지(226)에서 각 질문을 답할 때, 그 중요성에 따라 응답이 가중된다. 예컨대, 한 시나리오에서의 긍정 응답은 부정 응답보다 더 가치있게 여겨지고 더 높은 가중치가 할당될 수 있다. 반대도 또한 가능하다. 응답이 그 값에 따라 가중화되면, 응답은 환경 데이터베이스(238)에 저장된다. 사용자에게 컴퓨터 시스템의 준거성 평가를 제공하기 위해, 가중화된 응답이 본 명세서에서 논의된 스캔에 의해 발생된 다른 데이터와 결부하거나 단독으로 사용될 수 있다.
본 발명의 원리에 따르면, 설문지(226)에 대한 응답의 가중화는 스코어링 알고리즘(scoring algorithm)을 사용하여 수행될 수 있다. 스코어링 알고리즘은 각각의 답이 설문지에 있는 질문에 대해 위험 "가중치(weight)" 또는 "값(cost)"을 할당하거나 단계를 지을 수 있다. 예컨대, "높은 위험" 취약성(즉, 정보 및/또는 시스템의 즉각적인 손상을 초래할 수 있는 취약성)에 대한 질문의 응답은 예를 들어 10점으로 가중화되거나 10점의 위험값 "가치(worth)"를 가질 수 있다; "중간 위험" 취약성(즉, 정보 또는 시스템 등에 잠정적인 손상을 초래할 수 있는 취약성)에 대한 질문의 응답은 예를 들어 2점으로 가중화되거나 2점의 위험값 "가치"를 가질 수 있다; 그리고, "낮은 위험" 취약성(즉, 관심있는 조사 정보를 드러내고, 양호한 실행 등으로부터의 출발을 나타낼 수 있는 구성과 같은 취약성)에 대한 질문의 응답은 예를 들어 1점으로 가중화되거나 1점의 위험값 "가치"를 가질 수 있다.
그러나, 높은, 중간, 낮은 위험 취약성과 관련한 질문에 대한 응답의 각각의 가중치는 동작 프레임워크의 요건, 사용자 컴퓨터 네트워크상의 정보 등에 따라 조절될 수 있음을 알게 된다. 또한, 무엇이 "높은", "중간", 또는 "낮은" 위험을 구성하는 지는 동작 프레임워크의 요건, 사용자 컴퓨터 네트워크상의 정보 등에 따라 변경되어 질 수 있음을 알게 된다. 또한, "높은", "중간", 또는 "낮은" 과는 달리 추가 카테고리 또는 다른 카테고리가 이러한 스코어링 시스템에 사용될 수 있음을 알게 된다.
상술한 바와 같이, 사용자에게 컴퓨터 시스템의 준거성 평가를 제공하기 위해 설문지(226)에 대한 가중화된 응답은 본 명세서에서 논의된 스캔에 의해 발생된 다른 데이터와 결부하여 또는 단독으로 사용될 수 있다. 본 발명의 또 다른 태양에서, 사용자 컴퓨터 시스템은 매우 많은 기설정된 타입의 취약성을 기초로 하여 선택된 동작 프레임워크(202)에 따르지 않게 결정될 수 있고, 기설정된 취약성은 그 취약성과 결합된 다른 위험값을 갖는다. 따라서, 취약성의 존재를 나타내는 여러가지 답들과 관련한 점수가 허용될 수 없는 위험량에 대한 임계값에 대하여 함께 더해지고 측정될 수 있다. 예컨대, 임계 점수값은 10점일 수 있다. 따라서, 예를 들 어, 단지 한 질문에 대한 취약성의 존재를 나타내는 설문지의 답이 "높은 위험" 취약성을 나타내면, 스코어링 알고리즘은 컴퓨터 시스템이 선택된 동작 프레임워크(202)에 따르지 않음을 판단한다. 예컨대, 5개의 질문에 대한 취약성의 존재를 나타낸 설문지의 답이 "중간 위험" 취약성을 나타내면, 스코어링 알고리즘은 컴퓨터 시스템이 선택된 동작 프레임워크(202)에 따르지 않음을 판단한다. 예컨대, 10개의 질문에 대한 취약성의 존재를 나타낸 설문지의 답이 "낮은 위험" 취약성을 나타내면, 스코어링 알고리즘은 컴퓨터 시스템이 선택된 동작 프레임워크(202)에 따르지 않음을 판단한다.
도 5는 컴퓨터 네트워크의 보안평가를 수행하고 싶은 사용자에게 일러지는 질문에 대한 개개 위험값을 나타내는 본 발명의 원리에 따른 예시적인 설문지(226)를 도시한 것이다. 도 5를 참조하면, 참조번호 62로 표시된 필드는 사용자 컴퓨터 시스템에 대한 특정 질문을 포함할 수 있다; 참조번호 64로 표시된 필드는 특정한 질문에 대한 위험(예컨대, 높은, 중간, 낮은)의 보안을 나타낼 수 있다; 그리고, 참조번호 66으로 표시된 필드는 보안의 특별한 위험레벨과 관련된 위험 "가중치" 또는 "값"을 나타낼 수 있다. 본 발명의 또 다른 태양에서, 참조번호 62로 표시된 필드에 나타난 질문은 예컨대 신용카드 협회의 모든 요건의 실질적으로 완전한 커버리지(coverage)를 제공할 수 있다. 따라서, 도 5에 도시된 설문지(226)는 실질적으로 전체 산업에 대한 준거성 평가를 제공하는데 일조할 수 있다. 본 발명의 또 다른 태양에서, 도 5에 도시된 설문지는 상술한 VISA® 및 MAsterCard® 보안 구성에 의해 발생된 실질적으로 모든 문제에 대한 질문을 포함할 수 있다. 본 발명의 또 다른 태양에서, 도 5에 도시된 바와 같이, 적어도 하나의 (예컨대, 높은, 중간, 또는 낮은) 위험레벨은 설문지(226)내에 어떤 특정한 질문에 할당될 수 있고, 위험값은 동작 프레임워크, 사용자 컴퓨터 네트워크상의 정보 등의 요건을 기초로 하여 할당된 위험레벨 중 하나에 선택적으로 대응할 수 있다.
본 발명의 또 다른 태양에서, 본 명세서에서 상술된 취약성 스캐너(240)는, 실질적으로 상술한 계류중인 출원에 개시된 바와 같이, 도 2에 도시된 네트워크 파라미터 입력 모듈(220)과 제 1 스캐닝 모듈(230), 도 3에 도시된 평가 모듈(305) 및/또는 도 4에 도시된 스캐닝 장치에 실질적으로 대응될 수 있다. 따라서, 취약성 스캐닝 엔진(242)은 바이러스 및 취약성 데이터베이스(243)로부터 데이터를 사용하는 취약성 스캐닝 동작을 수행할 수 있다. 준거성 평가의 제 2 단계(즉, 상술한 스캔 단계)동안, 사용자 네트워크는 사용자의 전반적인 준거성 및/또는 취약성 판단을 하기 위해 설문지를 통해 사용자에 의해 입력된 소정 데이터의 실시간 검증을 제공할 수 있는 장치를 사용하여 스캔될 수 있다.
취약성 스캐너(242)에 의해 수행된 사용자 네트워크의 각각의 스캔은 계류중인 출원에 설명한 바와 같이 환경 데이터를 발생하게 한다. 이 환경 데이터는 또한 계류중인 출원에 설명된 바와 같이 환경 데이터베이스(238)에 저장된다. 본 발명의 일태양에서, 환경 데이터베이스(238)는 사용자 질의 및/또는 온라인 설문지(226)의 결과가 저장되는 동일한 데이터베이스일 수 있다. 대안으로, 환경 데이터 및 사용자 질의 및/또는 온라인 설문지(226)의 결과가 별개의 데이터베이스에 저장될 수 있다.
본 명세서에 참조로 합체된 계류중인 출원에 더 자세히 설명된 바와 같이, 사용자 네트워크의 스캔은 적어도 부분적으로 온라인 설문지(226)에 대한 응답에 의해 발생된 스캔 파라미터에 벗어날 수 있다. 본 발명의 일태양에서, 스캔 파라미터는 결정트리가 예컨대 특정한 스캔동안 수행된 활동의 논리적 흐름 뿐만 아니라 스캔동안 특정 툴의 사용을 설명하는 XML 문서를 포함할 수 있는 논리결정 트리단계를 자동화함으로써 발생될 수 있다. 본 발명의 또 다른 태양에서, 결정트리는 사용자 제공 파라미터 뿐만 아니라 복귀될 때 툴로부터의 결과 모두를 기초로 한 스캐닝 활동의 흐름을 설명할 수 있다. 본 발명의 또 다른 태양에서, 결정트리는 선택된 동작 프레임워크(202)에 의해 색인될 수 있다.
본 발명의 또 다른 태양에서, 사용자 네트워크의 스캔은 데이터 결과를 발생할 수 있는 적어도 하나의 스캔 툴(예컨대, 도메인 네임 좌표변환기(domain name resolvers), 포스트 스캐너(post scanners), nslookup, dig, whois, 핑(ping), traceroute, rpcinfo, nbstat, net use, smbclient, nmap, nessus, whisker, nikto,onesixtyone, Pptp_probe, Gbg, Wget, Lantern, QTIP, dorian 등)을 사용하여 수행될 수 있고, 데이터 결과는 공용 언어로 포장되며 온라인 설문지(226)상에 또 다른 질의를 만드는데 사용될 수 있다. 본 발명의 또 다른 태양에서, 스캔내의 각각의 태스크는 별개로 관리되고/되거나 스케쥴될 수 있다. 본 발명의 또 다른 태양에서, 태스크를 정의하는 언어는 태스크를 수행하는 툴에 대응하는 언어로 포장될 수 있다. 본 발명의 또 다른 태양에서, 스캐닝은 예컨대 태스크 핸들러(task handler), 스케쥴러 마스터(schedule master) 등을 사용하여 수행될 수 있다.
취약성 스캐닝 엔진이 모든 스캔을 완료하고 이에 의해 모든 적용가능한 환경 데이터를 만들고 나면, 본 발명의 준거성 평가 시스템의 제 3 단계, 즉, 출력단계가 진행될 수 있다. 출력 단계는 사용자에 의해 사용된 동작 프레임워크에 대한 것일 때 뿐만 아니라 사용자 네트워크의 취약성 상태(posture)에 대해 어떠한 지 사용자 스캔 네트워크 분석을 한다. 대안으로, 제 3 단계가 모든 스캔이 완료되기 전에 또는 모든 환경 데이터가 발생되기 전에, 또는 심지어 사용자가 온라인 설문지를 완료하기 전에 개시될 수 있다. 예컨대, 제 3 단계는 적용가능한 환경 데이터가 발생될 때마다 개시될 수 있다. 따라서, 스캔이 진행되고 적용가능한 환경 데이터가 발생되면, 출력 단계가 개시될 수 있다.
출력 단계는 시스템 평가 또는 사정을 하기 위해 환경 데이터베이스(238)에 있는 데이터에 따른다. 예를 들어, 온라인 설문지(226)상의 모든 결과가 환경 데이터베이스(238)에 가중화되고 저장된 후에, 그리고 주어진 시스템의 스캔이 완료되고 태스크 결과(436)가 상기 환경 데이터베이스(238)에 저장되고 나면, 상기 환경 데이터베이스(238)는 모든 가중화된 답 뿐만 아니라 모든 환경 데이터를 포함한다. 온라인 설문지(226)의 가중화된 결과를 보유하고 태스크 결과(436)를 보유하는 데이터베이스 테이블이 도 6에 나타나 있다.
도 6을 참조하면, 본 발명의 일실시예에서, 또한 클라이언트 환경 데이터베이스(client enviroment database, CED)라고 할 수 있는, 도 2의 환경 데이터베이스(238)는 SQL을 포함하는 해당기술분야에 공지된 임의의 데이터베이스 관리 소프 트웨어로 작성될 수 있다. 본 발명의 일실시예에서, CED는 계류중인 출원에 설명된 바와 같이 취약성 스캐닝 엔진(242)에 대한 스캔을 하는데 일조하는 다수의 특징 섹션(distinct sections)을 포함할 수 있다. 그러나, 도 2의 환경 데이터베이스(238) 또는 도 6의 CED 중 어느 하나의 데이터베이스 테이블도 또한 환경 데이터베이스 뿐만 아니라 온라인 설문지(226)에 대한 응답을 보유하는데 사용된다.
본 발명의 또 다른 태양에서, 환경 데이터베이스는 스캔 파라미터, 스캔 주파수, 스캔 시간주기, 스캔 결과, 스캔 시작시간, 스캔 정지시간, 다음 스캔 날짜, 네트워크의 상태, 발견된 MAC 어드레스, 스캔 활동 로그, 노출된 시스템, 스캔된 도메인 네임, 스캔된 IP, 발견된 IP, 스캐닝에 사용된 기기 등 중 적어도 하나와 관련된 정보를 포함할 수 있다.
도 2의 환경 데이터베이스(238) 또는 도 6의 CED가 모든 적용가능한 가중화된 결과 및 환경 데이터와 함께 제공되고 나면, 취약성 리포트 발생기(246)가 이들 결과와, 스캔된 시스템이 HIPAA 조절(regulatory) 표준(204) 또는 VISA® 보안구성(216)과 같은 동작 프레임워크(202)의 특정한 요건에 따르는지 여부의 표시를 제공하도록 준거성 평가의 한 단계에서 사용자에 의해 초기에 선택된 동작 프레임워크(202)를 비교한다. 이러한 제 3 단계에서, 취약성 리포트 발생기(246)는 사용자 네트워크의 어떤 태양이 보안 위반에 취약하고 어떻게 이러한 위반이 발생될 수 있는지를 나타낼 수 있다. 이러한 보안성에 대한 특정한 세부사항를 제공함으로써, 취약성 평가 시스템(200)은 적절한 보안 보호를 개발하도록 스캔되어지는 사용자가 그 취약성을 제거하게 할 수 있다.
예를 들어, 프로그램은 식별된 각각의 잠정적인 취약성을 분류하고 간략하게 열거할 수 있으며, "낮은 위험", "중간 위험", "높은 위험", "정보 위험", 또는 "관리 위험"과 같은 직관적인 설명어를 각각의 잠정적인 취약성에 결합시킬 수 있다. 이 결과는 "통과" 또는 "실패" 등급을 나타내거나 표 형태(tabular form)일 수 있다. 도 7은 그래픽 포맷으로 취약성 스캔의 결과를 또한 나타낼 수 있다. 도 7에 도시된 바와 같이, 그래프로 나타낸 결과는 가장 취약한 것에서 가장 취약하지 않는 순으로 사용자 네트워크상에 20개의 가장 취약한 시스템을 늘어세운다. 도 7의 그래프 도면내에서, 참조번호 82로 표시된 필드는 시스템의 IP 어드레스를 포함하고, 참조번호 84로 표시된 필드는 시스템내의 총 취약성 개수를 포함하며, 참조번호 86으로 표시된 필드는 시스템의 도메인을 포함한다. 취약성 스캔은 네트워크 상에 이용될 수 있는 모든 접속가능한 호스트 및 네트워크 서비스에 대한 취약성의 레벨을 나타낼 수 있거나, 선택된 호스트 및 네트워크 서비스만을 스캔할 수 있다. 바람직한 실시예에서, 취약성 리포트 발생기(246)에 의해 발생된 결과는 인터넷(248)을 통해 사용자에 제공될 수 있다. 그러나, 이들 동일한 결과는 작성된 형태로, 구두로, 음성 합성기를 통해 그리고 무선으로 등에 포함되는 본 명세서에서 설명된 다른 수단에 의해 제공될 수 있다.
마찬가지로, 취약성 리포트 발생기(246)는 도4b에 도시된 바와 같이 식별된 취약성을 해결하는 방법에 대한 제안 또는 추천을 포함할 수 있다. 리포트가 HTML 페이지로서 제공되면, 상기 HTML 페이지는 동작 시스템 및/또는 사용자 시스템의 다른 소프트웨어 및 식별된 취약성에 대해 특정한 보안 패치로의 링크(808)를 포함할 수 있다. 또한, 취약성 스캔의 결과는 특히 사용자가 그 네트워크의 보안 또는 온고잉(ongoing) 준거성의 주기적 평가를 선택하였다면 사용자에게 이메일 경보(e-mail altert)(250)로서 제공될 수 있다. 본 발명의 또 다른 태양에서, 취약성 리포트 발생기(246)는 사용자 컴퓨터 네트워크가 산업 평균 또는 다른 선택된 컴퓨터 네트워크에 비하여 선택된 동작 프레임워크에 얼마나 잘 따르는 지를 포함하는 리포트를 발생할 수 있다.
어셈블리 시스템(200)은 바람직하게는 다른 네트워크 및 동작 플랫폼에 가변될 수 있을 뿐만 아니라 보안의 다른 범위에도 가변될 수 있다. 설문지의 범위성(scalability)은 전개표준(evolving standard) 또는 요건을 나타내기 위해 데이터베이스에 더해지는 비제한적인 많은 질문을 가능하게 하는 데이터베이스 구성 및 구조에 관한 것이다. 리포팅 모듈(reporting module)은 툴의 다양한 데이터베이스 구성요소로부터 적절한 정보를 추출하고 상기 정보를 최종 리포트에 포함시키는 능력에 있어 마찬가지로 가변될 수 있다.
평가 시스템(200)은 또한 기밀 정보가 스캔되지 않게 할 수 있는 보안장치를 포함할 수 있다. 일실시예에서, 온라인 설문지는 사용자가 스캔되지 않아야 하는 임의의 또는 모든 사이트 등을 자세히 말하도록 유발한다. 예컨대, 특정한 사용자가 그 환경내에 있는 임의의 거래요소의 일부분이 아닌 자립형 서버를 가지면, 그 IP 어드레스가 읽혀질 수 있고 네트워크 스캔으로부터 배제될 수 있다.
본 발명은 바람직한 실시에에 대한 특정한 참조로 상세히 설명되었다. 그러 나, 이러한 개시에 대한 고려시에 당업자는 본 발명의 기술사상 및 범위내에 변형 및 변경을 할 수 있음을 인지할 것이다. 본 명세서 및 예들은 단지 예로서 고려되며, 본 발명의 진정한 범위 및 기술사상은 하기 특허청구범위에 나타나 있도록 의도되어 있다.
본 발명의 상세한 내용에 포함됨.

Claims (72)

  1. 적어도 하나의 준거성 표준에 따르는지 여부를 결정하기 위한 방법에 있어서,
    소정의 처리를 위한 적어도 하나의 준거성 표준을 획득하는 단계;
    상기 적어도 하나의 준거성 표준에 기초한 사용자의 반응을 이끌어내기 위하여 질문들을 구축하는 단계;
    상기 질문들에 대한 상기 반응에 기초한 스캔 변수들을 생성하는 단계;
    상기 스캔 변수를 사용하여 전자 시스템을 스캐닝하는 단계; 및
    상기 적어도 하나의 준거성 표준의 준거성에 관한 평가를 제공하는 단계를 포함하는 준거성 결정 방법.
  2. 제1항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 정책인 것을 특징으로 하는 준거성 결정 방법.
  3. 제1항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 기법인 것을 특징으로 하는 준거성 결정 방법.
  4. 제1항에 있어서,
    상기 적어도 하나의 준거성 표준은 규제적 표준인 것을 특징으로 하는 준거성 결정 방법.
  5. 제1항에 있어서,
    그래픽 사용자 인터페이스 내에 상기 질문들을 배치하는 것을 특징으로 하는 준거성 결정 방법.
  6. 제1항에 있어서,
    상기 스캔 변수를 생성하는 단계는 논리적 결정 삼단계를 자동화시키는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  7. 제1항에 있어서,
    상기 스캐닝하는 단계는 적어도 하나의 스캔 툴을 사용하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  8. 제7항에 있어서,
    상기 적어도 하나의 스캔 툴은 데이터 결과를 발생시키는 것을 특징으로 하는 준거성 결정 방법.
  9. 제8항에 있어서,
    상기 데이터 결과는 상기 발생에 대한 추가적 질문을 생성하는 것을 특징으로 하는 준거성 결정 방법.
  10. 제1항에 있어서,
    상기 스캐닝하는 단계는 확장축소 가능한(scalable) 것을 특징으로 하는 준거성 결정 방법.
  11. 제8항에 있어서,
    상기 적어도 하나의 스캔 툴은 도메인 이름 변환기, post scanners, nslookup, dig, whois, nikto, whois, ping, traceroute, rpcinfo, nbstat, net use, smbclient, nmblookup, nmap, nessus, whisker, nikto, onesixtyone, Pptp_probe, Gbg, Wget, Lantern, QTIP 및 dorian으로 구성된 그룹으로부터 선택되는 것을 특징으로 하는 준거성 결정 방법.
  12. 제1항에 있어서,
    신뢰성 정보를 검출하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  13. 제1항에 있어서,
    일반적인 언어로 각 스캔 변수로부터 수신된 데이터를 래핑(wrapping)하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  14. 제1항에 있어서,
    상기 규제적 방식은 보안 스펙을 포함하는 것을 특징으로 하는 준거성 결정 방법.
  15. 제1항에 있어서,
    상기 스캐닝하는 단계는 스캔을 포함하는 개별 작업을 관리하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  16. 제1항에 있어서,
    상기 스캐닝하는 단계는 상기 각각의 작업을 툴 언어로 래핑하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  17. 제1항에 있어서,
    상기 스캐닝하는 단계는 작업들을 스케줄링(scheduling)하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  18. 제1항에 있어서,
    상기 평가를 제공하는 단계는 환경 데이터베이스를 구축하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  19. 제18항에 있어서,
    상기 환경 데이터 베이스는 스캔 변수, 스캔 주파수, 스캔 시간 주기, 스캔 결과, 스캔 시작 시간, 스캔 종료 시간, 다음 스캔 데이터, 네트워크 상태, 발견된 맥(MAC) 주소, 스캔 활동 로그, 노출된 시스템, 노출된 서비스, 스캔된 도메인 네임, 스캔된 IP, 발견된 IP 및 스캐닝을 사용한 어플리케이션들로 구성된 그룹으로부터 선택된 적어도 하나인 것을 특징으로 하는 준거성 결정 방법.
  20. 적어도 하나의 준거성 표준을 따르는지 여부를 결정하는 방법에 있어서,
    소정의 처리를 적어도 하나의 규제적 표준을 획득하는 단계;
    상기 적어도 하나의 준거성 표준에 기초한 사용자의 반응을 이끌어내기 위하여 질문들을 구축하는 단계;
    상기 질문에 대한 상기 반응에 근거하여 스캔 변수를 생성하는 단계;
    상기 스캔 변수를 사용하여 전자 시스템을 스캐닝하는 단계;
    일반적인 언어로 각 스캔 변수로부터의 데이터를 래핑하는 단계; 및
    상기 규제적 표준의 준거성에 관한 평가를 제공하는 단계를 포함하는 준거성 결정 방법.
  21. 제20항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 정책인 것을 특징으로 하는 준거성 결정 방법.
  22. 제20항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 기법인 것을 특징으로 하는 준거성 결정 방법.
  23. 제20항에 있어서,
    상기 적어도 하나의 준거성 표준은 규제적 표준인 것을 특징으로 하는 준거성 결정 방법.
  24. 제20항에 있어서,
    그래픽 사용자 인터페이스 내에 상기 질문들을 배치하는 것을 특징으로 하는 준거성 결정 방법.
  25. 제20항에 있어서,
    상기 스캔 변수를 생성하는 단계는 논리적 결정 삼단계를 자동화시키는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  26. 제20항에 있어서,
    상기 스캐닝하는 단계는 적어도 하나의 스캔 툴을 사용하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  27. 제26항에 있어서,
    상기 적어도 하나의 스캔 툴은 데이터 결과를 발생시키는 것을 특징으로 하는 준거성 결정 방법.
  28. 제27항에 있어서,
    상기 데이터 결과는 상기 발생에 대한 추가적 질문을 생성하는 것을 특징으로 하는 준거성 결정 방법.
  29. 제20항에 있어서,
    상기 스캐닝하는 단계는 확장축소 가능한(scalable) 것을 특징으로 하는 준거성 결정 방법.
  30. 제25항에 있어서,
    상기 논리적 결정 삼단계를 변경하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  31. 제26항에 있어서,
    상기 적어도 하나의 스캔 툴은 도메인 이름 변환기, post scanners, nslookup, dig, whois, nikto, whois, ping, traceroute, rpcinfo, nbstat, net use, smbclient, nmblookup, nmap, nessus, whisker, nikto, onesixtyone, Pptp_probe, Gbg, Wget, Lantern, QTIP 및 dorian으로 구성된 그룹으로부터 선택되는 것을 특징으로 하는 준거성 결정 방법.
  32. 제20항에 있어서,
    제한된 정보를 검출하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  33. 제23항에 있어서,
    상기 규제적 표준은 보안 스팩을 포함하는 것을 특징으로 하는 준거성 결정 방법.
  34. 제20항에 있어서,
    상기 스캐닝하는 단계는 스캔을 포함하는 개별 작업을 관리하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  35. 제20항에 있어서,
    상기 스캐닝하는 단계는 상기 각각의 작업을 툴 언어로 래핑하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  36. 제20항에 있어서,
    상기 스캐닝하는 단계는 작업들을 스케줄링(scheduling)하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  37. 제20항에 있어서,
    상기 평가를 제공하는 단계는 환경 데이터베이스를 구축하는 단계를 더 포함하는 것을 특징으로 하는 준거성 결정 방법.
  38. 제37항에 있어서,
    상기 환경 데이터 베이스는 스캔 변수, 스캔 주파수, 스캔 시간 주기, 스캔 결과, 스캔 시작 시간, 스캔 종료 시간, 다음 스캔 데이터, 네트워크 상태, 발견된 맥(MAC) 주소, 스캔 활동 로그, 노출된 시스템, 노출된 서비스, 스캔된 도메인 네임, 스캔된 IP, 발견된 IP 및 스캐닝을 사용한 어플리케이션들로 구성된 그룹으로부터 선택된 적어도 하나인 것을 특징으로 하는 준거성 결정 방법.
  39. 사용자에게 적어도 하나의 준거성 표준에 따르는지 여부를 결정하기 위한 방법을 제공하기 위한 컴퓨터 시스템에 있어서,
    적어도 하나의 준거성 표준;
    사용자에게 질문들을 제공하기 위한 수단;
    결정 삼단계 구조를 생성하기 위한 수단;
    시스템 취약성을 위하여 다른 컴퓨터 시스템을 스캐닝하기 위한 수단;
    적어도 하나의 스캐닝 툴;
    상기 스캐닝하는 수단에 의하여 발생한 데이터를 기록하기 위한 데이터베이스; 및
    상기 데이터베이스에 포함된 데이터를 디스플레이하기 위한 인터페이스를 포함하는 컴퓨터 시스템.
  40. 제39항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 정책을 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  41. 제39항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 기법을 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  42. 제39항에 있어서,
    상기 적어도 하나의 준거성 표준은 규제적 기준을 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  43. 제39항에 있어서,
    상기 스캐닝하기 위한 수단에 의하여 발생한 상기 데이터를 래퍼(Wrapper) 언어로 변환하기 위한 수단을 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  44. 제39항에 있어서,
    적어도 하나의 추가 스캐닝 툴을 추가하기 위한 수단을 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  45. 제39항에 있어서,
    상기 결정 삼단계 구조는 상기 적어도 하나의 스캐닝 툴에 의하여 완성되는 일련의 작업들을 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  46. 제39항에 있어서,
    상기 결정 삼단계 구조는 적어도 하나의 작업을 추가하기 위한 수단을 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  47. 제39항에 있어서,
    상기 스캐닝하기 위한 수단으로 상기 데이터 베이스를 지속적으로 업데이트 하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  48. 제39항에 있어서,
    상기 스캐닝하기 위한 수단은 상기 결정 삼단계 구조와 통신하기 위하여 적용된 것을 특징으로 하는 컴퓨터 시스템.
  49. 제42항에 있어서,
    상기 규제적 표준은 보안 스펙을 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  50. 제39항에 있어서,
    상기 스캐닝하기 위한 수단은 작업 관리자를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  51. 제39항에 있어서,
    상기 스캐닝하기 위한 수단은 작업 처리기를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  52. 제39항에 있어서,
    상기 스캐닝하기 위한 수단은 스캐줄 마스터를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  53. 제39항에 있어서,
    상기 데이터베이스는 스캔 변수, 스캔 주파수, 스캔 시간 주기, 스캔 결과, 스캔 시작 시간 및 스캔 종료 시간으로 이루어진 그룹으로부터 선택된 적어도 하나를 포함하는 것을 특징으로 하는 컴퓨터 시스템.
  54. 컴퓨터 네트워크의 준거성 레벨을 결정하기 위한 시스템에 있어서,
    컴퓨터 네트워크를 평가하기 위한 적어도 하나의 소정 준거성 표준을 저장하기 위한 운영 체계;
    준거성 질문 데이터베이스;
    사용자에게 상기 준거성 질문들 중 나타내기 위한 표시 수단;
    사용자의 컴퓨터 네트워크를 스캐닝하고 사용자의 응답을 검증하기 위한 준거성 평가 수단; 및
    준거성 리포트를 생성하기 위한 준거성 응답 데이터베이스와 연결된 리포트 생성기를 포함하는 준거성 레벨 결정 시스템.
  55. 제54항에 있어서,
    상기 표시 수단은 사용자에게 웹 기반 인터페이스를 통하여 나타낼 수 있는 온라인 질문표를 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  56. 제55항에 있어서,
    상기 온라인 질문표는 질문을 어떻게 이해하고 응답해야 하는지에 대한 제안서와 연결되어 있는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  57. 제54항에 있어서,
    상기 표시 수단은 사용자에게 나타낼 수 있는 구두 질문서인 것을 특징으로 하는 준거성 레벨 결정 시스템.
  58. 제54항에 있어서,
    상기 표시 수단은 사용자에게 나타낼 수 있는 문자로 쓴 질문서인 것을 특징으로 하는 준거성 레벨 결정 시스템.
  59. 제54항에 있어서,
    상기 표시 수단은 언어 합성장치인 것을 특징으로 하는 준거성 레벨 결정 시스템.
  60. 제54항에 있어서,
    상기 표시 수단은 PDA, 셀폰(cell phone) 및 BlcakberryTM으로 이루어진 그 룹으로부터 선택된 적어도 하나의 무선 전자 전송인 것을 특징으로 하는 준거성 레벨 결정 시스템.
  61. 제54항에 있어서,
    유사 정책 영역의 준거성 질문들 중 미리 결정된 것들은 함께 그룹으로서 사용자에게 나타나는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  62. 제61항에 있어서,
    상기 정책 영역은 구성이 적절하게 구현된 방화벽을 가졌는지 여부와 관련된 네트워크 보안 문제, 구성이 개인 정보를 얼마나 잘 보호하는가를 설명하는 정책 문제, 사용자 하드웨어와 관련된 물리적 문제, 전력 정전 후 컴퓨터 네트워크 동작을 지속시키는 방법에 관한 예측 문제, 오프라인 데이터 보안, 온라인 데이터 보안, 서버 보안, 인증 및 검증, 인적 자원 및 재해 복구 대책으로 구성된 그룹으로부터 선택된 적어도 하나를 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  63. 제54항에 있어서,
    상기 준거성 질문 데이터베이스는 협력 안내서, 보안 정책들 및 소정 레벨의 준거성을 요구하는 규칙들로 구성된 그룹으로부터 선택된 적어도 하나와 관련된 질문들을 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  64. 제54항에 있어서,
    상기 준거성 질문 데이터베이스는 방화벽, 안전 패치들, 저장된 데이터의 암호화, 개방된 네트워크들로 전송된 데이터의 암호화, 바이러스 방지 프로그램의 사용, 데이터 접근 제한 및 사용자 식별자의 할당으로 구성된 그룹으로부터 선택된 적어도 하나와 관련된 질문들을 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  65. 제54항에 있어서,
    준거성 질문들 중 소정의 것들에 대한 응답에 다양한 중요도를 선택적으로 할당한 질문 비중 수단을 더 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  66. 제54항에 있어서,
    상기 준거성 평가 수단은 사용자 컴퓨터 네트워크의 스캔하고;
    상기 스캔에 기초한 측정된 준거성 데이터 발생시키며;
    측정된 준거성 데이터를 준거성 응답 데이터베이스의 사용자 응답들과 비교하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  67. 제66항에 있어서,
    상기 준거성 평가 수단은 상기 준거성 질문 데이터베이스에 상기 측정된 준거성 데이터를 제공하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  68. 제66항에 있어서,
    사용자 컴퓨터 네트워크 상의 신뢰성 정보가 스캔되는 것을 방지하기 위한 보안 장치를 더 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  69. 제54항에 있어서,
    상기 준거성 리포트는 사용자 컴퓨터 네트워크가 적어도 하나의 소정 준거성 표준에 따르는 정도를 나타내는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  70. 제54항에 있어서,
    상기 적어도 하나의 준거성 표준은 정부 규제 표준을 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  71. 제54항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 기법을 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
  72. 제54항에 있어서,
    상기 적어도 하나의 준거성 표준은 보안 정책을 포함하는 것을 특징으로 하는 준거성 레벨 결정 시스템.
KR1020057018364A 2003-03-28 2004-03-26 전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템 KR20060030015A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/400,924 US8201256B2 (en) 2003-03-28 2003-03-28 Methods and systems for assessing and advising on electronic compliance
US10/400,924 2003-03-28

Publications (1)

Publication Number Publication Date
KR20060030015A true KR20060030015A (ko) 2006-04-07

Family

ID=32989316

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057018364A KR20060030015A (ko) 2003-03-28 2004-03-26 전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템

Country Status (9)

Country Link
US (1) US8201256B2 (ko)
EP (1) EP1614041A2 (ko)
JP (1) JP2006526220A (ko)
KR (1) KR20060030015A (ko)
AU (2) AU2004225120A1 (ko)
BR (1) BRPI0409524A (ko)
CA (1) CA2523338A1 (ko)
RU (1) RU2005133204A (ko)
WO (1) WO2004088472A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200050164A (ko) * 2018-11-01 2020-05-11 주식회사 한글과컴퓨터 허가되지 않은 글꼴이 사용된 문서를 수정하여 웹 페이지 상에 게시하는 웹 페이지 관리 서비스 서버 및 그 동작 방법

Families Citing this family (265)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003010669A1 (en) * 2001-07-24 2003-02-06 Barry Porozni Wireless access system, method, signal, and computer program product
US20030065942A1 (en) * 2001-09-28 2003-04-03 Lineman David J. Method and apparatus for actively managing security policies for users and computers in a network
EP1451702A4 (en) * 2001-09-28 2009-11-11 Fiberlink Comm Corp NETWORK ACCESS GUIDELINES AND MANAGEMENT APPLICATIONS ON CLIENT PAGE
US20080027995A1 (en) * 2002-09-20 2008-01-31 Cola Systems and methods for survey scheduling and implementation
JP3979285B2 (ja) * 2002-12-17 2007-09-19 株式会社日立製作所 情報処理システム
US7409593B2 (en) * 2003-06-30 2008-08-05 At&T Delaware Intellectual Property, Inc. Automated diagnosis for computer networks
US20050038697A1 (en) * 2003-06-30 2005-02-17 Aaron Jeffrey A. Automatically facilitated marketing and provision of electronic services
US7324986B2 (en) * 2003-06-30 2008-01-29 At&T Delaware Intellectual Property, Inc. Automatically facilitated support for complex electronic services
US7237266B2 (en) * 2003-06-30 2007-06-26 At&T Intellectual Property, Inc. Electronic vulnerability and reliability assessment
US7392203B2 (en) * 2003-07-18 2008-06-24 Fortrex Technologies, Inc. Vendor security management system
US8398406B2 (en) * 2003-08-07 2013-03-19 Swiss Reinsurance Company Ltd. Systems and methods for auditing auditable instruments
EP1654827A4 (en) * 2003-08-15 2009-08-05 Fiberlink Comm Corp SYSTEM, METHOD, APPARATUS AND SOFTWARE PRODUCT FACILITATING DIGITAL COMMUNICATIONS
US20050131818A1 (en) * 2003-08-21 2005-06-16 Desal Nishith M. Method for performing Due diligence and legal, financial and other types of audits
US8214906B2 (en) * 2003-10-21 2012-07-03 International Business Machines Corporation System, method and program product to determine security risk of an application
US7725589B2 (en) * 2004-08-16 2010-05-25 Fiberlink Communications Corporation System, method, apparatus, and computer program product for facilitating digital communications
US20060075503A1 (en) * 2004-09-13 2006-04-06 Achilles Guard, Inc. Dba Critical Watch Method and system for applying security vulnerability management process to an organization
US20060179476A1 (en) * 2005-02-09 2006-08-10 International Business Machines Corporation Data security regulatory rule compliance
US8010997B2 (en) * 2005-06-30 2011-08-30 Microsoft Corporation Enforcing device settings for mobile devices
US8626128B2 (en) * 2011-04-07 2014-01-07 Microsoft Corporation Enforcing device settings for mobile devices
US20070055752A1 (en) * 2005-09-08 2007-03-08 Fiberlink Dynamic network connection based on compliance
US7523135B2 (en) * 2005-10-20 2009-04-21 International Business Machines Corporation Risk and compliance framework
US20070101432A1 (en) * 2005-10-28 2007-05-03 Microsoft Corporation Risk driven compliance management
US8499330B1 (en) * 2005-11-15 2013-07-30 At&T Intellectual Property Ii, L.P. Enterprise desktop security management and compliance verification system and method
US20070143827A1 (en) * 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20070147594A1 (en) * 2005-12-22 2007-06-28 Jeffrey Aaron Methods, systems, and computer program products for billing for trust-based services provided in a communication network
US20070202483A1 (en) * 2006-02-28 2007-08-30 American International Group, Inc. Method and system for performing best practice assessments of safety programs
US7930727B1 (en) * 2006-03-30 2011-04-19 Emc Corporation System and method for measuring and enforcing security policy compliance for software during the development process of the software
US20070250932A1 (en) * 2006-04-20 2007-10-25 Pravin Kothari Integrated enterprise-level compliance and risk management system
US9710615B1 (en) 2006-06-09 2017-07-18 United Services Automobile Association (Usaa) Systems and methods for secure online repositories
US8718236B1 (en) 2006-06-09 2014-05-06 United Services Automobile Association (Usaa) Systems and methods for secure on-line repositories
EP1870845A3 (en) * 2006-06-19 2008-01-02 Casewise Limited A compliance facilitating system and method
GB2439354A (en) * 2006-06-19 2007-12-27 Casewise Ltd A system and method for facilitating compliance with a regulatory regime.
US8266701B2 (en) * 2006-07-12 2012-09-11 Verizon Services Corp. Systems and methods for measuring cyber based risks in an enterprise organization
US11762972B1 (en) * 2006-08-13 2023-09-19 Tara Chand Singhal System and methods for a multi-factor remote user authentication
JP2008152516A (ja) * 2006-12-18 2008-07-03 Hitachi Electronics Service Co Ltd It簡易問診・診断サービス提供システム
US20080229149A1 (en) * 2007-03-14 2008-09-18 Clifford Penton Remote testing of computer devices
US20090025084A1 (en) * 2007-05-11 2009-01-22 Fraud Management Technologies Pty Ltd Fraud detection filter
US20080282320A1 (en) * 2007-05-11 2008-11-13 Denovo Andrew Security Compliance Methodology and Tool
US8661534B2 (en) 2007-06-26 2014-02-25 Microsoft Corporation Security system with compliance checking and remediation
WO2009061689A1 (en) * 2007-11-05 2009-05-14 Avior Computing Corporation Monitoring and managing regulatory compliance among organizations
US8630888B2 (en) * 2008-07-31 2014-01-14 Siemens Aktiengesellschaft Systems and methods for analyzing a potential business partner
US8412556B2 (en) 2008-07-31 2013-04-02 Siemens Aktiengesellschaft Systems and methods for facilitating an analysis of a business project
US20100050229A1 (en) * 2008-08-19 2010-02-25 International Business Machines Corporation Validating network security policy compliance
WO2010025456A1 (en) * 2008-08-29 2010-03-04 Eads Na Defense Security And Systems Solutions, Inc. Automated management of compliance of a target asset to predetermined requirements
US8087081B1 (en) * 2008-11-05 2011-12-27 Trend Micro Incorporated Selection of remotely located servers for computer security operations
JP5419475B2 (ja) * 2009-01-14 2014-02-19 三菱電機株式会社 セキュリティ管理装置及びプログラム
US20100205014A1 (en) * 2009-02-06 2010-08-12 Cary Sholer Method and system for providing response services
US20110029351A1 (en) * 2009-07-31 2011-02-03 Siemens Ag Systems and Methods for Providing Compliance Functions in a Business Entity
US8868728B2 (en) * 2010-03-11 2014-10-21 Accenture Global Services Limited Systems and methods for detecting and investigating insider fraud
US9507940B2 (en) * 2010-08-10 2016-11-29 Salesforce.Com, Inc. Adapting a security tool for performing security analysis on a software application
JP5610524B2 (ja) 2010-09-22 2014-10-22 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 文書の優先度を決定する方法、プログラム及び装置
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US8621637B2 (en) * 2011-01-10 2013-12-31 Saudi Arabian Oil Company Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems
US8756697B2 (en) 2011-03-30 2014-06-17 Trustwave Holdings, Inc. Systems and methods for determining vulnerability to session stealing
CN103563302B (zh) * 2011-06-01 2016-09-14 惠普发展公司,有限责任合伙企业 网络资产信息管理
US20130014061A1 (en) * 2011-07-06 2013-01-10 Lockheed Martin Corporation Method and apparatus for time-based opportunity and risk management
US20130048712A1 (en) * 2011-08-24 2013-02-28 Philippe Guillaud Nagraid information card
US8651380B2 (en) * 2011-08-25 2014-02-18 Election Systems & Software, Llc System for processing folded documents
WO2013054198A1 (en) * 2011-10-14 2013-04-18 John Richardson A method and system for conducting one or more surveys
US9727919B2 (en) 2011-11-14 2017-08-08 Identity Theft Guard Solutions, Inc. Systems and methods for reducing medical claims fraud
US8972567B2 (en) 2012-02-08 2015-03-03 Sage Software, Inc. Selectively triggering execution of services in a computing environment
US10445508B2 (en) 2012-02-14 2019-10-15 Radar, Llc Systems and methods for managing multi-region data incidents
US10204238B2 (en) 2012-02-14 2019-02-12 Radar, Inc. Systems and methods for managing data incidents
US9781147B2 (en) 2012-02-14 2017-10-03 Radar, Inc. Systems and methods for managing data incidents
US10331904B2 (en) 2012-02-14 2019-06-25 Radar, Llc Systems and methods for managing multifaceted data incidents
US8707445B2 (en) 2012-02-14 2014-04-22 Identity Theft Guard Solutions, Llc Systems and methods for managing data incidents
US8955086B2 (en) * 2012-03-16 2015-02-10 Red Hat, Inc. Offline authentication
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
US9729583B1 (en) 2016-06-10 2017-08-08 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10181051B2 (en) 2016-06-10 2019-01-15 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US9736126B2 (en) * 2014-12-04 2017-08-15 International Business Machines Corporation Authenticating mobile applications using policy files
US20160234243A1 (en) * 2015-02-06 2016-08-11 Honeywell International Inc. Technique for using infrastructure monitoring software to collect cyber-security risk data
US10021119B2 (en) 2015-02-06 2018-07-10 Honeywell International Inc. Apparatus and method for automatic handling of cyber-security risk events
US10075474B2 (en) 2015-02-06 2018-09-11 Honeywell International Inc. Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications
US10075475B2 (en) 2015-02-06 2018-09-11 Honeywell International Inc. Apparatus and method for dynamic customization of cyber-security risk item rules
US10021125B2 (en) 2015-02-06 2018-07-10 Honeywell International Inc. Infrastructure monitoring tool for collecting industrial process control and automation system risk data
US10298608B2 (en) 2015-02-11 2019-05-21 Honeywell International Inc. Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels
US11450415B1 (en) 2015-04-17 2022-09-20 Medable Inc. Methods and systems for health insurance portability and accountability act application compliance
US9800604B2 (en) 2015-05-06 2017-10-24 Honeywell International Inc. Apparatus and method for assigning cyber-security risk consequences in industrial process control environments
US20160350765A1 (en) * 2015-05-27 2016-12-01 Ascent Technologies Inc. System and interface for viewing modularized and taxonomy-based classification of regulatory obligations qualitative data
US11182720B2 (en) 2016-02-16 2021-11-23 BitSight Technologies, Inc. Relationships among technology assets and services and the entities responsible for them
US11244367B2 (en) 2016-04-01 2022-02-08 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10706447B2 (en) 2016-04-01 2020-07-07 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US11004125B2 (en) 2016-04-01 2021-05-11 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10423996B2 (en) 2016-04-01 2019-09-24 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US9916446B2 (en) * 2016-04-14 2018-03-13 Airwatch Llc Anonymized application scanning for mobile devices
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US11138242B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10796260B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Privacy management systems and methods
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US11025675B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10896394B2 (en) 2016-06-10 2021-01-19 OneTrust, LLC Privacy management systems and methods
US10708305B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Automated data processing systems and methods for automatically processing requests for privacy-related information
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US10606916B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US10949170B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US10706174B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US10776514B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for the identification and deletion of personal data in computer systems
US10776517B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11151233B2 (en) 2016-06-10 2021-10-19 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US10997315B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10235534B2 (en) 2016-06-10 2019-03-19 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US10438017B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Data processing systems for processing data subject access requests
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10944725B2 (en) 2016-06-10 2021-03-09 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11144622B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Privacy management systems and methods
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US10496846B1 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing and communications systems and methods for the efficient implementation of privacy by design
US12045266B2 (en) 2016-06-10 2024-07-23 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10467432B2 (en) 2016-06-10 2019-11-05 OneTrust, LLC Data processing systems for use in automatically generating, populating, and submitting data subject access requests
US11087260B2 (en) 2016-06-10 2021-08-10 OneTrust, LLC Data processing systems and methods for customizing privacy training
US10565161B2 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for processing data subject access requests
US10726158B2 (en) 2016-06-10 2020-07-28 OneTrust, LLC Consent receipt management and automated process blocking systems and related methods
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US10585968B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US12118121B2 (en) 2016-06-10 2024-10-15 OneTrust, LLC Data subject access request processing systems and related methods
US10353673B2 (en) 2016-06-10 2019-07-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US11625502B2 (en) 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10776518B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Consent receipt management systems and related methods
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US10614247B2 (en) 2016-06-10 2020-04-07 OneTrust, LLC Data processing systems for automated classification of personal information from documents and related methods
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US11228620B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10706379B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for automatic preparation for remediation and related methods
US10592692B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Data processing systems for central consent repository and related methods
US10204154B2 (en) 2016-06-10 2019-02-12 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11074367B2 (en) 2016-06-10 2021-07-27 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US10509920B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for processing data subject access requests
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US10430740B2 (en) 2016-06-10 2019-10-01 One Trust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US12052289B2 (en) 2016-06-10 2024-07-30 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11157600B2 (en) 2016-06-10 2021-10-26 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10607028B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US10586075B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US10452866B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10798133B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US10769301B2 (en) 2016-06-10 2020-09-08 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10642870B2 (en) 2016-06-10 2020-05-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11210420B2 (en) 2016-06-10 2021-12-28 OneTrust, LLC Data subject access request processing systems and related methods
US10496803B2 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US11138299B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11146566B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10454973B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10437412B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Consent receipt management systems and related methods
US10275614B2 (en) * 2016-06-10 2019-04-30 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10885485B2 (en) 2016-06-10 2021-01-05 OneTrust, LLC Privacy management systems and methods
US10839102B2 (en) 2016-06-10 2020-11-17 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10803200B2 (en) 2016-06-10 2020-10-13 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11222309B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US10565397B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11057356B2 (en) 2016-06-10 2021-07-06 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US11200341B2 (en) 2016-06-10 2021-12-14 OneTrust, LLC Consent receipt management systems and related methods
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11410106B2 (en) * 2016-06-10 2022-08-09 OneTrust, LLC Privacy management systems and methods
US11100444B2 (en) 2016-06-10 2021-08-24 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US10873606B2 (en) 2016-06-10 2020-12-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10572686B2 (en) 2016-06-10 2020-02-25 OneTrust, LLC Consent receipt management systems and related methods
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US10848523B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11023842B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US10853501B2 (en) 2016-06-10 2020-12-01 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10169609B1 (en) 2016-06-10 2019-01-01 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US10440062B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Consent receipt management systems and related methods
US10706131B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US10762236B2 (en) 2016-06-10 2020-09-01 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10509894B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10242228B2 (en) 2016-06-10 2019-03-26 OneTrust, LLC Data processing systems for measuring privacy maturity within an organization
US10452864B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US10416966B2 (en) 2016-06-10 2019-09-17 OneTrust, LLC Data processing systems for identity validation of data subject access requests and related methods
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US10713387B2 (en) 2016-06-10 2020-07-14 OneTrust, LLC Consent conversion optimization systems and related methods
US10706176B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data-processing consent refresh, re-prompt, and recapture systems and related methods
US10565236B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11038925B2 (en) 2016-06-10 2021-06-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10282700B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10783256B2 (en) 2016-06-10 2020-09-22 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10282559B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11238390B2 (en) 2016-06-10 2022-02-01 OneTrust, LLC Privacy management systems and methods
US10503926B2 (en) 2016-06-10 2019-12-10 OneTrust, LLC Consent receipt management systems and related methods
US11010717B2 (en) * 2016-06-21 2021-05-18 The Prudential Insurance Company Of America Tool for improving network security
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
US10721246B2 (en) 2017-10-30 2020-07-21 Bank Of America Corporation System for across rail silo system integration and logic repository
US10621341B2 (en) 2017-10-30 2020-04-14 Bank Of America Corporation Cross platform user event record aggregation system
US10728256B2 (en) 2017-10-30 2020-07-28 Bank Of America Corporation Cross channel authentication elevation via logic repository
US10607013B2 (en) * 2017-11-30 2020-03-31 Bank Of America Corporation System for information security threat assessment and event triggering
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
US11182721B2 (en) 2018-05-22 2021-11-23 International Business Machines Corporation Healthcare risk analytics
US11425160B2 (en) * 2018-06-20 2022-08-23 OneTrust, LLC Automated risk assessment module with real-time compliance monitoring
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11144675B2 (en) 2018-09-07 2021-10-12 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11200323B2 (en) 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US10521583B1 (en) 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
US12039546B2 (en) * 2019-09-13 2024-07-16 Referentia Systems Incorporated Systems and methods for managing and monitoring continuous attestation of security requirements
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US10791140B1 (en) 2020-01-29 2020-09-29 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity state of entities based on computer network characterization
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US10764298B1 (en) 2020-02-26 2020-09-01 BitSight Technologies, Inc. Systems and methods for improving a security profile of an entity based on peer security profiles
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
WO2022011142A1 (en) 2020-07-08 2022-01-13 OneTrust, LLC Systems and methods for targeted data discovery
US11444976B2 (en) 2020-07-28 2022-09-13 OneTrust, LLC Systems and methods for automatically blocking the use of tracking tools
WO2022032072A1 (en) 2020-08-06 2022-02-10 OneTrust, LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
US11436373B2 (en) 2020-09-15 2022-09-06 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
WO2022061270A1 (en) 2020-09-21 2022-03-24 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
WO2022099023A1 (en) 2020-11-06 2022-05-12 OneTrust, LLC Systems and methods for identifying data processing activities based on data discovery results
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management
JP6969039B1 (ja) * 2021-01-15 2021-11-24 株式会社エクサウィザーズ 質問リスト管理方法、装置、及びプログラム
WO2022159901A1 (en) 2021-01-25 2022-07-28 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
US20220237627A1 (en) * 2021-01-26 2022-07-28 Reginald S. Jones, Sr. Digital marijuana facility remote assessment, inspection, and reporting platform
WO2022170047A1 (en) 2021-02-04 2022-08-11 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
EP4288889A1 (en) 2021-02-08 2023-12-13 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
WO2022173912A1 (en) 2021-02-10 2022-08-18 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
US11775348B2 (en) 2021-02-17 2023-10-03 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
US11546661B2 (en) 2021-02-18 2023-01-03 OneTrust, LLC Selective redaction of media content
EP4305539A1 (en) 2021-03-08 2024-01-17 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US12079347B2 (en) 2021-03-31 2024-09-03 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity risk in a work from home environment
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments
WO2024086181A1 (en) * 2022-10-17 2024-04-25 Ioxt, Llc Security identification compliancy system

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6192112B1 (en) * 1995-12-29 2001-02-20 Seymour A. Rapaport Medical information system including a medical information server having an interactive voice-response interface
US6453419B1 (en) * 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US7673323B1 (en) * 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6312378B1 (en) * 1999-06-03 2001-11-06 Cardiac Intelligence Corporation System and method for automated collection and analysis of patient information retrieved from an implantable medical device for remote patient care
US6957348B1 (en) 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
WO2001073553A1 (en) 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
US20050178824A1 (en) * 2000-03-29 2005-08-18 American Express Travel Related Services Company, Inc. On-line merchant services system and method for facilitating resolution of post transaction disputes
JP2002056176A (ja) * 2000-06-01 2002-02-20 Asgent Inc セキュリティポリシー構築方法及び装置並びにセキュリティポリシー構築を支援する方法及び装置
AU6815601A (en) * 2000-06-02 2001-12-17 Quality Metric Method and system for health assessment and monitoring
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
WO2002037649A1 (en) * 2000-11-02 2002-05-10 Dinyu Qin Rotor shield for magnetic rotary machine
US7668736B2 (en) * 2000-11-06 2010-02-23 Golden Hour Data Systems, Inc. Integrated emergency medical transportion database and virtual private network system
US7433829B2 (en) * 2000-12-12 2008-10-07 Jpmorgan Chase Bank, N.A. System and method for managing global risk
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7340776B2 (en) * 2001-01-31 2008-03-04 International Business Machines Corporation Method and system for configuring and scheduling security audits of a computer network
US20020138417A1 (en) * 2001-03-20 2002-09-26 David Lawrence Risk management clearinghouse
US7493266B2 (en) * 2001-03-21 2009-02-17 Gupta Amit K System and method for management of health care services
US20030004754A1 (en) * 2001-04-06 2003-01-02 Corbett Technologies, Inc. Hipaa compliance systems and methods
WO2002084560A1 (en) * 2001-04-06 2002-10-24 Florence Comite System and method for delivering integrated health care
US20030065942A1 (en) * 2001-09-28 2003-04-03 Lineman David J. Method and apparatus for actively managing security policies for users and computers in a network
US6907430B2 (en) * 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
US20030074559A1 (en) * 2001-10-12 2003-04-17 Lee Riggs Methods and systems for receiving training through electronic data networks using remote hand held devices
US7415437B2 (en) * 2001-10-31 2008-08-19 The United States Of America As Represented By The Secretary Of The Navy Business development process
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
US7266846B2 (en) * 2001-12-26 2007-09-04 United Services Automobile Association System and method of facilitating compliance with information sharing regulations
US7152105B2 (en) * 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US8256002B2 (en) * 2002-01-18 2012-08-28 Alcatel Lucent Tool, method and apparatus for assessing network security
US20030172127A1 (en) * 2002-02-06 2003-09-11 Northrup Charles J. Execution of process by references to directory service
US7290275B2 (en) * 2002-04-29 2007-10-30 Schlumberger Omnes, Inc. Security maturity assessment method
US6804787B2 (en) * 2002-05-15 2004-10-12 Verisma Systems, Inc. Managing data in compliance with regulated privacy, security, and electronic transaction standards
US7853468B2 (en) * 2002-06-10 2010-12-14 Bank Of America Corporation System and methods for integrated compliance monitoring
CN1628295A (zh) * 2002-06-18 2005-06-15 计算机联合思想公司 管理企业资产所用的方法和系统
US7366893B2 (en) * 2002-08-07 2008-04-29 Intelliden, Inc. Method and apparatus for protecting a network from attack
US6857113B2 (en) * 2002-09-11 2005-02-15 Agilent Technologies, Inc. Process and system for identifying wires at risk of electromigration
US7234065B2 (en) * 2002-09-17 2007-06-19 Jpmorgan Chase Bank System and method for managing data privacy
US7809595B2 (en) * 2002-09-17 2010-10-05 Jpmorgan Chase Bank, Na System and method for managing risks associated with outside service providers
US20040064731A1 (en) * 2002-09-26 2004-04-01 Nguyen Timothy Thien-Kiem Integrated security administrator
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US7203667B2 (en) * 2002-11-11 2007-04-10 Zxibix, Inc. System and method of facilitating and evaluating user thinking about an arbitrary problem using an archetype process
US7134015B2 (en) * 2003-01-16 2006-11-07 International Business Machines Corporation Security enhancements for pervasive devices
US7627891B2 (en) * 2003-02-14 2009-12-01 Preventsys, Inc. Network audit and policy assurance system
EP1593228B8 (en) * 2003-02-14 2017-09-20 McAfee, LLC Network audit policy assurance system
WO2004081756A2 (en) * 2003-03-12 2004-09-23 Nationwide Mutual Insurance Co Trust governance framework
US20050131740A1 (en) * 2003-12-10 2005-06-16 Geoage, Incorporated Management tool for health care provider services
US20050187963A1 (en) * 2004-02-20 2005-08-25 Steven Markin Security and compliance testing system and method for computer systems

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200050164A (ko) * 2018-11-01 2020-05-11 주식회사 한글과컴퓨터 허가되지 않은 글꼴이 사용된 문서를 수정하여 웹 페이지 상에 게시하는 웹 페이지 관리 서비스 서버 및 그 동작 방법

Also Published As

Publication number Publication date
EP1614041A2 (en) 2006-01-11
BRPI0409524A (pt) 2006-07-11
CA2523338A1 (en) 2004-10-14
RU2005133204A (ru) 2006-05-27
AU2004225120A1 (en) 2004-10-14
WO2004088472A2 (en) 2004-10-14
AU2011201594A1 (en) 2011-04-28
WO2004088472A3 (en) 2005-02-03
US8201256B2 (en) 2012-06-12
US20040193907A1 (en) 2004-09-30
JP2006526220A (ja) 2006-11-16

Similar Documents

Publication Publication Date Title
KR20060030015A (ko) 전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템
US9202183B2 (en) Auditing system and method
Farahmand et al. A management perspective on risk of security threats to information systems
Solms et al. Information security governance
US6895383B2 (en) Overall risk in a system
US7657942B2 (en) Method of assuring enterprise security standards compliance
Tsohou et al. A security standards' framework to facilitate best practices' awareness and conformity
Goel et al. PRISM: a strategic decision framework for cybersecurity risk assessment
US20080282320A1 (en) Security Compliance Methodology and Tool
Conner et al. Information security governance: a call to action
Hazari Perceptions of end-users on the requirements in personal firewall software: An exploratory study
Garba et al. Design of a conceptual framework for cybersecurity culture amongst online banking users in Nigeria
Hellesen et al. Empirical case studies of the root-cause analysis method in information security
Stults An Overview of Sarbanes-Oxley for the Information Security Professional
Ahlstrom et al. Healthcare cyber security and HIPAA assurance with business associates
Wicaksono et al. Risk and Security Measurement Based on ISO 27001 Using FMEA Methodology Case Study: National Government Agency
KR20040062735A (ko) 정보시스템 진단방법
Burkan et al. The Perceived Value of Cybersecurity Analyses and Frameworks for an IT Company
Hazari Perceptions of End-Users on the Requirements in Personal Firewall Software
Hentula Evidence in cloud security compliance: towards a meta-evaluation framework
Fanning Cloud Software: How to Validate Third‐Party Vendors
Dhital An exploratory study of different IT Security Auditing methods
Aldoseri et al. Strengthening data security in Bahrain: leveraging Microsoft Purview to prevent leakage of sensitive information
Podhradsky An Innovative Approach to Information Technology Risk Assessment for Small and Medium Sized Financial Institutions
Bezuidenhout et al. An audit approach to e-commerce payment security

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid