KR20060058186A - 정보기술 위험관리시스템 및 그 방법 - Google Patents

정보기술 위험관리시스템 및 그 방법 Download PDF

Info

Publication number
KR20060058186A
KR20060058186A KR1020040096916A KR20040096916A KR20060058186A KR 20060058186 A KR20060058186 A KR 20060058186A KR 1020040096916 A KR1020040096916 A KR 1020040096916A KR 20040096916 A KR20040096916 A KR 20040096916A KR 20060058186 A KR20060058186 A KR 20060058186A
Authority
KR
South Korea
Prior art keywords
risk
information
asset
management system
risk management
Prior art date
Application number
KR1020040096916A
Other languages
English (en)
Inventor
이형원
Original Assignee
이형원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이형원 filed Critical 이형원
Priority to KR1020040096916A priority Critical patent/KR20060058186A/ko
Publication of KR20060058186A publication Critical patent/KR20060058186A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 정보기술 위험관리시스템 및 그 방법에 관한 것으로서, 본 발명의 시스템은 정보자산 및 그에 대한 위험관련데이터를 통합하여 저장하는 DB와, 외부로부터 입력되는 각종 위험관련 데이터를 상기 DB에 저장하며, 자산가치의 산정, 각종 이벤트에 대한 필터링, 이벤트와 취약점 및 통제대책을 매핑하는 위험 엔진과, 상기 DB에 저장된 정보자산의 가치를 산정하는 자산관리부와, 상기 자산관리부에서 산정된 자산의 가치를 기준으로 위협, 취약점, 개선해야 할 통제대책을 연계하여 정의하고 제시하는 위험분석부와, 상기 위험분석부에서 제시된 통제대책을 중심으로 사용자가 관리정책 및 지침을 온라인으로 편집, 수정 및 조회할 수 있도록 지원하는 통제설계 지원부와, 사전에 설정된 기준에 의거하여 외부 솔루션-툴로부터 위험 이벤트를 필터링하는 위험 모니터링부와, 상기 위험 모니터링부에서 필터링된 위험 이벤트에 대하여 사용자에게 즉각 통보하고 이에 상응하는 대응 프로세스를 해당 사용자에게 알려주는 위험대응부를 포함함을 특징으로 한다.
정보보안, 위험관리, 정보자산, 위협, 통제 대책

Description

정보기술 위험관리시스템 및 그 방법{INFORMATION TECHNOLOGY RISK MANAGEMENT SYSTEM AND METHOD THE SAME}
도 1은 본 발명의 일실시 예에 따른 IT 위험관리시스템에 대한 개략적인 블록도,
도 2a 및 도 2b는 본 발명의 일실시 예에 따른 IT 위험관리시스템에 구축된 데이터베이스의 예를 설명하기 위한 도면들,
도 3은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 사용되는 핵심위험지표를 설명하기 위한 도면,
도 4는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 사용되는 핵심위험지표의 예를 나타낸 도면,
도 5는 본 발명이 일실시 예에 따른 IT 위험관리시스템에서 위험을 감지하기 위해 사용되는 위험센서의 동작을 설명하기 위한 도면,
도 6은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산 평가를 위한 척도를 예시한 도면,
도 7은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산연동방식에 의해 정보자산 마스터테이블을 생성하는 과정을 예시한 도면,
도 8은 본 발명의 일실시 예에 따른 IT 위험관리시스템의 기업통제구조를 예 시한 도면,
도 9는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 관리하는 위험 영역을 설명하기 위한 도면,
도 10은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 Noun-Verb 타입에 의해 재구성한 통제대책의 예를 도시한 도면,
도 11은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서의 응용중요도 분석 및 위험분석 지원 과정을 설명하기 위한 도면,
도 12는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 응용서비스 중요도를 연산한 결과의 예를 도시한 도면,
도 13은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 응용서비스 중요도 필터링 연산 결과의 예를 도시한 도면,
도 14는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산연동방식에 의해 자산을 평가하는 과정을 설명하기 위한 도면,
도 15는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 위협시나리오를 자동으로 생성하는 과정을 설명하기 위한 도면,
도 16은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 분석된 위험분석결과에 대한 통제설계를 자동으로 지원하는 과정을 설명하기 위한 도면,
도 17은 본 발명의 일실시 예에 따른 IT 위험관리시스템을 이용한 통합위험서비스제공시스템의 구성을 예시한 도면,
도 18은 본 발명의 일실시 예에 따른 IT 위험관리시스템의 기능 및 메뉴 체 계의 예를 도시한 도면,
도 19는 본 발명의 일실시 예에 따른 IT 위험관리시스템의 처리과정을 예시한 도면,
도 20은 본 발명의 일실시 예에 따른 IT 위험관리시스템의 효과를 도식화하여 나타낸 도면.
<도면의 주요 부분에 대한 부호의 설명>
100: ERDB 200: 리스크 엔진
300: IT 자산 관리 모듈 400: IT 위험 분석 모듈
500: IT 통제 설계 지원 모듈 600: IT 위험 모니터링 모듈
700: IT 위험 대응 모듈
본 발명은 위험관리시스템에 관한 것으로서, 특히 정보기술(Information Technology, 이하 'IT'라 칭함) 위험관리시스템 및 그 방법에 관한 것이다.
정보기술(IT)의 발달로 인해 대용량의 정보를 전산화하여 통합 관리함으로써 정보관리가 용이해지고, 체계적인 정보관리가 가능해진 반면 위험 부담이 커지는 단점이 있다. 특히 기관이나 회사의 경우 정보기술(IT)에 대한 의존도가 향상되고 있지만 이를 종합적으로 통제하고 관리할 수 있는 위험관리 측면의 통합 솔루션이 없는 실정이다. 따라서 최근에는 전산사고 및 장애의 대형화로 인해 피해가 급격히 증가하고 있다. 이러한 전산장애의 원인은 단순한 소프트웨어 오류에서, 프로그램 시험 미비, 물리적인 방재시설 미비 등 다양하고 사소하지만 그 결과는 엄청난 피해를 불러일으킨다.
현재 전 세계적으로 IT 위험관리에 대한 솔루션(solution)이나, 팩키지(package)가 없는 상태로 주로 외부 보안(바이러스 백신, 방화벽, 침입방지시스템, 암호화 등)과 내부 보안(접근제어, 문서유출 방지 등)에 대한 포인트 솔루션 시장만 형성되어 있는 상황이다.
한편 현재 기업의 전체 IT 전산자원에 대한 내외부의 위협(threat)중 대다수의 솔루션이 외부보안에 치중하고 있어, 외부 보안 보다 더욱 중요하고 비중이 큰 내부통제 및 보안관리 분야는 위험이 방치되고 있는 상황이다. 즉 컴퓨터 바이러스나 컴퓨터 해킹에 의한 외부로부터의 피해는 과장된 측면이 없지 않다. 기업의 입장에서 보면 이러한 외부보안 문제보다는 내부보안의 피해가 실질적으로 큰 것으로 파악되고 있다. 따라서 이제는 단순히 외부 보안의 입장에서뿐만 아니라 기업의 전반적인 IT 위험과 관련된 종합적인 대응책이 필요한 시점이다.
이에 따라 전사적으로 IT 자원에 대한 무결성(Integrity), 가용성(Availability) 및 기밀성(Confidentiality)에 대한 내/외부의 통제 및 위험을 종합적으로 관리할 수 있는 솔루션의 개발이 요구되고 있는 실정이다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명은 내부의 위험이나 위협에 대처하기 위한 정보기술 위험관리시스템 및 그 방법을 제 공하고자 한다.
또한 본 발명은 일련의 기업 위험관리 프로세스를 자동화한 정보기술 위험관리시스템 및 그 방법을 제공하고자 한다.
또한 본 발명은 기업들이 사용하고 있는 IT관리시스템 및 정보보호시스템을 통합하여 계측 및 제어(통제)할 수 있는 정보기술 위험관리시스템 및 그 방법을 제공하고자 한다.
또한 본 발명은 주요 솔루션-벤더(예컨대, CA, HP, SAP, Oracle, 핸디소프트 등)와의 협력을 통하여 솔루션통합관리시스템으로서의 기능 구현이 가능한 정보기술 위험관리시스템 및 그 방법을 제공하고자 한다.
상기 목적을 달성하기 위한 본 발명의 정보기술 위험관리시스템은 정보자산 및 그에 대한 위험관련데이터를 통합하여 저장하는 데이터베이스와, 외부로부터 입력되는 각종 위험관련 데이터를 상기 데이터베이스에 저장하며, 자산가치의 산정, 각종 이벤트에 대한 필터링, 이벤트와 취약점 및 통제대책을 매핑하는 위험 엔진과, 상기 데이터베이스에 저장된 정보자산의 가치를 산정하는 자산관리부와, 상기 자산관리부에서 산정된 자산의 가치를 기준으로 위협, 취약점, 개선해야 할 통제대책을 연계하여 정의하고 제시하는 위험분석부와, 상기 위험분석부에서 제시된 통제대책을 중심으로 사용자가 관리정책 및 지침을 온라인으로 편집, 수정 및 조회할 수 있도록 지원하는 통제설계 지원부와, 사전에 설정된 기준에 의거하여 외부 솔루션-툴로부터 위험 이벤트를 필터링하는 위험 모니터링부와, 상기 위험 모니터링부 에서 필터링된 위험 이벤트에 대하여 사용자에게 즉각 통보하고 이에 상응하는 대응 프로세스를 해당 사용자에게 알려주는 위험대응부를 포함함을 특징으로 한다.
이 때, 상기 데이터베이스는 위험관리 컨설팅 프로젝트를 진행함에 따라 새로이 정보를 생성하지 않고 기존에 생성한 정보에 계속적으로 필요한 정보를 추가하여 작업하는 템플릿 진화방식으로 관리됨이 바람직하다.
또한 상기 위험 엔진은 상기 위험관련 데이터를 상기 데이터베이스의 포맷에 맞게 전환하여 저장함이 바람직하다.
또한 상기 자산관리부는 응용 및 서비스의 중요도를 산정하고 이를 바탕으로 정보자산의 가치를 산정함이 바람직하다.
또한 상기 위험분석부는 주요 응용에 대한 자산가치만 산정되면, 상기 응용이 사용하는 데이터베이스, 상기 응용이 로드된 서버와 클라이언트, 사용자, 네트워크 노드의 중요도도 함께 결정되는 자산연동법칙에 의거하여 동작함이 바람직하다.
또한 상기 위험 모니터링부는 상기 각 솔루션-툴로부터 위험 이벤트를 필터링하기 위한 위험 센서로부터 위험 이벤트를 수신하고, 상기 위험 센서는 입/출입 통제장치, 지문인식기, 영상기록기를 포함하는 하드웨어 센서 및 소프트웨어 센서를 포함하며 문제발생주기와 관련하여 문제 및 장애 발생시 작동함이 바람직하다.
또한 상기 위험대응부는 상기 위험 이벤트에 대하여 프로세스 오너, 프로젝트 책임자, 실무 책임자, 유지보수 요원, 하드웨어 장비업체, 네트워크 관련업체 중 어느 하나 이상의 사용자에게 즉각 통보함이 바람직하다.
이 때 상기 위험대응부는 인터넷의 푸시(push) 알림기능 또는 휴대폰의 문자메시지 전송 기능을 이용하여 상기 위험 이벤트를 즉각 통보함이 바람직하다.
한편 상기 목적을 달성하기 위한 본 발명의 정보기술 위험관리방법은 위험관리대상 정보자산 데이터베이스를 구축하는 과정과, 상기 데이터베이스에 저장된 정보자산들에 대한 가치를 산정하는 과정과, 상기 산정된 자산의 가치를 기준으로 정보자산에 대한 위협을 식별하는 과정과, 상기 상기 데이터베이스에 저장된 정보에 의거하여 상기 식별된 위협에 대한 취약점과 현재의 통제대책을 검출하여 매핑하는 과정과, 상기 매핑 결과에 의거하여 통제대책과 지침안을 생성하는 과정과, 상기 통제대책에 의거하여 기 설정된 핵심위험지표에 대한 모니터링을 수행하는 과정과, 상기 모니터링 결과 위험이 발생된 것으로 판단되면 그 위험발생 사실 및 대응되는 프로세스를 사용자에게 통보하는 과정을 포함함을 특징으로 한다.
이 때 상기 방법은 상기 위험발생에 대한 처리 후 사용자가 선택한 정보에 의거하여 이전의 통제대책을 개선하는 과정을 더 포함함이 바람직하다.
또한 상기 데이터베이스 구축과정은 전사적인 관점에서 위험관련 데이터인 정보자산, 자산에 대한 위협, 현행 통제대책, 현행 취약점 및 위험상태에 대한 정보들을 저장하는 데이터베이스를 구축함이 바람직하다.
또한 상기 자산가치 산정과정은 응용 및 프로세스에 대한 중요도를 산정한 후 상기 응용 및 프로세스에 대한 중요도를 바탕으로 응용 및 프로세스와 연관된 정보자산의 중요도를 산정함이 바람직하다.
또한 상기 위협식별과정은 위협시나리오작성엔진을 통하여 각 자산들 간의 연동과 행위자와의 연계에 기초하여 주요 위협시나리오를 자동으로 생성함이 바람직하다.
또한 상기 통보 과정은 상기 위험 발생 사실에 대하여 프로세스 오너, 프로젝트 책임자, 실무 책임자, 유지보수 요원, 하드웨어 장비업체, 네트워크 관련업체 중 어느 하나 이상의 사용자에게 즉각 통보하되, 인터넷의 푸시(push) 알림기능 또는 휴대폰의 문자메시지 전송 기능을 이용하여 상기 위험 이벤트를 즉각 통보함이 바람직하다.
이하 첨부된 도면을 참조하여 본 발명의 일실시 예에 의한 구성 및 작용에 대해서 더욱 상세히 설명한다. 도면에서 동일한 구성요소들에 대해서는 비록 다른 도면에 표시되더라도 가능한 한 동일한 참조번호 및 부호로 나타내고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명은 생략한다.
도 1은 본 발명의 일실시 예에 따른 IT 위험관리시스템에 대한 개략적인 블록도이다. 도 1을 참조하면 본 발명의 일실시 예에 따른 IT 위험관리시스템은 기업위험통합데이터베이스(Enterprise Risk Data Base, 이하 'ERDB'라 칭함)(100), 리스크 엔진(200), IT 자산 관리 모듈(300), IT 위험 분석 모듈(400), IT 통제 설계 지원 모듈(500), IT 위험 모니터링 모듈(600) 및 IT 위험 대응 모듈(700)을 포함하여 구성된다.
ERDB(100)는 전사적인 관점에서 위험관련 데이터인 정보자산, 자산에 대한 위협, 현행 통제대책, 현행 취약점 및 위험상태에 대한 정보들을 저장한다. 특히, 종래의 솔루션들이 대부분 필요로 하는 DB를 자체적으로 별도 제한된 범위 내에서 구축하여 사용하는 데에 반해, ERDB(100)는 상기 종래의 방법으로 구축된 별도의 DB 이외에 다른 솔루션(solution)으로부터 전달된 'IT 자산'과 '위험관련 데이터'를 통합하여 저장한다. 또한, ETDB(100)는 진단결과의 데이터 베이스화 및 IT 위험관리시스템 데이터베이스 구축을 위해서 '템플릿 진화방식'을 사용한다. 상기 '템플릿 진화방식'은 위험관리 컨설팅 프로젝트를 진행함에 따라 새로이 정보를 생성하지 않고 기존에 생성한 정보에 계속적으로 필요한 정보를 추가하여 작업하는 진화방식을 말한다.
리스크 엔진(200)은 ERDB(100)를 관리한다. 특히, 외부로부터 입력되는 각종 위험관련 데이터를 자체의 DB 포맷(예컨대, ERDB 포맷)에 맞게 전환(transformation)하여 ERDB(100)에 저장하며, 자산가치의 산정, 각종 이벤트에 대한 필터링, 이벤트와 취약점 및 통제대책을 맵핑하는 역할을 수행한다.
IT 자산 관리 모듈(300)은 응용 및 서비스의 중요도를 산정하고 이를 바탕으로 IT 자산의 자산 가치를 산정하며, 자산의 이력, 현황 통계, 추적 및 연동을 지원한다. 이 때, IT 자산의 예로 응용 소프트웨어(software, 이하 'S/W'라 칭함), 하드웨어(hardward, 이하 'H/W'라 칭함), 데이터베이스(database, 이하 'DB'라 칭함), 서버(server), 네트워크 장비, 시스템 관리 솔루션, 보안관련 포인트 솔루션 등이 있다.
IT 위험 분석 모듈(400)은 IT 자산 관리 모듈(300)에서 산정된 자산의 가치 를 기준으로 '자산 연동 법칙'에 의거하여 위협, 취약점, 개선해야 할 통제대책을 연계하여 정의하고 제시한다. 이 때, '자산 연동'이란 주요 응용(application)에 대한 중요도(criticality)만 식별되면, 즉 주요 응용(application)에 대한 자산 가치만 산정되면, 그 응용(application)이 사용하는 데이터베이스, 그 응용(application)이 로드(load)된 서버와 클라이언트, 사용자, 네트워크 노드(예컨대, 라우터, 스위치, 방화벽 등)의 중요도도 같이 결정되는 것을 말한다. 이는 소정함수(예컨대 'MAX( ) 함수')에 의해 자동 결정되도록 함이 바람직하다.
IT 통제 설계 지원 모듈(500)은 IT 위험 분석 모듈(400)에서 제시된 통제대책을 중심으로 사용자가 관리정책 및 지침을 온라인으로 편집, 수정 및 조회할 수 있도록 지원한다.
IT 위험 모니터링 모듈(600)은 사전에 설정된 기준에 의거하여 각 솔루션-툴(solution tool)로부터 위험 이벤트를 필터링하여 사용자에게 실시간으로 위험 발생의 예보, 발생 경보, 발생 후 조치상황 등을 알려 준다. 이 때 상기 솔루션-툴의 예로 네트웍 관리 시스템(Network Management System, 이하 'NMS'라 칭함), 서버 관리 시스템(Server Management System, 이하 'SMS'라 칭함), 데이터베이스 관리 시스템(Data Base Management System, 이하 'DBMS'라 칭함), 운영체제(Operating System, 이하 'OS'라 칭함), 기업 자본 계획(Enterprise Resource Planning, 이하 'ERP'라 칭함), 기업 보안 관리(Enterprise Security Management, 이하 'ESM'라 칭함), 구성 관리 시스템(Configuration Management System, 이하 'CMS'라 칭함), 비즈니스 프로세스 관리(Business Process Management, 이하 'BPM'라 칭함), 비즈니 스 인텔리전스(Business Intelligence, 이하 'BI'라 칭함), 그룹 웨어(Group Ware, 이하 'GW'라 칭함) 및 침입 검출 시스템(Intrusion Detection System)들이 있다.
한편 IT 위험 모니터링 모듈(600)이 상기 각 솔루션-툴로부터 사전에 설정된 기준에 의거한 위험 이벤트를 필터링하기 위해서, 본 발명의 일실시 예에 따른 IT 위험관리시스템은 '위험-센서(Risk Sensor)'를 포함하고 있어야 한다. 상기 '위험-센서(Risk-Sensor)'에 대해서는 도 5를 참조하여 보다 상세히 설명될 것이다.
IT 위험 대응 모듈(700)은 IT 위험 모니터링 모듈(600)에서 필터링된 위험 이벤트에 대하여 이와 관련된 사람(예컨대, 프로세스 오너, 프로젝트 책임자, 실무책임자, 유지보수 요원, 하드웨어 장비 업체, 네트워크 관련 업체 등)에게 즉각 통보하고, 이에 상응하는 대응 프로세스를 각 사용자에게 알려준다. 이 때 상기 위험 이벤트에 대한 즉각적인 통보는 인터넷의 Push 알림기능이나 휴대폰의 SMS를 이용함이 바람직하다.
또한 IT 위험 대응 모듈(700)은 그 대응 결과를 IT 통제 설계 지원 모듈(500)로 전달하여 이전에 설계된 통제 대책이 개선될 수 있도록 한다.
도 2a 및 도 2b는 본 발명의 일실시 예에 따른 IT 위험관리시스템에 구축된 데이터베이스의 예를 설명하기 위한 도면들이다.
도 2a는 본 발명의 일실시 예에 따른 IT 위험관리시스템에 포함된 데이터베이스들의 예를 설명하기 위한 도면이다. 도 2a를 참조하면 본 발명의 일실시 예에 따른 IT 위험관리시스템에 포함된 데이터베이스는 '컨설팅 결과로 구축된 정보자산 데이터베이스', '변경관리 및 솔루션 데이터베이스','지침추출, 편짐 및 생성을 위 한 데이터베이스'및'수작업에 의한 위험 발생보고 및 이슈 관련 데이터베이스'를 포함한다.
한편 본 발명의 IT 위험관리시스템은 기본적으로 전사(Enterprise)차원에서의 정보자산 통합관리를 지향하고, 또한 각 정보자산 간의 연동을 기본으로 설계하였다. 이러한 연동은 저장된 자산 스펙, 자산 히스토리(history), 자산관련 위협, 위협에 대한 현재의 통제대책, 존재하는 취약점 그리고 개선하거나 신규로 도입해야 하는 통제대책을 FDD(Formal Descriptive Definition)에 의해 분류하여 저장함으로써 가능하다. 즉, 상기 항목들을 분류하여 저장함으로써 각 위험관리 요소들 간의 정확한 상호 관계(co-relation)와 추적능력(traceability)을 확보하도록 설계되어 있다. 도 2b는 이러한 요소를 반영한 기본 개념적인(conceptual) 데이터베이스 설계도이다.
도 3은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 사용되는 핵심위험지표(Key Risk Indicator, 이하 'KRI'라 칭함)를 설명하기 위한 도면이다.
기업은 그 활동을 영위하는 과정에서 수많은 위험에 직면하게 되지만, 모든 위험을 관리할 필요는 없다. 즉 수용할 수 있거나 간과할 수 있는 위험까지도 관리하기 보다는 기업의 생존과 목적에 치명적인 핵심 위험만을 관리하는 것이 효율성 측면에서 바람직하다. 'KRI'란 이와 같이 기업의 생존과 목적에 치명적인 핵심 위험을 나타내는 지표로서, 본 발명의 IT 위험관리시스템은 상기 KRI에 근거하여 위험을 식별하고 관리한다.
본 발명의 IT 위험관리시스템에서는 3가지 유형의 KRI를 정의하고 그에 따라 위험을 식별하고 관리한다. 즉, 사전(predictive) KRI, 검출(detective) KRI, 통계(쳐mulative) KRI가 그것이다.
사전(predictive) KRI는 주로 주요 위험이 발생할 것임을 사전에 알려주는 중요한 KRI이며, 대표적인 예로는 중요한 자산에 대한 불법접근 시도(예컨대, 3회 이상 이상 패스워드 입력 오류), 중요한 자금 트랜잭션관리 프로그램의 유지보수 시행계획, 데이터베이스 이전계획 등이 있다. 사전(predictive) KRI를 구현하기 위한 방법으로는 응용프로그램에 KRI 로직(logic)을 삽입하거나, 데이터베이스에서 관련 데이터에 대한 접근패턴을 체크(check)하는 방법이 있다. 이러한 사전(predictive) KRI 구현의 효율성과 시스템의 유연성을 보장하기 위해서 룰-기반 데이터베이스(Rule-based database) 방식을 사용함이 바람직하다.
검출(detective) KRI는 주로 시스템에서 제공하는 로그를 이용하여 특정 사건이나 사고가 발생하였을 경우, 그 사고가 발생함과 동시에 또는 사후에 상기 사건의 행위자, 발생원인, 피해범위 등을 추적하고 검출하기 위해 사용하는 KRI이다. 검출(detective) KRI의 대표적인 예로는 침입시도자, 침입일자, 정보자산에 대한 부정당 행위 등과 관련된 것들이 있다. 검출(detective) KRI를 구현하기 위해서는 정의된 KRI 관련 이벤트 검출 모듈, 위험센서 그리고 로그관리시스템을 구축하여야 한다.
통계(cumulative) KRI는 기업에서 위험과 관련된 DW(DataWare-House)나 DM(Data Mining)기술을 이용하여 기존에 축적됐던 여러 가지 데이터를 취합하여 향후에 어떠한 위험의 발생가능성이 높은 지를 예측하고 각종 위험관련 데이터에 대 한 통계처리를 위해 사용하는 지표이다.
도 3은 기업이 보안침해사고가 발생했을 경우 각 서브 프로세스와 프로시져 단위에서 사전에 정의된 KRI 발생관련 정보를 수집하는 예를 나타내고 있다. 도 3을 참조하면, 이벤트 발생전에는 사전 KRI가 동작하고, 위험 센서에 의해 위험관련 사고 및 문제가 발생되여 이벤트에 대응하는 중에는 검출 KRI가 동작하고 복구가 완료되어 정상 가동하게 되면 통계 KRI를 생성하기 위한 작업을 수행한다.
도 4는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 사용되는 핵심위험지표의 예를 나타낸 도면이다. 대형 시스템 개발이나 도입시 주로 관리해야 하는 핵심위험지표(KRI)를 IT 프로젝트(Project) KRI라고 하는데, 도 4는 이러한 IT 프로젝트(project)KRI와 미국에서의 평균적인 프로젝트 당 발생빈도를 나타내는 조사결과를 도시하고 있다.
도 5는 본 발명이 일실시 예에 따른 IT 위험관리시스템에서 위험을 감지하기 위해 사용되는 위험센서의 동작을 설명하기 위한 도면이다. 도 5를 참조하면 위험센서에 의해 위험이 검출(detection)되면 위험 모니터링부는 그 위험을 진단(diagnosis)하고, 문제해결(repair)을 수행한 후 복구(recovered)하는 일련의 과정을 수행한다.
상기 위험센서는 입/출입 통제장치, 지문인식기, 영상기록기 등의 하드웨어 센서뿐만이 아니라, 소프트웨어 센서도 포함한다. 특히 소프트웨어 센서는 중요한 정보자산 노드인 메인서버, DBMS, 응용서버, 네트워크 장비 등에 설치되어 KRI에 필요한 각종 정보를 수집하는 역할을 수행한다. 또한 위험센서는 문제발생주기와 관련하여 주로 문제 및 장애 발생시 작동된다.
이러한 위험센서의 유형은 응용센서, DBMS 센서, 시스템관리 도구 에이전트 센서, 보안관련 포인트 솔루션 센서 및 기타 센서 등이 있다.
'응용센서'는 KRI와 관련된 IPO 통제 컴포넌트를 응용에 삽입하여 KRI관련 이벤트나 트랜잭션을 검출한다. 'DBMS센서'는 DB내 주요 테이블의 핵심 컬럼에 대한 무결성 로직(Domain Integrity)을 삽입하고 트랜잭션시 KRI에 해당하는 DB트랜잭션을 검출한다. 'System 관리 도구 Agent 센서'는 NMS, SMS, CMS 등 시스템관리도구가 설치된 서버에 로드되어 KRI 관련 트랜잭션 및 이벤트를 검출한다. '보안관련 포인트 솔루션 센서'는 외부보안과 관련된 방화벽, IPS, 백신프로그램 및 외부로부터의 주의 및 긴급 메일 등에서 KRI 관련 이벤트나 트랜잭션을 검출한다. '기타센서'는 필요시 출입통제장치관리시스템, 원격모니터링시스템, 경비관리시스템 등과 연동하여 KRI 관련 이벤트나 트랜잭션을 검출한다.
도 6은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산 평가를 위한 척도를 예시한 도면이다.
통상 기업의 IT 자산은 상대적으로 복잡하고 많은 요소로 구성되어 있다. 본 발명의 예에서 '응용'은 응용업무시스템과 각종 정보기술 서비스를 의미하며, 응용업무시스템 및 서비스의 중요도를 결정짓는 속성은 응용의 사용범위, 응용의 영향도, 필요로 하는 무결성의 정도, 기밀성의 정도 및 가용성의 정도에 의해 수치적으로 명확히 정의된다. 또한 '응용'은 비즈니스 프로세스의 자동화된 형태로 표현되기도 한다.
도 6을 참조하면 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산 평가를 위한 척도는 자산의 사용범위(범위), 자산 장애시 업무 파급도(영향), 자산 중단 허용 시간(가용성), 자산 기밀성(기밀성) 및 자산 무결성(무결성)이다.
따라서 IT 자산 관리 모듈(도 1의 '300')은 정보자산에 대하여 그 중요도를 사용범위, 영향, 서비스 가용성 수준, 기밀성 수준 및 무결성 정도로 측정하고 이를 바탕으로 각 정보자산의 중요성(가치)을 산정한다. 여기서 중요한 것은 정보자산의 중요도가 응용프로그램 및 서비스 중요도에 의해 거의 결정된다는 것이다. 이는 응용과 서비스는 데이터와 관계(relationship)를 가지며, 응용과 데이터는 플랫폼(서버 및 운영체제, 시스템소프트웨어)과 네트워크 노드(라우터, 스위치 등)와 긴밀하게 연관되어 있기 때문이다.
도 7은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산연동방식에 의해 정보자산 마스터테이블을 생성하는 과정을 예시한 도면이다. 종래에는 단위 자산(예를 들어 서버, 네트워크 장비 등)에 대하여 위험분석을 시도하고 있다. 하지만 본 발명의 IT 위험관리시스템은 자산연동방식을 채택함으로써 도 7에 예시된 바와 같이 주요 응용과 서비스에 대한 중요도(Criticality)만 식별되면, 그 응용이 사용하는 데이터베이스, 응용이 로드된 서버와 클라이언트, 사용자, 네트워크 노드(예 : 라우터, 스위치, 방화벽 등)의 중요도도 같이 결정된다. 이는 MAX()함수와 관계형 함수 그리고 조합함수에 의해 이루어지며, 본 발명의 IT 위험관리시스템의 정보자산 메타-데이터(meta-data)와 라이브러리에 의해 관리된다. 도 7은 이러한 정보를 담고 있는 정보자산 마스터 테이블의 생성과정 및 그 테이블의 예를 나타낸 다.
도 8은 본 발명의 일실시 예에 따른 IT 위험관리시스템의 기업통제구조를 예시한 도면이다. 통상 기업에서 다루고 있는 정보기술 관련 아키텍쳐(Enterprise Architecture, 이하 'EA'라 칭함)는 지금까지 데이터 아키텍쳐(Data Architecture, 이하 'DA'라 칭함), 비즈니스 아키텍쳐(Business Architecture, 이하 'BA'라 칭함)와 테크니컬 아키텍쳐(Technical Architecture, 이하 'TA'라 칭함)로 구성되어 있다. 하지만 현재와 같은 거대한 규모와 복잡한 구성요소로 이루어진 정보기술 및 정보시스템의 어디에도 신경계통과 같은 제어계측구조가 언급되거나 통합적으로 관리되지 않고 있다.
본 발명의 IT 위험관리시스템은 기존의 DA, BA, TA 구조 이외에 EA를 효율적이고, 효과적 그리고 실시간으로 계측제어하기 위한 관리구조로서 도 8에 예시된 바와 같은 기업통제구조(Enterprise Control Architecture, 이하 'ECA'라 칭함)를 필요한 것으로 정의하고 있다. ECA가 없는 시스템은 마치 제어가 안되는 공룡과 같은 시스템이 될 것이고 지금도 그러한 시스템이 전부라 해도 과언이 아니다. ECA는 인체에 있어서 전체 신경계통과 이를 관리하는 중추신경기관과도 같은 것으로서 통합된 형태의 IT 제어계측구조인 것이다.
도 9는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 관리하는 위험 영역을 설명하기 위한 도면이다. 본 발명의 IT 위험관리시스템에서는 기업이 다루어야할 위험영역을 주로 2가지 관점에서 분할하고자 합니다. 첫 번째 구분은 IT와 Non-IT (Business)로 구분하는 것이고 두 번째는 프로세스(process)와 프로젝트 (project)로 구분하는 것입니다. 도 9는 이 두 가지 관점으로 리스크 영역을 구분한 예를 도시한 것으로서, 도 9를 참조하면 본 발명의 IT 위험관리시스템에서 관리하는 위험 영역은 비즈니스 프로세스 위험 관리(Business Process Risk Management) 영역, IT 프로세스 위험 관리 영역(IT Process Risk Management), 비즈니스 프로젝트 위험 관리 영역(Business Project Risk Management) 영역, IT 프로젝트 위험 관리 영역(IT Project Risk Management) 영역으로 구분된다.
도 10은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 Noun-Verb 타입에 의해 재구성한 통제대책의 예를 도시한 도면이다.
통상적으로 모든 시스템 관련 통제와 위협, 위험, 취약점은 주어와 목적어 그리고 동사가 명확하게 정의(Formal Description)되어야만 정보화가 가능하며, 체계적으로 관리될 수 있다. 따라서 기업의 관점에서 논의되는 모든 통제, 위협, 자산, 행위자, 취약점, 위험은 Noun-Verb Type에 의해 엄밀히 정의되어 데이터베이스화되어야 하며, 이를 바탕으로 위협, 취약점, 위험 및 통제대책 등도 Noun-Verb type에 의거 분류되고 정의되어 데이터베이스로 구축되어야한다. 그래야만 자산, 위협, 취약점, 위험, 통제대책에 대한 자동화 관리 및 실질적 연계추론(Corelation)이 가능한 것이다. 도 9는 Noun-Verb Type방식을 이용하여 ITIL 관련 국제표준연구협력 단체인 ITSMF에서 제정한 체크리스트(checklist)를 개선한 실례를 나타내고 있다.
도 11은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서의 응용중요도 분석 및 위험분석 지원 과정을 설명하기 위한 도면이다. 본 발명의 IT 위험관리시 스템은 응용중요도 분석을 통하여 위험분석을 보다 용이하고 정확하게 할 수 있도록 지원한다. 응용중요도 분석은 기본적으로 기존의 자산가치 분석방법인 임의가중치 방식(매우 중요, 중요, 보통, 낮음, 매우 낮음)에서 탈피하여, 응용의 속성을 국제적으로 인정된 속성(무결성, 기밀성, 가용성)과 사용범위 및 영향도에 따라 구체적인 수치로 전환하는 방식을 의미한다. 이를 통하여 응용자산에 대한 정확한 통제정책이 수립될 수 있다. 도 11의 예에서는 응용의 중요도를 산정하기 위한 속성별로 5가지의 경우의 수를 두고 그에 따라 1점에서 5점까지의 점수를 책정하여 그 점수에 따라 위험의 정도를 판단하도록 하고 있다. 도 11을 참조하면 응용의 중요도 중 사용범위가 전사 또는 고객인 경우 5점, 전사인 경우 4점, 일부 부서인 경우 3점, 부서 내에서만 사용하는 경우 2점, 개인이 사용하는 경우 1점을 책정하고 있다. 이 밖에도 자산(응용) 장애시 업무 파급도, 자산(응용) 중단 허용 시간, 자산(응용)기밀성 및 자산(응용)의 무결성 속성들에 대해서도, 본 발명의 IT 위험관리시스템은 도 11에 예시된 바와 같은 경우 별로 1점부터 5점까지의 점수를 책정하고 있다. 이러한 응용속성별 중요도 책정은 기업의 정보자산에 대한 다양한 시뮬레이션을 가능하게 해준다. 예를 들어 응용 사용의 범위가 전사와 외부고객까지이며 무장애를 요구하는 경우의 응용에 대한 식별 등이 분명하게 이루어진다.
도 12는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 응용서비스 중요도를 연산한 결과의 예를 도시한 도면이다. 즉 도 12는 서비스 중요도(Criticality)에 근거하여 조직의 중요자산에 대한 무결성, 기밀성, 가용성을 자동적으로 연산한 결과를 나타내고 있다.
도 13은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 응용서비스 중요도 필터링 연산 결과의 예를 도시한 도면이다. 특히 도 13의 우측 상단에 도시된 표는 가용성 등급이 5(24*7*365인 서비스)인 경우에 대한 자산연동 필터링 결과를 나타내고, 도 13의 우측 하단에 도시된 표는 기밀성등급이 5(극비 및 특정인 국한)인 경우에 대한 자산연동 필터링 결과를 나타낸다.
도 14는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 자산연동방식에 의해 자산을 평가하는 과정을 설명하기 위한 도면이다.
본 발명의 일실시 예에 따른 IT 위험관리시스템은 자산연동설계에 의거하여 응용 중요도를 분석함으로써 전체자산에 대하여 자산 중요도를 계산할 수 있도록 지원하는데, 이는 기본적으로 다음과 같은 정의에 의하여 가능하다. 즉 모든 응용은 데이터와 관련을 가지며, 모든 응용은 하드웨어 플랫폼을 기반으로 하여 작동하며, 모든 응용은 사용자와 관리자가 존재하며, 또한 네트워크 트래픽 유형에 따라 경유해야하는 네트워크 노드(예 : 라우터, 스위치, 방화벽, 허브등)와 링크(내부망, 무선망, 백본망, VPN 등)가 결정된다는 정의에 의해, 자산 연동 방식에 의한 자산 중요도 계산이 가능하다. 도 14를 참조하면 이러한 정보자산간 관계 연동을 실제 시뮬레이션하기 위하여 만든 정보자산 연동설계의 예를 알 수 있다.
도 15는 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 위협시나리오를 자동으로 생성하는 과정을 설명하기 위한 도면이다. 본 발명의 IT 위험관리시스템은 위협시나리오작성엔진을 통하여 각 자산 간의 연동과 행위자와의 연계에 기초하여 주요 위협시나리오를 자동으로 생성하여 사용자에게 제공한다. 이를 위해 IT 위 험관리시스템은 도 15에 예시된 바와 같이 각 자산연동(관계형테이블의 관계연산을 통하여 실시)에 의거하여 정보자산 노드링크를 트리구조로 생성한다. 즉, 주요 행위자에 의거하여 접근된 주요자산별로 순차적으로 노드링크트리를 생성한다. 도 15의 예는 정보자산과 행위자 그리고 고의적/실수에 의거 나타나는 위협유형을 조합한 한 예이다.
도 16은 본 발명의 일실시 예에 따른 IT 위험관리시스템에서 분석된 위험분석결과에 대한 통제설계를 자동으로 지원하는 과정을 설명하기 위한 도면이다. 본 발명의 IT 위험관리시스템은 도 16에 예시된 바와 같이 자산 가치 판단 결과 파악된 중요자산을 중심으로 하여 이에 대한 위협, 기존 통제대책과 취약점에 대한 시뮬레이션을 수행하고, 그 결과에 의거하여 최적의 통제설계를 사용자가 선택 할 수 있도록 지원한다. 여기서 주로 사용되는 기법은 앞에서 언급한 Noun-Verb type에 근거한 자산, 위협, 취약점, 위험 및 통제대책의 정의와 각 서술구조에 대한 상호참조기술이다. 예를 들어, 자동으로 추출한 위협시나리오에 대하여 현재의 통제대책을 사용자가 선택(마우스 클릭)하면 현재의 취약점이 확정된다. 그러면 본 발명의 IT 위험관리시스템은 사용자의 선택에 의해 확정된 현재의 취약점에 대응하는 통제대책권고안을 컴퓨터 화면을 통하여 사용자에게 제공하고, 사용자는 상기 컴퓨터 화면을 통해 해당 통제대책권고안을 선택한다. 본 발명의 IT 위험관리시스템은 상기 선택된 통제대책권고안에 의거하여 필요로 하는 시스템 통제 대책, 지침 및 매뉴얼이 생성하여 제공한다.
도 17은 본 발명의 일실시 예에 따른 IT 위험관리시스템을 이용한 통합위험 서비스제공시스템의 구성을 예시한 도면이다. 특히 도 17은 ITSM(IT Service Management)의 국제표준인 ITIL(IT Infrastructure Library)에 기반하여 주요 ITSM 솔루션 업체의 도구를 통합하고, 그 결과 사용자에게 위험관련 정보를 통합적으로 제공(현재까지는 CA사의 주요 제품인 Unicenter, eTrust, Cleverpath, Harvest 제품군의 통제 지원)하는 예를 도시하고 있다. 본 발명의 IT 위험관리시스템은 이와 같이 ITSM 솔루션 통합을 통하여 ITSM전체의 프로세스에 대한 위험관리 자동화를 용이하게 구현할 수 있는 장점이 있다.
도 18은 본 발명의 일실시 예에 따른 IT 위험관리시스템의 기능 및 메뉴 체계의 예를 도시한 도면이다. 도 18을 참조하면 본 발명의 IT 위험관리시스템은 관리대상인 전산자원의 운영을 담당하는 '프론트-오피스(front office)'와 이에 대한 위험관리를 담당하는 '백-오피스(back office)'의 두 서브시스템으로 구성되어 있다. 이 때 상기 오피스들 각각의 핵심은 보호하고 관리해야 할 정보자산관리부분이며, 이러한 정보자산에 대한 각종 위험의 발생예보, 발생경보, 발생상황추적, 대응프로세스 전개, 사후보고 및 위험평가, 개선대책의 이행 등을 지원할 수 있도록 설계되어 있다.
도 19는 본 발명의 일실시 예에 따른 IT 위험관리시스템의 처리과정을 예시한 도면이다. 도 19를 참조하면 본 발명의 일실시 예에 따른 IT 위험관리시스템은 다음과 같이 동작한다.
먼저 IT 위험관리시스템은 위험 관리 대상 정보 자산 데이터베이스를 구축한다(S105). 상기 데이터베이스는 전사적인 관점에서 위험관련 데이터인 정보자산, 자산에 대한 위협, 현행 통제대책, 현행 취약점 및 위험상태에 대한 정보들을 저장한다. 특히 종래의 방법으로 구축된 별도의 DB 이외에 다른 솔루션(solution)으로부터 전달된 'IT 자산'과 '위험관련 데이터'를 통합하여 저장한다. 예컨대, IT 위험관리시스템은 NMS, SMS, ESM, ERP 등 IT 및 비즈니스(qusiness) 솔루션으로부터 위험관리대상 정보자산데이터베이스를 구축한다.
상기와 같이 자산 데이터베이스를 구축하였으면 그 데이터베이스에 저장된 정보 자산들에 대한 가치를 산정한다(S110). 예를 들어 응용 및 프로세스에 대한 중요도를 산정한 후 상기 응용 및 프로세스에 대한 중요도를 바탕으로 응용 및 프로세스와 연관된 정보자산의 중요도를 산정한다.
그리고 상기 산정된 자산의 가치를 기준으로 정보자산에 대한 위협을 식별한다(S115). 이 때 IT 위험관리시스템은 위협시나리오작성엔진을 통하여 각 자산 간의 연동과 행위자와의 연계에 기초하여 주요 위협시나리오를 자동으로 생성함이 바람직하다.
상기와 같이 정보자산에 대한 위협을 식별하였으면 상기 과정(S110)에서 구축된 데이터베이스로부터 그 식별된 위협에 대한 취약점 및 현재의 통제대책을 검출하여 매핑한 후(S120), 이를 바탕으로 필요한 통제대책과 지침안을 생성한다(S125).
그리고 상기 통제대책에 의거하여 기 설정된 핵심위험지표(KRI)에 대한 모니터링을 수행한다(S130). 이를 위해 상기 IT 위험관리시스템은 위험 센서를 이용함이 바람직하다.
한편 상기 모니터링 결과 위험이 발생된 것으로 판단되면 IT 위험관리시스템은 그 사실을 보고한다(S140). 예를 들어 상기 위험과 관련된 사람(예컨대, 프로세스 오너, 프로젝트 책임자, 실무책임자, 유지보수 요원, 하드웨어 장비 업체, 네트워크 관련 업체 등)에게 즉각 통보하고, 이에 상응하는 대응 프로세스를 각 사용자에게 알려준다. 이 때 상기 위험 이벤트에 대한 즉각적인 통보는 인터넷의 Push 알림기능이나 휴대폰의 SMS를 이용함이 바람직하다.
그리고 상기 위험 발생 및 그에 상응하는 대응 프로세스를 통보를 받은 사용자의 선택정보에 의거하여 이전의 통제대책을 개선한다(S145).
이와 같이 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안 되며 후술하는 특허청구범위 뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이 본 발명의 정보기술 위험관리시스템 및 그 방법은 도 20에 예시된 바와 같이, 자산통합관리, 위협시나리오 자동 생성, 위험관리프로세스 관리 및 개선, 위험관리프로세스 자동화 지원, 지침매뉴얼 자동화 지원, 통제대책 자동 권고, 솔루션통합관제, 실시간위험모니터링, 위험예측, 통계 등 RI 제공 및 전사위험관리 기반 제공이라는 효과가 있다.
도 20은 본 발명의 일실시 예에 따른 IT 위험관리시스템의 효과를 도식화하 여 나타내고 있다. 도 20을 참조하여 각 효과들엔 부연설명을 하면 다음과 같다.
첫째, 정보자산의 통합관리가 가능하다. 즉, 종래의 대다수 정보자산관리관련 시스템들은 각각의 관점에서 자산관련 데이터베이스를 구축 지원하지만, 본 발명이 IT 위험관리시스템은 기업 관점에서 통합된 데이터베이스 메터-데이터(meta-data)를 설계하여 제공함으로써 기업의 위험관리자가 기업 전체 차원에서 위험을 관리할 수 있도록 지원한다. 또한 위험관리시스템을 구축하기 위하여 사전에 실시하는 위험관리컨설팅의 결과물도 DB화 하여 관리한다.
둘째, 체계적인 위협시나리오를 자동으로 생성하는 것이 가능하다. 즉, 위협시나리오 자동 생성기를 통하여, 종래에는 불가능했던 기업 위협에 대한 다양한 형태를 실시간으로 추론하여 보여준다. 여기서 위험관리자는 중요한 자산에 가해지는 중대한 위협에 집중하여 위험을 관리함으로써, 기업의 위험을 효율적으로 관리할 수 있도록 지원한다.
셋째, 위험관리수준의 PDCA 진단 및 위험 관리 프로세스의 지속적인 관리 및 개선이 가능하다. 기본적으로 당사의 위험관리시스템은 생산관리, 품질관리, CMM, SPICE, CoBIT, ITIL, BS7799, COSO ERM 등 국제적 표준 및 Best Practice의 핵심원리인 PDCA(Plan-Do-Check-Act)기법을 적용하여 기업의 위험관리프로세스를 실시간 진단 모니터링하여 성과측정을 물론, 발견된 문제점을 지속적으로 관리 및 개선할 수 있도록 지원한다.
넷째, 위험관리프로세스 자동화의 지원이 가능하다. 당사의 위험관리시스템은 기본적으로 자산데이터베이스 구축, 위험분석, 통제설계 및 구축지원, 위험모니 터링, 위험완화 및 대응 등 일련의 위험관리 프로세스를 자동화 지원함으로써 기업의 위험관리 관련 담당자와 관리자가 위험관리 전 공정을 효율적으로 통합관리할 수 있도록 지원한다.
다섯째, 지침 및 매뉴얼 자동화를 지원한다. 본 발명의 IT 위험관리시스템은 위험관리 관련 지침(보안정책, 접근통제정책 및 지침, 암호관리 정책 및 지침, 시스템 변경관리 지침 등 총 COBIT기준 34개의 지침)과 솔루션 매뉴얼을 자동화하여 최신의 상태로 유지될 수 있도록 지원한다. 여기서 사용되는 기술은 필요 시 별도 열람하실 수 있도록 한다.
여섯째, 통제대책을 자동으로 권고한다. 자산-위협-현행통제대책-취약점간의 상호연관관계분석을 기반으로 개선할 필요가 있거나 새로이 도입되어야 하는 통제대책을 시스템에서 자동으로 권고하며, 사용자는 이를 바탕으로 통제대책을 설계할 수 있도록 지원한다.
일곱째, 솔루션의 통합 관제 및 제어가 가능하다. 예를 들어 전세계에서 시장점유율 1위인 시스템 관리 유틸리티 및 서비스 제공 다국적 기업인 CA의 CA 스마트(smart)제도를 이용하여 솔루션 통합 관제가 가능하다. 또한 향후 유력한 솔루션업체와의 전략적 기술 협력을 통하여 시장 경쟁력, 사용자 편의성을 확보할 수 있다.
여덟째, 실시간 위험 모니터링이 가능하다. 위험관련 각종 솔루션 통합은 물론 Incident process, Problem process, Service Desk Function, Help Desk Function, Change Management process, Availability Management Process 등 ITIL 의 중요 process의 워크플로우 및 시스템과 연동하여 주요한 위험이벤트를 실시간으로 모니터링 할 수 있다.
아홉째, 위험예측 및 위험관련 각종 통계 정보, 위험 관련 보고서 작성 지원이 가능하다. 즉, 위험과 관련된 정보를 ERDB(Enterprise Risk DB)에 구축함으로써, Historical Risk Data를 바탕으로 위험관련 예측사전경보 정보, 위험모델링, 위험경영보고서 정보 및 보고서 작성이 가능하다.
마지막으로, 전사적 위험 관리 기반을 제공하는 것이 가능하다. 즉, 본 발명은 위험영역을 4 Domain으로 분할함으로써 현재 개발예정인 리스크 엔진과 IT 위험관리 시스템을 바탕으로 Basel II, SOXA, 비즈니스 데이터 무결성 제어(control)분야와 프로젝트 리스크(Project Risk) 관리분야를 아우르는 전사적 위험관리 기반을 제공할 수 있다.
또한 본 발명의 IT 위험관리시스템을 지속적으로 개선하면, 향후 명실상부한 통합위험관리시스템으로 발전이 가능할 것이다.

Claims (19)

  1. 정보자산 및 그에 대한 위험관련데이터를 통합하여 저장하는 데이터베이스와,
    외부로부터 입력되는 각종 위험관련 데이터를 상기 데이터베이스에 저장하며, 자산가치의 산정, 각종 이벤트에 대한 필터링, 이벤트와 취약점 및 통제대책을 매핑하는 위험 엔진과,
    상기 데이터베이스에 저장된 정보자산의 가치를 산정하는 자산관리부와,
    상기 자산관리부에서 산정된 자산의 가치를 기준으로 위협, 취약점, 개선해야 할 통제대책을 연계하여 정의하고 제시하는 위험분석부와,
    상기 위험분석부에서 제시된 통제대책을 중심으로 사용자가 관리정책 및 지침을 온라인으로 편집, 수정 및 조회할 수 있도록 지원하는 통제설계 지원부와,
    사전에 설정된 기준에 의거하여 외부 솔루션-툴로부터 위험 이벤트를 필터링하는 위험 모니터링부와,
    상기 위험 모니터링부에서 필터링된 위험 이벤트에 대하여 사용자에게 즉각 통보하고 이에 상응하는 대응 프로세스를 해당 사용자에게 알려주는 위험대응부를 포함함을 특징으로 하는 정보기술 위험관리시스템.
  2. 제1항에 있어서, 상기 데이터베이스는
    위험관리 컨설팅 프로젝트를 진행함에 따라 새로이 정보를 생성하지 않고 기 존에 생성한 정보에 계속적으로 필요한 정보를 추가하여 작업하는 템플릿 진화방식으로 관리됨을 특징으로 하는 정보기술 위험관리시스템.
  3. 제1항에 있어서, 상기 위험 엔진은
    상기 위험관련 데이터를 상기 데이터베이스의 포맷에 맞게 전환하여 저장함을 특징으로 하는 정보기술 위험관리시스템.
  4. 제1항에 있어서, 상기 자산관리부는
    응용 및 서비스의 중요도를 산정하고 이를 바탕으로 정보자산의 가치를 산정함을 특징으로 하는 정보기술 위험관리시스템.
  5. 제1항에 있어서, 상기 위험분석부는
    주요 응용에 대한 자산가치만 산정되면, 상기 응용이 사용하는 데이터베이스, 상기 응용이 로드된 서버와 클라이언트, 사용자, 네트워크 노드의 중요도도 함께 결정되는 자산연동법칙에 의거하여 동작함을 특징으로 하는 정보기술 위험관리시스템.
  6. 제1항에 있어서, 상기 위험 모니터링부는
    상기 각 솔루션-툴로부터 위험 이벤트를 필터링하기 위한 위험 센서로부터 위험 이벤트를 수신함을 포함함을 특징으로 하는 정보기술 위험관리시스템.
  7. 제6항에 있어서, 상기 위험 센서는
    입/출입 통제장치, 지문인식기, 영상기록기를 포함하는 하드웨어 센서 및 소프트웨어 센서를 포함함을 특징으로 하는 정보기술 위험관리시스템.
  8. 제6항에 있어서, 상기 위험 센서는
    문제발생주기와 관련하여 문제 및 장애 발생시 작동함을 특징으로 하는 정보기술 위험관리시스템.
  9. 제1항에 있어서, 상기 위험대응부는
    상기 위험 이벤트에 대하여 프로세스 오너, 프로젝트 책임자, 실무 책임자, 유지보수 요원, 하드웨어 장비업체, 네트워크 관련업체 중 어느 하나 이상의 사용자에게 즉각 통보함을 특징으로 하는 정보기술 위험관리시스템.
  10. 제9항에 있어서, 상기 위험대응부는
    인터넷의 푸시(push) 알림기능을 이용하여 상기 위험 이벤트를 즉각 통보함을 특징으로 하는 정보기술 위험관리시스템.
  11. 제9항에 있어서, 상기 위험대응부는
    휴대폰의 문자메시지 전송 기능을 이용하여 상기 위험 이벤트를 즉각 통보함 을 특징으로 하는 정보기술 위험관리시스템.
  12. 정보기술 위험관리방법에 있어서,
    위험관리대상 정보자산 데이터베이스를 구축하는 과정과,
    상기 데이터베이스에 저장된 정보자산들에 대한 가치를 산정하는 과정과,
    상기 산정된 자산의 가치를 기준으로 정보자산에 대한 위협을 식별하는 과정과,
    상기 상기 데이터베이스에 저장된 정보에 의거하여 상기 식별된 위협에 대한 취약점과 현재의 통제대책을 검출하여 매핑하는 과정과,
    상기 매핑 결과에 의거하여 통제대책과 지침안을 생성하는 과정과,
    상기 통제대책에 의거하여 기 설정된 핵심위험지표에 대한 모니터링을 수행하는 과정과,
    상기 모니터링 결과 위험이 발생된 것으로 판단되면 그 위험발생 사실 및 대응되는 프로세스를 사용자에게 통보하는 과정을 포함함을 특징으로 하는 정보기술 위험관리방법.
  13. 제12항에 있어서,
    상기 위험발생에 대한 처리 후 사용자가 선택한 정보에 의거하여 이전의 통제대책을 개선하는 과정을 더 포함함을 특징으로 하는 정보기술 위험관리방법.
  14. 제12항 또는 제13항에 있어서, 상기 데이터베이스 구축과정은
    전사적인 관점에서 위험관련 데이터인 정보자산, 자산에 대한 위협, 현행 통제대책, 현행 취약점 및 위험상태에 대한 정보들을 저장하는 데이터베이스를 구축함을 특징으로 하는 정보기술 위험관리방법.
  15. 제12항 또는 제13항에 있어서, 상기 자산가치 산정과정은
    응용 및 프로세스에 대한 중요도를 산정한 후 상기 응용 및 프로세스에 대한 중요도를 바탕으로 응용 및 프로세스와 연관된 정보자산의 중요도를 산정함을 특징으로 하는 정보기술 위험관리방법.
  16. 제12항 또는 제13항에 있어서, 상기 위협식별과정은
    위협시나리오작성엔진을 통하여 각 자산들 간의 연동과 행위자와의 연계에 기초하여 주요 위협시나리오를 자동으로 생성함을 특징으로 하는 정보기술 위험관리방법.
  17. 제12항 또는 제13항에 있어서, 상기 통보 과정은
    상기 위험 발생 사실에 대하여 프로세스 오너, 프로젝트 책임자, 실무 책임자, 유지보수 요원, 하드웨어 장비업체, 네트워크 관련업체 중 어느 하나 이상의 사용자에게 즉각 통보함을 특징으로 하는 정보기술 위험관리방법.
  18. 제17항에 있어서, 상기 통보 과정은
    인터넷의 푸시(push) 알림기능을 이용하여 상기 위험 이벤트를 즉각 통보함을 특징으로 하는 정보기술 위험관리방법.
  19. 제17항에 있어서, 상기 통보 과정은
    휴대폰의 문자메시지 전송 기능을 이용하여 상기 위험 이벤트를 즉각 통보함을 특징으로 하는 정보기술 위험관리방법.
KR1020040096916A 2004-11-24 2004-11-24 정보기술 위험관리시스템 및 그 방법 KR20060058186A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040096916A KR20060058186A (ko) 2004-11-24 2004-11-24 정보기술 위험관리시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040096916A KR20060058186A (ko) 2004-11-24 2004-11-24 정보기술 위험관리시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20060058186A true KR20060058186A (ko) 2006-05-29

Family

ID=37153288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040096916A KR20060058186A (ko) 2004-11-24 2004-11-24 정보기술 위험관리시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20060058186A (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009085640A1 (en) * 2007-12-21 2009-07-09 Browz, Llc System and method for informing business management personnel of business risk
KR100923407B1 (ko) * 2007-07-25 2009-10-23 삼성에스디에스 주식회사 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
KR101013077B1 (ko) * 2007-07-30 2011-02-14 채문창 정량적 안전지수 산출에 근거한 it 위험 관리 방법 및시스템
WO2012030333A1 (en) * 2010-09-01 2012-03-08 Hewlett-Packard Development Company, L.P. Performing what-if analysis
KR101310487B1 (ko) * 2006-09-29 2013-09-24 주식회사 케이티 고객 요구형 위험 관리 시스템 및 그 방법
WO2014100103A1 (en) * 2012-12-18 2014-06-26 Mcafee, Inc. Automated asset criticality assessment
CN109670315A (zh) * 2018-11-12 2019-04-23 平安科技(深圳)有限公司 信息科技风险智能管理方法、装置和计算机设备
CN113326964A (zh) * 2020-12-01 2021-08-31 河南汇祥通信设备有限公司 一种基于数据复合多级综合管廊风险管控方法及方法
CN113592690A (zh) * 2021-07-30 2021-11-02 卡斯柯信号有限公司 一种基于数据库模型的危害管理方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101310487B1 (ko) * 2006-09-29 2013-09-24 주식회사 케이티 고객 요구형 위험 관리 시스템 및 그 방법
KR100923407B1 (ko) * 2007-07-25 2009-10-23 삼성에스디에스 주식회사 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법
KR101013077B1 (ko) * 2007-07-30 2011-02-14 채문창 정량적 안전지수 산출에 근거한 it 위험 관리 방법 및시스템
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
WO2009085640A1 (en) * 2007-12-21 2009-07-09 Browz, Llc System and method for informing business management personnel of business risk
US8055528B2 (en) 2007-12-21 2011-11-08 Browz, Llc System and method for informing business management personnel of business risk
WO2012030333A1 (en) * 2010-09-01 2012-03-08 Hewlett-Packard Development Company, L.P. Performing what-if analysis
US9954883B2 (en) 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment
WO2014100103A1 (en) * 2012-12-18 2014-06-26 Mcafee, Inc. Automated asset criticality assessment
US10320830B2 (en) 2012-12-18 2019-06-11 Mcafee, Llc Automated asset criticality assessment
US10735454B2 (en) 2012-12-18 2020-08-04 Mcafee, Llc Automated asset criticality assessment
US11483334B2 (en) 2012-12-18 2022-10-25 Mcafee, Llc Automated asset criticality assessment
CN109670315A (zh) * 2018-11-12 2019-04-23 平安科技(深圳)有限公司 信息科技风险智能管理方法、装置和计算机设备
CN113326964A (zh) * 2020-12-01 2021-08-31 河南汇祥通信设备有限公司 一种基于数据复合多级综合管廊风险管控方法及方法
CN113326964B (zh) * 2020-12-01 2023-10-31 河南汇祥通信设备有限公司 一种基于数据复合多级综合管廊风险管控方法及方法
CN113592690A (zh) * 2021-07-30 2021-11-02 卡斯柯信号有限公司 一种基于数据库模型的危害管理方法
CN113592690B (zh) * 2021-07-30 2024-03-29 卡斯柯信号有限公司 一种基于数据库模型的危害管理方法

Similar Documents

Publication Publication Date Title
US10021138B2 (en) Policy/rule engine, multi-compliance framework and risk remediation
US10019677B2 (en) Active policy enforcement
US8769412B2 (en) Method and apparatus for risk visualization and remediation
US10339321B2 (en) Cybersecurity maturity forecasting tool/dashboard
US8214364B2 (en) Modeling user access to computer resources
KR100755000B1 (ko) 보안 위험 관리 시스템 및 방법
US20050065941A1 (en) Systems for optimizing business processes, complying with regulations, and identifying threat and vulnerabilty risks for an enterprise
CN101459537A (zh) 基于多层次多角度分析的网络安全态势感知系统及方法
Bugeja et al. IoTSM: an end-to-end security model for IoT ecosystems
Hoffmann et al. Evaluation of information safety as an element of improving the organization’s safety management
CN117769706A (zh) 在网络中自动检测和解析网络安全的网络风险治理系统及方法
KR20060058186A (ko) 정보기술 위험관리시스템 및 그 방법
KR100524649B1 (ko) 정보 자산의 위험 분석 시스템
Fenz et al. FORISK: Formalizing information security risk and compliance management
König et al. Parametrization of Probabilistic Risk Models
CN106790231A (zh) 安全域的生成方法、装置及安全运维监管系统
Pak et al. Asset priority risk assessment using hidden markov models
Singh et al. Toward grading cybersecurity & resilience posture for cyber physical systems
Stolze et al. Visual problem-solving support for new event triage in centralized network security monitoring: Challenges, tools and benefits
Bialas Information security systems vs. critical information infrastructure protection systems-Similarities and differences
CN111092857A (zh) 信息安全预警方法、装置、计算机设备和存储介质
Bialas Computer support in business continuity and information security management
Ghernouti-Hélie et al. A multi-stage methodology for ensuring appropriate security culture and governance
CN116596311A (zh) 一种基于区块链的黄金珠宝产业风控方法和系统
Sánchez-García et al. CRAG: A Guideline to Perform a Cybersecurity Risk Audits

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
AMND Amendment
N231 Notification of change of applicant
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
E801 Decision on dismissal of amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070116

Effective date: 20070830

Free format text: TRIAL NUMBER: 2007101000535; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070116

Effective date: 20070830