KR20090003034A - 정보 자산 식별 및 평가 방법 - Google Patents
정보 자산 식별 및 평가 방법 Download PDFInfo
- Publication number
- KR20090003034A KR20090003034A KR1020070069229A KR20070069229A KR20090003034A KR 20090003034 A KR20090003034 A KR 20090003034A KR 1020070069229 A KR1020070069229 A KR 1020070069229A KR 20070069229 A KR20070069229 A KR 20070069229A KR 20090003034 A KR20090003034 A KR 20090003034A
- Authority
- KR
- South Korea
- Prior art keywords
- asset
- information
- degree
- assets
- evaluation
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 자산 가치 평가, 자산분석, 자산 평가에 대한 정량적인 평가기준을 제시하여 객관적인 자산 평가가 가능하도록 하는 정보 자산 식별 및 평가 방법에 관한 것으로, 본 발명의 정보 자산 평가 식별 및 평가 방법은, 조직의 핵심업무 지원을 위한 목록화된 정보 자산의 구성형태를 파악하는 자산 식별 단계와; 상기 정보 자산별 정량적인 평가기준을 통한 자산가치 산정을 수행하는 자산 가치 산정 단계와; 상기 자산 가치 산정 단계에서의 자산가치 산정 후, 정량화된 자산 평가결과를 통하여 주요자산의 우선 순위를 결정하고 목록화하는 자산 평가 수행 단계를 포함하여 구성되며, 실제 위험분석에 적용가능하다.
정보보호, 자산가치 산정, 자산식별, 자산분석, 위험분석
Description
본 발명은 조직이 운영 중인 주요 정보 자산을 평가하기 위한 정보 자산 식별 및 평가 방법에 관한 것으로, 더욱 상세하게는 자산 가치 평가, 자산분석, 자산 평가에 대한 정량적인 평가기준을 제시하여 객관적인 자산 평가가 가능하도록 하는 정보 자산 식별 및 평가 방법에 관한 것이다.
정보 자산은 해당 조직에서 중요한 가치를 가지는 모든 요소를 지칭하는 용어로, 운영 시스템(OS)에서 사용하는 서비스 프로그램, 개발 프로그램 등과 같은 응용프로그램 자산과 조직의 목표를 달성하기 위하여 저장하는 데이터 자산 및 응용프로그램, 데이터 자산을 운영하는 서버 및 네트워크 장비 등이 포함될 수 있다.
이러한 정보 자산 평가와 관련한 기술에는 정보 자산을 보호하고 안전한 운영을 위한 위험분석 및 위험관리 방법론이 있다.
도 1은 일반적인 위험분석 체계의 개략적인 구성을 도시한 도면으로, 크게 자산 식별부(10), 위험분석 대상 결정부(20), 위험분석부(30), 위험 평가부(40), 및 보호대책 적용부(50)를 포함하여 구성되며, 자산 식별부(10)는 조직의 주요 자산을 식별하고, 위험분석 대상 결정부(20)는 위험분석 대상과 범위를 결정하고, 위험분석부(30)는 정보 자산에 잠재되어 있는 위협을 분석하는 위협분석부(31)와, 정보 자산에 잠재되어 있는 취약점을 분석하는 취약점 분석부(33)와, 정보 자산에 잠재되어 있는 위협 가능성을 분석하는 가능성 분석부(35)로 이루어져서 정보 자산의 가치와 위험을 고려하여 정보 자산에 대한 위협, 취약점, 위협 가능성을 분석하고, 위험 평가부(40)는 정보 자산에 잠재되어 있는 위험도를 산정하며, 보호대책 적용부(50)는 위험도가 높은 위협과 취약점을 제거하기 위한 보호대책을 수립하고 구현한다.
상기한 정보 자산 평가와 관련한 다른 기술에는 정보통신기반보호법에 정의되어 있는 취약점 분석 평가 방법론이 있다.
일반적인 취약점 분석 평가 방법론은 조직의 주요자산을 식별하고, 취약점 분석 대상과 범위를 결정하고, 정보 자산에 잠재되어 있는 관리적, 물리적, 기술적 취약점을 분석하고, 발견한 취약점을 제거하기 위한 보호대책을 수립하는 일련의 과정으로 수행한다. 여기서, 기술적인 취약점 분석은 네트워크 기반 취약점 점검도구, 서버 기반 취약점 점검도구, 취약점별 익스플로잇(Exploit) 코드를 이용하여 수동 점검을 수행한다.
상기한 정보 자산 평가와 관련한 국제표준에는 ISO/IEC 13335 GMITS(Guidelines for the management of IT Security)과 ISO 27001(Specification for an Information Security Management System)이 있다. 그러나, 이 표준에는 위험분석 및 관리의 정의 및 프로세스가 기술되어 있고, 평가방법에 대한 제시가 없다. 또한, 위험분석의 첫 번째 단계인 자산분석 및 평가 수행절차는 있지만, 실제 평가하는 방법은 제시되어 있지 않기 때문에 별도의 자산분석 평가 방법이 필요하다.
상기에서 기술한 위험분석 방법론 및 취약점분석 방법론은 정보 자산을 식별하고, 가치를 산정하고 평가하기 위한 명확한 기준이 부족하다. 더욱이, 정보 자산을 평가하기 위한 방법론은 국제표준에서 전체 프로세스와 태스크 정의는 가능하지만, 평가방법을 구체적으로 제시하는 것을 표준화하기 어렵다.
이와 같이 자산 가치 산정 및 평가를 수행하는데 있어 기존 기술들은 다음과 같은 문제점을 가지고 있다.
첫째, 조직에서 실제 적용이 가능한 자산 가치 산정 및 평가 방법이 제시되어 있지 않고, 구체적이고 일관성 있는 평가방법이 미비하다는 문제점이 있다.
둘째, 자산 가치를 산정하기 위한 평가요소는 기존 방법론에도 일부 기술되어 있지만, 평가기준에 대한 제시가 없는 문제점이 있다.
셋째, 위험분석에서 위험도 산정에 대한 수식은 정의되어 있으나, 객관성을 확보하기 위하여 자산 분석 및 평가의 수식 정립이 미비한 문제점이 있다.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 종래의 위험분석 방법론 및 프로세스가 각 프로세스를 상세한 태스크 정의, 평가기준 및 평가 방법이 제시되어 있지 않아서 실제 적용하기가 어려운 문제점을 개선하고, 자산 가치 평가, 자산분석, 자산 평가에 대한 정량적인 평가기준을 제시하여 효과적이고 객관적인 자산평가 방안을 제시하고자 하는 것이다.
본 발명의 다른 목적은 정보 자산을 객관적으로 식별하고 가치를 산정하기 위한 명확한 평가기준을 제시하고, 정보 자산 사이의 의존성을 고려하여 자산 가치를 평가하고, 국내 환경에 적용이 가능한 자산 가치 평가 및 자산분석을 위한 수식을 정립하여 객관성을 확보하는 것이다.
상기한 목적을 달성하기 위한 본 발명의 정보 자산 식별 및 평가 방법은, 조직의 핵심업무 지원을 위한 목록화된 정보 자산의 구성형태를 파악하는 자산 식별 단계와; 상기 정보 자산별 정량적인 평가기준을 통한 자산가치 산정을 수행하는 자산 가치 산정 단계와; 상기 자산 가치 산정 단계에서의 자산가치 산정 후, 정량화된 자산 평가결과를 통하여 주요자산의 우선 순위를 결정하고 목록화하는 자산 평가 수행 단계를 포함하는 것을 특징으로 한다.
상기 자산 가치 산정 단계는, 정보자산별 핵심업무 지원정도를 산정하는 단계와, 정보보호 요구사항 정도를 산정하는 단계와, 보안침해 가능성을 파악하는 단계를 더 포함하는 것을 특징으로 한다.
일실시예에서, 서버, 응용프로그램, 데이터 등의 정보자산 그룹별 특성에 따라서 정보보호 기본요소를 적용한다.
또한, 자산분석 및 평가를 위하여 자산 가치산정 단계에서 제시한 핵심업무 지원정도 및 정보보호 기본요소 등의 평가기준등급과 등급별 정의 및 평가점수를 산정하게 된다.
바람직하게, 상기 목록화된 정보 자산의 구성형태가 단독 구성인 경우에는, 상기 자산 가치 산정 단계에서 하기의 [식 1]에 따라서 자산 가치(
)를 산정하게 된다.
여기서, 
는 상기 핵심업무 지원도 분석부에서 파악된 정보 자산의 핵심업무 지원정도, 
는 상기 보안 요구사항 분석부에서 파악된 정보보호 요구사항 정도, 
는 상기 보안침해 가능성 분석부에서 파악된 보안침해 가능성, 
은 비밀성, 
은 무결성, 
은 가용성을 나타냄.
또한, 상기 목록화된 정보 자산의 구성형태가 동시 운용중인 구성인 경우에 는, 상기 자산 가치 산정 단계에서 하기의 [식 2]에 따라서 자산 가치(
)를 산정하게 된다.
여기서, 
는 서버의 핵심업무 지원정도, 
는 응용프로그램의 핵심업무 지원정도, 
는 데이터베이스의 핵심업무 지원정도, 
는 
, 
, 
정보보호 요구사항 정도의 최대값, 
는 서버의 정보보호 요구사항 정도, 
는 응용프로그램의 정보보호 요구사항 정도, 
는 정보보호 요구사항 정도, 
는 보안침해 가능성, 
은 비밀성, 
은 무결성, 
은 가용성을 나타낸다.
상기에서 기술한 바와 같이, 본 발명에 따르면 다음과 같은 효과가 제공된다.
첫째, 정량적인 평가기준을 이용한 자산가치 산정 및 평가방법을 제시하여 실제 위험분석에 적용가능하다.
둘째, 국내 환경을 반영한 실효성 있는 자산분석 및 평가과정을 구체적으로 제시하고 있다.
셋째, 자산분석을 통하여 위험분석 대상 정보자산 및 업무 범위를 효과적으로 결정 가능하다.
넷째, 주요 자산의 위협과 취약점을 선 제거하는 보호대책 제시가 가능하다.
다섯째, 위험분석 마지막 단계인 보호대책 수립 및 구현의 객관적인 기준자료로 활용가능하다.
이하, 본 발명의 정보 자산 식별 및 평가 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 2는 본 발명의 일실시예에 따른 정보 자산 평가 체계의 블럭 구성도로서, 자산 식별부(100)와, 자산 가치 산정부(110)와, 자산 평가 수행부(120)를 포함하여 구성된다.
자산 식별부(100)는 자산 분석을 위한 첫 번째 프로세스로서 조직의 핵심업무를 파악하고, 상기 핵심업무 지원을 위한 정보 자산 목록을 기술하며, 목록화된 정보 자산을 서버, 응용프로그램, 데이터와 하드웨어인 서버에 응용프로그램이나 데이터가 동시 운영 중인 구성형태인지 파악을 한다.
자산 가치 산정부(110)는 정보 자산별 정량적인 평가기준을 통한 자산가치 산정을 수행하는데, 정보 자산별 핵심업무 지원정도를 산정하는 핵심업무 지원도 분석부(112), 정보보호 요구사항 정도를 산정하는 보안 요구사항 분석부(114), 및 보안침해 가능성을 파악하는 보안침해 가능성 분석부(116)로 이루어진다.
일례로, 정보 자산이 단독 구성이 되어 있는 경우에는 [식 1]과 같이 자산 가치(
)를 산정한다.
여기서, 
는 핵심업무 지원도 분석부(112)에서 파악된 정보 자산의 핵심업무 지원정도, 
는 보안 요구사항 분석부(114)에서 파악된 정보보호 요구사항 정도, 
는 보안침해 가능성 분석부(116)에서 파악된 보안침해 가능성, 
은 비밀성, 
은 무결성, 
은 가용성을 나타낸다.
예를 들어,
에서 정보 자산이 서버일 경우는 
과 
의 값이 0이고, 응용프로그램일 경우는 
의 값이 0이다.
한편, 하나의 서버에 다수의 응용프로그램과 데이터베이스를 운영 중인 정보 자산의 경우는 [식 2]와 같이 자산 가치(
)를 산정한다.
여기서, 
는 서버의 핵심업무 지원정도, 
는 응용프로그램의 핵심업무 지원정도, 
는 데이터베이스의 핵심업무 지원정도, 
는 
, 
, 
정보보호 요구사항 정도의 최대값, 
는 서버의 정보보호 요구사항 정도, 
는 응용프로그램의 정보보호 요구사항 정도, 
는 정보보호 요구사항 정도, 
는 보안침해 가능성, 
은 비밀성, 
은 무결성, 
은 가용성을 나타낸다.
본 발명에서 정보 자산 분류그룹은 데이터, 응용프로그램 및 서버로 구성되고, 정보 자산별로 요구되어지는 정보보호 3대 기본요소 비밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 중요정도를 분석한다.
즉, 본 발명에 따른 평가기준은 조직 목표를 달성하기 위한 업무 정의 및 핵심정도(Criticality), 정보 자산에서 요구되는 정보보호 3대 요소인 비밀성, 무결성, 가용성의 정도를 파악하고, 정보 자산의 네트워크 연계 상태에 따른 기준 적용으로 보안 침해 가능성을 평가하여 조직에서 운영하는 주요 자산을 식별하고 있 다.
하기의 [표 1]은 정보 자산 분류방법과 정보보호 기본요소에 대한 정의로 데이터 자산은 조직의 업무 관련 정보나 자료로서 비밀성, 무결성, 가용성의 특징을 모두 가지고, 응용프로그램 자산은 무결성, 가용성의 특징을 가지며, 네트워크 장비, 서버, PC 등의 하드웨어로 구성된 서버자산은 가용성의 특징을 가진다.
[표 1] 정보 자산 분류 및 적용 보호요소 도표
데이터 자산은 민감도에 따라 [표 2]와 같이 정의하고, 각 등급마다 1, 5, 9점으로 점수를 산정한다. 데이터 민감도는 정보보호 3대 기본요소 중에 비밀성(Confidentiality)에 해당하는 특징이다.
[표 2] 데이터 민감도 도표
또한, 핵심업무에 대한 지원정도에 따라 [표 3]과 같이 정의하고, 각 등급마 다 1, 5, 9점으로 점수를 산정한다. 핵심업무 지원정도는 조직의 목표를 달성하기 위하여 운영하는 주요 정보자산을 식별하는 중요 평가요소로 사용할 수 있다.
[표 3] 핵심업무 지원정도 도표
| 평가점수 | 핵심업무 지원정도 |
| 1 | 조직의 지원업무를 위한 정보시스템 |
| 5 | 조직 목표를 달성하기 위하여 일부 필요한 업무를 수행하는 정보시스템 |
| 9 | 조직 목표를 달성하기 위하여 필수 업무를 수행하는 정보시스템 |
또한, 정보 자산에 요구되는 정보보호 3대 요소는 [표 4]와 같이 비밀성, 무결성, 가용성으로 정의되고, 등급마다 1, 5, 9점으로 평가점수를 산정한다. 평가점수 1은 해당 정보보호 기본요소가 구현이 안 되어서 보안 침해가 발생하더라도 조직에 적은 피해 영향을 주고, 평가점수 5는 해당 정보보호 기본요소가 구현이 안 되어서 보안 침해가 발생하면 조직에 일부 피해 영향을 준다. 가장 높은 점수인 9는 해당 정보보호 기본요소가 구현이 안 되어서 보안 침해가 발생하면 핵심 업무에 심각한 피해 영향을 준다.
[표 4] 자산에 요구되는 정보보호 3대 요소
한편, 정보 자산은 기본적으로 네트워크 연동체계에 따라서 보안침해 사고 가능성에 많은 영향을 미치므로, 본 발명에 따라서 주요 정보 자산 식별의 평가기준으로 보안침해 가능성을 [표 5]와 같이 정의한다.
보안침해 가능성을 네트워크 연동 형태 3가지로 분류하는데, 평가기준은 인터넷이나 타 시스템과 연동되어 있는 현황에 따라서 1, 5, 9점으로 평가한다.
[표 5] 네트워크 연결 현황에 따른 보안침해 가능성
| 평가점수 | 네트워크 연결 현황 |
| 1 | 타 시스템과 연결되어 있지 않음 |
| 5 | 인터넷과 간접적으로 연동되어 있고, 타 시스템과 연동되어 있음 |
| 9 | 인터넷 서비스를 하거나, 정보자산이 직접 인터넷에 연결되어 있음 |
최종적으로, 자산 평가 수행부(120)는 상기에서 제시된 정량적인 평가 기준들을 적용하고, 자산의 가치는 [식 1] 또는 [식 2]에 해당 값들을 대입하여 정량적으로 산정한 결과값을 우선 순위화하고 종합적인 자산평가를 수행한다.
따라서, 자산 평가 수행부(120)에서는 자산 가치 산정부(110)에서의 자산가치 산정 후, 정량화된 자산 평가결과를 통하여 주요자산의 우선 순위를 결정하고 목록화한다.
(실시예)
그러면, 상기와 같은 구성을 가지는 본 발명의 정보 자산 평가 방법에 대해 도 3을 참조하여 설명하기로 한다. 본 실시예에서는 조직의 주요 자산을 식별하기 위한 자산분석 및 평가방법을 모듈별 처리과정을 통하여 상세히 설명한다.
본 발명에 따라서 조직의 핵심 업무를 파악하는 과정을 수행하고, 파악한 핵심 업무를 지원하기 위한 정보 자산을 목록화하며, 조직의 핵심업무 지원을 위한 목록화된 정보 자산의 구성형태를 파악하는 자산 식별 단계를 수행한다(S100).
다음에, 단계(S100)에서 정보 자산별 정량적인 평가기준을 통한 자산가치 산정을 수행한다(S110).
자산 가치 산정 단계(S110)는 정보자산별 핵심업무 지원정도를 산정하는 단계(S112)와, 정보보호 요구사항 정도를 산정하는 단계(S114)와, 보안침해 가능성을 파악하는 단계(S116)를 포함하여 구성된다.
최종적으로, 자산 가치 산정단계(S110)에서의 자산가치 산정 후, 정량화된 자산 평가결과를 통하여 주요자산의 우선 순위를 결정하고 목록화하는 자산 평가 수행이 이루어진다(S120).
일례로, 자산 식별 단계(S100)에서 정보 자산의 구성형태를 분석한 결과, 도 4와 같이 하드웨어인 서버에 1개의 응용프로그램과 2개의 데이터베이스로 운영된다면 정량적인 평가는 앞서 언급한 [식 2]를 이용하여 계산된다.
표 3에 의하여, Bi는 서버가 5, 응용프로그램이 5, 데이터베이스가 9와 5 값으로 정의하면, 결과값은 가장 큰 값으로 정하기 때문에 9가 된다. 또한 도 5a와 5b에 의하여, 서버의 가용성이 5, 응용프로그램의 무결성이 1, 가용성이 5로 정의하면 5.099019의 결과에 내림을 취하면 6이 된다. 도 5c와 5d에 의하여 한 개의 데이터베이스는 비밀성이 1, 무결성이 9, 가용성이 5로 정의하고 10.344080의 결과에 내림을 취하여 10의 결과를 산정하고, 나머지 데이터베이스는 비밀성이 9, 무결성이 9, 가용성이 1로 정의하면 12.76719의 결과가 된다. 
의 값은 5, 5, 10, 12 중에서 가장 큰 숫자인 12가 되고, 최종적으로 MAX(5, 5, 9, 5)의 값인 9와 
의 값인 12를 곱하고, 
를 더하면 133 값을 계산할 수 있다.
본 발명의 실시예에 따라서 정보 자산을 가치 평가하여 우선 순위화하여 주요 자산을 식별하는 데 효용성이 있다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
도 1은 일반적인 위험분석 체계의 개략적인 구성을 도시한 도면,
도 2는 본 발명의 일실시예에 따른 정보 자산 평가 체계의 블럭 구성도,
도 3은 본 발명의 일실시예에 따른 정보 자산 식별 및 평가 방법을 설명하는 순서도,
도 4는 본 발명의 일실시예에 의한 정보 자산 예제를 나타내는 도면,
도 5a는 본 발명의 일실시예에 의한 서버의 정보보호 기본요소를 산정하는 도면,
도 5b는 본 발명의 일실시예에 의한 응용프로그램의 정보보호 기본요소를 산정하는 도면,
도 5c 내지 5d는 본 발명의 일실시예에 의한 데이터의 정보보호 기본요소를 산정하는 도면이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 자산 식별부 110 : 자산 가치 산정부
112 : 핵심업무 지원도 분석부 114 : 보안 요구사항 분석부
116 : 보안침해 가능성 분석부 120 : 자산 평가 수행부
Claims (6)
- 조직의 핵심업무 지원을 위한 목록화된 정보 자산의 구성형태를 파악하는 자산 식별 단계와;상기 정보 자산별 정량적인 평가기준을 통한 자산가치 산정을 수행하는 자산 가치 산정 단계와;상기 자산 가치 산정 단계에서의 자산가치 산정 후, 정량화된 자산 평가결과를 통하여 주요자산의 우선 순위를 결정하고 목록화하는 자산 평가 수행 단계를 포함하는 것을 특징으로 하는 정보 자산 식별 및 평가 방법.
- 제1항에 있어서,상기 자산 가치 산정 단계는,정보자산별 핵심업무 지원정도를 산정하는 단계와,정보보호 요구사항 정도를 산정하는 단계와,보안침해 가능성을 파악하는 단계를 더 포함하는 것을 특징으로 하는 정보 자산 식별 및 평가 방법.
- 제1항 또는 제2항에 있어서,서버, 응용프로그램, 데이터 등의 정보자산 그룹별 특성에 따라서 정보보호 기본요소를 적용하는 것을 특징으로 하는 정보 자산 식별 및 평가 방법.
- 제1항 또는 제2항에 있어서,자산분석 및 평가를 위하여 자산 가치산정 단계에서 제시한 핵심업무 지원정도 및 정보보호 기본요소 등의 평가기준등급과 등급별 정의 및 평가점수를 산정하는 것을 특징으로 하는 정보 자산 식별 및 평가 방법.
- 제1항 또는 제2항에 있어서,상기 목록화된 정보 자산의 구성형태가 단독 구성인 경우에는, 상기 자산 가치 산정 단계에서 하기의 [식 1]에 따라서 자산 가치()를 산정하는 것을 특징으로 하는 정보 자산 식별 및 방법.
=
------ [식 1]
=
여기서,는 상기 핵심업무 지원도 분석부에서 파악된 정보 자산의 핵심업무 지원정도,
는 상기 보안 요구사항 분석부에서 파악된 정보보호 요구사항 정도,
는 상기 보안침해 가능성 분석부에서 파악된 보안침해 가능성,
은 비밀성,
은 무결성,
은 가용성을 나타냄.
- 제1항 또는 제2항에 있어서,상기 목록화된 정보 자산의 구성형태가 동시 운용중인 구성인 경우에는, 상기 자산 가치 산정 단계에서 하기의 [식 2]에 따라서 자산 가치()를 산정하는 것을 특징으로 하는 정보 자산 식별 및 방법.
=
------ [식 2]
=
=
=
=
여기서,는 서버의 핵심업무 지원정도,
는 응용프로그램의 핵심업무 지원정도,
는 데이터베이스의 핵심업무 지원정도,
는
,
,
정보보호 요구사항 정도의 최대값,
는 서버의 정보보호 요구사항 정도,
는 응용프로그램의 정보보호 요구사항 정도,
는 정보보호 요구사항 정도,
는 보안침해 가능성,
은 비밀성,
은 무결성,
은 가용성을 나타냄.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20060116570 | 2006-11-23 | ||
| KR1020060116570 | 2006-11-23 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20090003034A true KR20090003034A (ko) | 2009-01-09 |
| KR100902116B1 KR100902116B1 (ko) | 2009-06-09 |
Family
ID=40485930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020070069229A KR100902116B1 (ko) | 2006-11-23 | 2007-07-10 | 정보 자산 식별 및 평가 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100902116B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9692779B2 (en) | 2013-03-26 | 2017-06-27 | Electronics And Telecommunications Research Institute | Device for quantifying vulnerability of system and method therefor |
| CN103971199B (zh) * | 2014-04-08 | 2017-09-05 | 武汉禾讯农业信息科技有限公司 | 一种大范围农作物长势的遥感评级方法 |
| CN114021972A (zh) * | 2021-11-04 | 2022-02-08 | 哈尔滨工业大学 | 基于网络拓扑的工业机器人系统设备资产价值评价方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020064639A (ko) * | 2001-02-02 | 2002-08-09 | 정창덕 | 사례 기반 추론과 구조적 위험 분석을 이용한 정보보안위험 분석 방법 |
| US20020199122A1 (en) | 2001-06-22 | 2002-12-26 | Davis Lauren B. | Computer security vulnerability analysis methodology |
| KR20040011863A (ko) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | 실시간 정보보안 위험관리 시스템 및 그 방법 |
| KR20040011858A (ko) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | 실시간 정보보안 위험분석 시스템 및 그 방법 |
-
2007
- 2007-07-10 KR KR1020070069229A patent/KR100902116B1/ko active IP Right Grant
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9692779B2 (en) | 2013-03-26 | 2017-06-27 | Electronics And Telecommunications Research Institute | Device for quantifying vulnerability of system and method therefor |
| CN103971199B (zh) * | 2014-04-08 | 2017-09-05 | 武汉禾讯农业信息科技有限公司 | 一种大范围农作物长势的遥感评级方法 |
| CN114021972A (zh) * | 2021-11-04 | 2022-02-08 | 哈尔滨工业大学 | 基于网络拓扑的工业机器人系统设备资产价值评价方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100902116B1 (ko) | 2009-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8539586B2 (en) | Method for evaluating system risk | |
| JP5071690B2 (ja) | リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム | |
| US9202183B2 (en) | Auditing system and method | |
| US6895383B2 (en) | Overall risk in a system | |
| KR100755000B1 (ko) | 보안 위험 관리 시스템 및 방법 | |
| KR20090037538A (ko) | 정보자산 모델링을 이용한 위험 평가 방법 | |
| US20090106843A1 (en) | Security risk evaluation method for effective threat management | |
| US11487882B2 (en) | Vulnerability influence evaluation system | |
| KR101292640B1 (ko) | 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법 | |
| CN113542279A (zh) | 一种网络安全风险评估方法、系统及装置 | |
| Bayuk et al. | Measuring systems security | |
| CN115314276B (zh) | 安全检查管理系统、方法及终端设备 | |
| CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
| KR100902116B1 (ko) | 정보 자산 식별 및 평가 방법 | |
| KR20180060616A (ko) | Rba기반 통합 취약점 진단 방법 | |
| KR102590081B1 (ko) | 보안 규제 준수 자동화 장치 | |
| US11575702B2 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| Mkpong-Ruffin et al. | Quantitative software security risk assessment model | |
| Ochoa et al. | Ransomware scenario oriented financial quantification model for the financial sector | |
| JP2002229946A (ja) | 脆弱性検査システム | |
| Singh et al. | Toward grading cybersecurity & resilience posture for cyber physical systems | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| KR20050093196A (ko) | 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템 | |
| KR20040062735A (ko) | 정보시스템 진단방법 | |
| Bobbert et al. | How Zero Trust as a Service (ZTaaS) Reduces the Cost of a Breach: A Conceptual Approach to Reduce the Cost of a Data Breach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130410 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20140326 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20160601 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20180605 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20190516 Year of fee payment: 11 |