KR20090011146A - 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법 - Google Patents

정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법 Download PDF

Info

Publication number
KR20090011146A
KR20090011146A KR1020070074450A KR20070074450A KR20090011146A KR 20090011146 A KR20090011146 A KR 20090011146A KR 1020070074450 A KR1020070074450 A KR 1020070074450A KR 20070074450 A KR20070074450 A KR 20070074450A KR 20090011146 A KR20090011146 A KR 20090011146A
Authority
KR
South Korea
Prior art keywords
risk
information
informatization
management
project
Prior art date
Application number
KR1020070074450A
Other languages
English (en)
Other versions
KR100923407B1 (ko
Inventor
양대철
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020070074450A priority Critical patent/KR100923407B1/ko
Publication of KR20090011146A publication Critical patent/KR20090011146A/ko
Application granted granted Critical
Publication of KR100923407B1 publication Critical patent/KR100923407B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals

Abstract

본 발명은 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법에 관한 것으로, 정보화 사업에서 발생되는 다양한 위험정보 데이터를 입력받기 위한 위험정보 입력모듈과, 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받기 위한 정보화 사업정보 입력모듈과, 각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받기 위한 위험식별내역 입력모듈과, 상기 위험정보, 사업정보 및 위험식별내역 입력모듈로부터 각각 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가하기 위한 위험평가모듈을 포함함으로써, 정보화 사업에서 발생되는 많은 위험요인을 효과적으로 식별할 수 있으며, 효율적으로 위험대응방안을 제공할 수 있도록 정보인프라를 구축할 수 있는 효과가 있다.
정보화 사업, 위험관리, 위험대응, 위험사례, 위험평가, 온톨로지

Description

정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법{SYSTEM AND METHOD FOR RISK MANAGEMENT AND ESTIMATION IN INFORMATION TECHNOLOGY PROJECT}
본 발명은 정보화 사업 환경에서의 위험 관리 및 평가 시스템과 그 방법에 관한 것으로, 보다 상세하게는 정보화 사업에서 발생되는 많은 위험요인을 효과적으로 식별하고, 효율적으로 대응할 수 있도록 정보인프라를 구축할 수 있는 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법에 관한 것이다.
일반적으로, 정보화(Information Technology, IT) 사업이란 각 기업 및 정부기관의 정보시스템 구축과 운영사업을 말한다. 현재 수백, 수천의 정보화 사업이 발생되고 있고 많은 정보화 사업의 실패로 기업과 정부는 치명적인 손실을 보고 있으며, 체계적인 위험관리기반이 구축되지 못한 채 급속한 정보화 사업의 발전으로 비슷한 유형의 위험요인이 반복 발생되어 수백, 수천억원의 경제적인 손실을 초래하고 있다.
한편, 종래 기술의 위험관리방법인 CMU/SEI-93-TR-6 "Taxonomy-Based Risk Identification"을 국내에 적용하기에는 위험분류방법(Taxonomy), 위험관리방법(Continuos Risk Management)이 국내 정보화 사업의 특징인 단 납기 사업, 요구사항관리 어려움, 및 문서화 작업 등 국내기업문화와 정서상의 괴리로 많은 수정 보완이 요구되어 이를 따르는 국내기업은 거의 없는 상태로 국내 정보화 사업 문화와 정서에 맞는 위험관리가 필요하게 되었다.
또한, 정보사회진흥원의 감리점검 프레임워크(Framework)인 "정보시스템 감리점검 Framework 2.0"의 경우 위험을 식별하는 데만 역점을 두고 위험관리 체계가 없다. 따라서, 기업의 자체적인 위험관리 방안으로 활용되기에는 미흡하여 참조 모델로만 활용될 수는 있으나 구체적인 적용을 위해 응용할 수 없다.
즉, 위험식별부터 위험정보공유, 위험대응방안수립, 전략적 위험평가, 위험대응결과축적 등을 구현할 수 있는 구체적인 위험관리 모델과 데이터베이스(DB) 스키마는 없다. 위험분류방법(Taxonomy)에 의한 위험분류보다는 관점에 의한 위험분류가 보다 직관적으로 인간이 이해하기 용이하며 다양한 유형의 위험분류와 효율적인 검색이 가능하다.
한편, 정보화 사업에서 발생되는 다양한 위험요인을 사람이 일일이 식별하고 판단하며 대응하기에는 제한된 정보자원으로는 불가능하다. 상기 정보자원이란 정보화 사업을 진행하기 위하여 필요한 시간, 비용, 사람, 하드웨어(H/W), 소프트웨어(S/W), 방법론, 절차, 및 규정 등으로 매우 포괄적이다.
이러한 정보화 사업의 위험요인으로는 시스템 장애, 정보유출, 인력이탈, 비용초과, 시스템 성능저하, 일정지연, 요구사항 구현불능, 기술적인 제약, 국제적인 컴플라이언스(Compliance) 등이 위험요인이 될 수 있다.
또한, 정보화 사업에서 시기 적절한 위험대응을 하지 못한다면 기업은 치명적인 손실을 초래할 수 있고 국가 정보화 사업의 경우 행정업무중지, 국방문제 등 국가 기간망 혼란으로 중대한 문제가 발생될 수 있고 실제 다수 발생되고 있는 것이 현실이다.
따라서, 정보화 사업은 매우 광범위한 영역에서 발생되는 많은 위험요인을 체계적인 정보관리와 분석기법으로 정량적인 위험평가와 효과적인 대응방안 제시가 불가피하다. 그러나, 현실적으로 광범위한 영역에서 발생되는 다양한 유형의 위험요인을 관리할 수 있는 엔지니어링 기반의 분석체계가 미흡하여 사람의 경험과 직관적인 판단으로 위험관리가 이루어져 그 효과성이 매우 미미하다.
이에 따라 정보화 사업에서 지능화 된 위험관리 모델을 구축한다면 자동화된 위험평가와 최적의 대응방안을 제시하여 성공적인 정보화 사업의 기반을 마련할 수 있는 툴(tool)로써 활용될 것이다.
또한, 비슷한 유형의 사업정보와 위험정보를 체계적인 관리방안으로 구축하여 수집한다면 향후 발생될 수 있는 유사한 위험요인들은 사전에 식별하여 대응할 수 있으며, 현재 진행 중인 위험요인은 축적된 해결사례를 제시하여 효과적인 대응방안을 제시할 수 있으면 제한된 정보자원에서 자동화된 위험평가로 위험대응방안 수립을 효율적으로 할 수 있을 것이다.
본 발명은 전술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 체계적인 위험관리 분류체계를 통해 데이터베이스를 모델링하고 모델링된 데이터베이스를 기반으로 위험평가, 대응방안제시, 및 위험정보축적 등을 관리함으로써, 정보화 사업에 발생되는 많은 위험요인을 효과적으로 식별하고, 효율적으로 대응할 수 있는 정보인프라를 구축할 수 있도록 한 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법을 제공하는데 있다.
또한, 본 발명의 다른 목적은, 위험식별과 위험대응, 위험대응과 정보축적을 하나의 흐름으로 관리하여 고품질의 정보가 축적되고 정보 그 자체가 자산화 되어 재활용되는 폐루프 시스템(Closed Loop System)을 구축함으로써, 체계화된 데이터베이스에 일정기간 위험관리 정보사례가 축적되거나 각 기업간 표준화된 정보체계를 통하여 정보를 공유하게 될 경우 많은 위험요인에 대해 제한된 정보자원으로 효과적인 대응이 가능한 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법을 제공하는데 있다.
전술한 목적을 달성하기 위하여 본 발명의 제1 측면은, 정보화 사업에서 발생되는 다양한 위험정보 데이터를 입력받기 위한 위험정보 입력모듈; 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받기 위한 정보화 사업정보 입력모듈; 각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받기 위한 위험식별내역 입력모듈; 및 상기 위험정보, 사업정보 및 위험식별내역 입력모듈로부터 각각 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가하기 위한 위험평가모듈을 포함하는 정보화 사업에서의 위험 관리 및 평가 시스템을 제공하는 것이다.
여기서, 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB; 및 상기 위험사례 DB와 연동되어 상기 위험평가모듈에 의한 정량적인 위험평가결과에 따라 온톨로지 기반의 시맨틱(Semantic) 검색방법을 이용하여 유사한 위험사례들을 탐색하며, 상기 탐색된 유사한 위험사례들에 대해 우선 순위를 부여하는 위험대응방안 탐색모듈이 더 포함됨이 바람직하다.
바람직하게, 상기 위험대응방안 탐색모듈로부터 우선 순위 부여된 유사한 위험사례들의 대응방안과 함께 해당 위험에 대한 평가결과 데이터를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 위험평가결과 DB가 더 포함된다.
바람직하게, 상기 위험평가결과 DB는, 각 위험에 대한 평가 결과에 따라 위험점수, 대응등급, 긴급도, 대응비용, 위험제목, 및 위험대응방안의 정보가 테이블 형태로 이루어진다.
바람직하게, 상기 위험평가결과 DB에 저장된 위험에 대한 평가결과 데이터 및 대응방안을 사업 담당자가 각 위험에 용이하게 대응할 수 있도록 디스플레이 함 과 아울러 보고서 형태로 출력하기 위한 위험대응전략 제시모듈이 더 포함된다.
바람직하게, 상기 위험대응전략 제시모듈로부터 제시된 위험에 대한 대응방안의 처리결과 및 대응과정을 정리하여 이를 디스플레이 하거나 관리하기 위한 위험대응결과 관리모듈이 더 포함된다.
바람직하게, 상기 위험대응결과 관리모듈로부터 정리된 위험에 대한 대응방안의 처리결과 및 대응과정을 주기적으로 제공받아 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB에 체계적인 구조로 축적되도록 전달하기 위한 위험사례축적 관리모듈이 더 포함된다.
바람직하게, 상기 온톨로지 기반의 시맨틱(Semantic) 검색방법은 위험을 바라보는 시각, 위험의 대상, 및 위험이 발생되는 시점으로 식별된 위험을 분류 및 세분화한다.
바람직하게, 상기 위험을 바라보는 시각은, 경영자, 관리자, 및 엔지니어로 분류되며, 다시 의사결정자, 지원부서, 영업담당자, 프로젝트 매니저, 품질담당자, DB 관리자, 시스템 설계자, 및 개발자로 세분화된다.
바람직하게, 상기 위험의 대상은, 자원, 절차, 및 대상으로 분류되며, 다시 재료, 사람, 절차, 방법론, 규정, 법률, 산출물, 시스템, 하드웨어(H/W), 및 소프트웨어(S/W)로 세분화된다.
바람직하게, 상기 위험이 발생되는 시점은, 영업단계, 개발단계, 및 구현단계로 분류되며, 다시 사전영업단계, 제안단계, 계약단계, 착수단계, 분석단계, 설 계단계, 구현단계, 종료단계, 및 운영단계로 세분화된다.
바람직하게, 상기 개발단계는, ISO12207기반으로 프로세스 정의, 시스템 요구분석, 시스템 아키텍쳐 설계, 소프트웨어 요구분석, 소프트웨어 아키텍쳐 정의, 소프트웨어 상세설계, 소프트웨어 구현, 소프트웨어 통합, 소프트웨어 테스트, 시스템 통합, 시스템 테스트, 소프트웨어 설치, 소프트웨어 인수지원으로 구분하여 관리된다.
바람직하게, 상기 위험정보 입력모듈로부터 다양한 위험정보 데이터를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 위험정보 DB가 더 포함된다.
바람직하게, 상기 위험정보 DB는, 위험관리 기본점검, 위험관리 상세점검, 위험관리 대상기준, 위험관리 대상, 위험관리 단계시점, 위험관리 단계, 위험관리 관점, 위험관리 활동, 위험관리 영역, 위험개선권고유형, 및 위험중요도의 위험정보들이 테이블형태로 이루어진다.
바람직하게, 상기 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보는 전사적자원관리(Enterprise Resource Planning, ERP) 시스템으로부터 주기적으로 제공받는다.
바람직하게, 상기 정보화 사업정보 입력모듈로부터 다양한 정보화 사업정보를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 정보화 사업 DB가 더 포함된다.
바람직하게, 상기 위험식별내역 입력모듈로부터 다양한 위험식별내역 데이터를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 위험진행정보 DB가 더 포 함된다.
바람직하게, 상기 위험진행정보 DB는, 위험현황 및 문제점, 위험영향력 크기, 위험발생 가능성, 위험 긴급도의 정보가 테이블 형태로 이루어진다.
바람직하게, 상기 위험평가모듈에서의 위험에 대한 평가는, 정보화 사업유형 평가, 위험대상 평가, 위험유형 분석, 영향력 분석, 완화계획 분석, 발생가능수준 분석, 시급성 분석, 또는 완료가능성 분석 중 적어도 하나로 이루어진다.
본 발명의 제2 측면은, 위험정보 입력모듈, 정보화 사업정보 입력모듈, 위험식별내역 입력모듈, 및 위험평가모듈을 포함한 정보화 사업 환경에서의 위험관리 평가시스템을 이용한 위험관리 평가방법으로서, (a) 상기 위험정보 입력모듈을 통해 정보화 사업에서 발생되는 다양한 위험정보 데이터를 입력받는 단계; (b) 상기 정보화 사업정보 입력모듈을 통해 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받는 단계; (c) 상기 위험식별내역 입력모듈을 통해 각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받는 단계; 및 (d) 상기 위험평가모듈을 통해 상기 단계(a) 내지 단계(c)에서 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가하는 단계를 포함하는 정보화 사업 환경에서의 위험 관리 및 평가방법을 제공하는 것이다.
여기서, 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터들을 온톨로지(Ontology) 기반으로 데이터베이스화하여 저장 및 관리하는 단 계; 및 상기 단계(d)에서의 정량적인 위험평가결과에 따라 온톨로지 기반의 시맨틱(Semantic) 검색방법을 이용하여 상기 저장된 위험사례 데이터들 중에서 유사한 위험사례들을 탐색하며, 상기 탐색된 유사한 위험사례들에 대해 우선 순위를 부여하는 단계를 더 포함함이 바람직하다.
바람직하게, 상기 우선 순위 부여된 유사한 위험사례들의 대응방안과 함께 해당 위험에 대한 평가결과 데이터를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함한다.
바람직하게, 상기 저장된 위험에 대한 평가결과 데이터 및 대응방안을 사업 담당자가 각 위험에 용이하게 대응할 수 있도록 디스플레이 함과 아울러 보고서 형태로 출력하는 단계를 더 포함한다.
바람직하게, 상기 위험에 대한 대응방안의 처리결과 및 대응과정을 정리하여 이를 디스플레이 하거나 관리하는 단계를 더 포함한다.
바람직하게, 상기 정리된 위험에 대한 대응방안의 처리결과 및 대응과정을 주기적으로 제공받아 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB에 체계적인 구조로 축적되도록 전달하는 단계를 더 포함한다.
바람직하게, 상기 온톨로지 기반의 시맨틱(Semantic) 검색방법은 위험을 바라보는 시각, 위험의 대상, 및 위험이 발생되는 시점으로 식별된 위험을 분류 및 세분화한다.
바람직하게, 상기 위험을 바라보는 시각은, 경영자, 관리자, 및 엔지니어로 분류하며, 다시 의사결정자, 지원부서, 영업담당자, 프로젝트 매니저, 품질담당자, DB 관리자, 시스템 설계자, 및 개발자로 세분화한다.
바람직하게, 상기 위험의 대상은, 자원, 절차, 및 대상으로 분류하며, 다시 재료, 사람, 절차, 방법론, 규정, 법률, 산출물, 시스템, 하드웨어(H/W), 및 소프트웨어(S/W)로 세분화한다.
바람직하게, 상기 위험이 발생되는 시점은, 영업단계, 개발단계, 및 구현단계로 분류하며, 다시 사전영업단계, 제안단계, 계약단계, 착수단계, 분석단계, 설계단계, 구현단계, 종료단계, 및 운영단계로 세분화한다.
바람직하게, 상기 위험정보 입력모듈로부터 입력된 다양한 위험정보 데이터를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함한다.
바람직하게, 상기 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보는 전사적자원관리(Enterprise Resource Planning, ERP) 시스템으로부터 주기적으로 제공받는다.
바람직하게, 상기 정보화 사업정보 입력모듈로부터 입력된 다양한 정보화 사업정보를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함한다.
바람직하게, 상기 위험식별내역 입력모듈로부터 입력된 다양한 위험식별내역 데이터를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함한다.
바람직하게, 상기 위험평가모듈에서의 위험에 대한 평가는, 정보화 사업유형 평가, 위험대상 평가, 위험유형 분석, 영향력 분석, 완화계획 분석, 발생가능수준 분석, 시급성 분석, 또는 완료가능성 분석 중 적어도 하나를 수행한다.
본 발명의 제3 측면은, 상술한 정보화 사업에서의 위험 관리 및 평가방법을 실행시키기 위한 프로그램을 기록한 기록매체를 제공한다.
이상에서 설명한 바와 같은 본 발명의 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법에 따르면, 정보화 사업을 수행하는 사람들에게 효과적인 위험관리를 할 수 있도록 인프라를 제공하여, 효과적이고 효율적인 위험식별, 체계적인 위험내용의 축적으로 향후 재활용하여 위험관리 생산성 제고, 위험대응 시 기존 위험사례를 자동 분석하여 최적의 위험해결방안 제시로 비용대비 효과적인 위험대응방안 제시가 가능한 이점이 있다.
또한, 본 발명에 따르면, 각 정보화 사업을 수행하는 기업, 정부기관간에 표준화된 위험관리 체계와 데이터베이스를 공유하여 지식자산의 가치를 극대화할 수 있는 기반을 제공할 수 있으며, 표준화된 데이터베이스를 기반으로 위험평가 기법을 각 기업간 독립적으로 운용할 수 있는 유연성을 제공하여 각 기업의 최적 위험대응전략 수립이 가능한 이점이 있다.
이하, 첨부 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다. 그러나, 다음에 예시하는 본 발명의 실시예는 여러 가지 다른 형태로 변형될 수 있으 며, 본 발명의 범위가 다음에 상술하는 실시예에 한정되는 것은 아니다. 본 발명의 실시예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공되어지는 것이다.
도 1은 본 발명의 일 실시예에 따른 정보화 사업에서의 위험 관리 및 평가 시스템을 설명하기 위한 전체적인 블록 구성도이고, 도 2는 본 발명의 일 실시예에 적용된 위험정보 DB의 구조를 설명하기 위한 도면이고, 도 3은 본 발명의 일 실시예에 적용된 정보화 사업 DB의 구조를 설명하기 위한 도면이고, 도 4는 본 발명의 일 실시예에 적용된 위험진행정보 DB의 구조를 설명하기 위한 도면이며, 도 5는 본 발명의 일 실시예에 적용된 위험관리 대상을 국제표준에 따른 분류유형으로 나타낸 도면이며, 도 6은 본 발명의 일 실시예에 적용된 위험사례 DB의 구조를 설명하기 위한 도면이며, 도 7 및 도 8은 본 발명의 일 실시예에 적용된 위험평가결과 DB의 구조를 설명하기 위한 도면이다.
도 1 내지 도 8을 참조하면, 본 발명의 일 실시예에 따른 정보화(Information Technology, IT) 사업 환경에서의 위험 관리 및 평가 시스템은, 크게 위험정보 입력모듈(100), 정보화 사업정보 입력모듈(200), 위험식별내역 입력모듈(300), 및 위험평가모듈(400)을 포함하여 이루어진다.
여기서, 위험정보 입력모듈(100)은 정보화 사업에서 발생되는 위험평가를 위한 기초데이터인 다양한 위험정보 데이터를 입력받는 기능을 수행한다.
또한, 위험정보 입력모듈(100)로부터 입력된 다양한 위험정보 데이터를 제공받아 이를 데이터베이스(Database, DB)화하여 저장 및 관리하는 위험정보 DB(150) 가 더 포함될 수 있다.
또한, 위험정보 입력모듈(100)은 위험정보 DB(150)와 연동되어 다양한 위험정보 데이터의 조회 및 수정을 원활히 수행하도록 구현할 수 있다.
즉, 위험정보 DB(150)는 위험평가를 위한 핵심엔진에 해당되는 영역으로 위험을 분석하는 기본골격인 프레임워크(Framework)를 구성한다.
한편, 위험정보 DB(150)에는 도 2에 도시된 바와 같이, 위험관리 기본점검, 위험관리 상세점검, 위험관리 대상기준, 위험관리 대상, 위험관리 단계시점, 위험관리 단계, 위험관리 관점, 위험관리 활동, 위험관리 영역, 위험개선권고유형, 및 위험중요도 등의 다양한 위험정보들이 저장 및 관리될 수 있다.
정보화 사업정보 입력모듈(200)은 정보화 사업의 위험요인을 분석하기 위한 기초자료로 활용되는 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받는 기능을 수행한다.
또한, 도 3에 도시된 바와 같이, 정보화 사업정보 입력모듈(200)로부터 입력된 다양한 정보화 사업정보를 데이터베이스(DB)화하여 저장 및 관리하는 정보화 사업 DB(250)가 더 포함될 수 있다.
또한, 정보화 사업정보 입력모듈(200)은 정보화 사업 DB(250)와 연동되어 다양한 정보화 사업정보 데이터의 조회 및 수정을 원활히 수행하도록 구현할 수 있다.
한편, 상기 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보는 예컨대, 전사적자원관리(Enterprise Resource Planning, ERP) 시스템으로부터 주기 적으로 제공받아 입력 및 갱신함이 바람직하다. 자동 전송 받는 주요 데이터 항목으로는 사업유형 위험평가에 필요한 사업기간, 인건비, 사업비 등이 있다.
위험식별내역 입력모듈(300)은 사업현장이나 위험관리 담당자가 위험을 식별하고 식별된 현황 즉, 각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받는 기능을 수행한다.
또한, 위험식별내역 입력모듈(300)로부터 입력된 다양한 위험식별내역 데이터를 데이터베이스(DB)화하여 저장 및 관리하는 위험진행정보 DB(350)가 더 포함될 수 있다.
또한, 위험식별내역 입력모듈(300)은 위험진행정보 DB(350)와 연동되어 위험식별내역 데이터인 위험식별의 기본점검항목 및 상세점검항목 등의 조회 및 수정을 원활히 수행하도록 구현할 수 있다.
한편, 위험진행정보 DB(350)에는 도 4에 도시된 바와 같이, 예컨대, 위험현황 및 문제점, 위험영향력 크기, 위험발생 가능성, 위험 긴급도 등의 위험진행 정보들이 저장 및 관리될 수 있다.
위험평가모듈(400)은 위험정보 입력모듈(100), 정보화 사업정보 입력모듈(200) 및 위험식별내역 입력모듈(300)로부터 각각 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 제공받아 위험평가 절차에 따라 자동적으로 계산되어 위험에 대한 정략적인 분석결과를 제시한다.
즉, 위험평가모듈(400)은 위험정보 DB(150), 정보화 사업 DB(250), 및 위험진행정보 DB(350)와 연동되어 상기 위험정보, 정보화 사업정보 및 위험식별내역 데 이터 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가하는 기능을 수행한다.
또한, 위험평가모듈(400)에서의 위험에 대한 평가는 예컨대, 정보화 사업유형 평가, 위험대상 평가, 위험유형 분석, 영향력 분석, 완화계획 분석, 발생가능수준 분석, 시급성 분석, 또는 완료가능성 분석 중 적어도 하나로 이루어질 수 있다.
여기서, 상기 정보화 사업유형 평가는 정보화 사업 DB(250)에서 제공하는 사업유형정의에 따라 위험의 영향력, 위험수준, 발생빈도, 발생원인에 따라 위험평가를 하게 된다. 즉, 사업의 규모, 사업의 특성, 사업수행경험, 유사사업수준에 따라 위험평가점수의 가감하게 된다.
상기 위험대상 평가는 위험의 대상이 어느 부분에서 발생되는지를 평가하게 된다. 즉, 사업절차, 규범, 법률, 방법론, 하드웨어(H/W), 소프트웨어(S/W), 사람, 환경 등 위험의 대상구분에 따라 위험평가결과는 달라진다. 환경에 의한 요인, 사업내부요인, 사람, 재료 등에 따라 위험대응 방안 및 위험점수는 달라진다.
한편, 위험관리 대상을 도 5에 도시된 바와 같이, 국제표준에 따른 분류유형으로 나타낼 수 있다.
상기 위험유형분석은 발생된 위험이 어느 영역에 영향을 미치는 가를 판단한다. 즉, 납기, 원가, 인력, 제약조건, 및 기회손실 등 위험이 어느 부분에서 영향을 받는지를 평가한다. 영향을 받는 부분에 대한 분석에 따라 대응전략이 결정된다.
상기 완화계획분석은 위험평가결과에 많은 영향을 미치지는 않지만 정략분 석, 탐색결과 비교 등에 활용되어 위험대응방안 추천 시 비교되어 검색 정확도를 높일 수 있다.
상기 발생가능수준 분석은 위험에 대한 대응조치를 취하지 않았을 경우 발생 가능성을 의미하며 대응방안검색결과 추천과 위험평가 점수산정 시 주요한 영향을 미친다. 그러나, 대응방안 검색 시 추천사례와 비교하여 현격한 차이가 발생할 경우 추출로직의 판단을 우선으로 적용하며 재조정 가능하다.
또한, 상기 발생가능성은 예컨대, 매우 높음(90%), 높음(70%), 보통(50%), 낮음(30%), 및 매우 낮음(10%)으로 등급화 하는 것이 간단할 수 있으나, 위험관리 수준에 따라 등급을 더 세분화하여 관리 가능하다.
상기 시급성 분석은 위험에 대응하기 위한 최소한의 종료기한이며 위험대응 우선순위, 위험평가점수에 절대적인 영향을 미친다. 예컨대, 즉시처리, 1주내 처리, 1개월 내 처리 등이 입력될 수 있으며 처리기한을 초과할 경우 위험대응은 무의미하여 위험이 문제로 전이되어 위험대응이 아닌 문제해결단계로 전환하게 된다. 또한, 시급성의 단위는 예컨대, 일, 주, 월 등 다양할 수 있으나 일 단위로 표준화하는 것이 데이터 호환성측면에서 유리하다.
상기 완료가능성 분석은 위험에 대응하였을 경우 해결가능 수준을 의미한다. 위험에 대응한다고 하여도 모든 위험이 해소되는 것이 아니라 영향력, 가능성이 줄어들기 때문에 완화된 수준을 평가하여 향후 대응조치 우선순위에 영향을 미친다. 즉, 위험에 대응책을 제시하여도 효과나 영향력이 미미할 경우 위험대응점수는 낮아지게 된다.
추가적으로, 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB(500)와, 위험사례 DB(500)와 연동되어 위험평가모듈(400)에 의한 정량적인 위험평가결과에 따라 온톨로지 기반의 시맨틱(Semantic) 검색방법을 이용하여 유사한 위험사례들을 탐색하며, 상기 탐색된 유사한 위험사례들에 대해 우선 순위를 부여하는 위험대응방안 탐색모듈(550)이 더 포함될 수 있다.
즉, 위험대응방안 탐색모듈(550)은 위험평가모듈(400)에 의해 모든 위험에 대한 평가점수가 산출되고, 각각에 대해 대응전략을 수립하는 기능을 수행한다.
여기서, 상기 온톨로지 기반의 시맨틱(Semantic) 검색방법은 본 발명의 핵심추출로직이며, 상기 추출로직은 데이터베이스 구조에 따라 설계 및 개발된다. 또한, 상기 온톨로지 기반의 시맨틱(Semantic) 검색방법은 식별된 위험을 3가지 관점에서 분석한다. 즉, 위험을 바라보는 시각, 위험의 대상, 위험이 발생되는 시점으로 분류하여 각 관점에 따라 조합이 이루어진다.
상기 위험을 바라보는 시각은 예컨대, 경영자, 관리자, 및 엔지니어로 구분되고, 다시 의사결정자, 지원부서, 영업담당자, 프로젝트 매니저(Project Manager, PM), 품질담당자, DB 관리자(Database Administrator, DBA), 시스템 설계자(System Architect, SA), 및 개발자 등의 계층구조로 세분화될 수 있다.
상기 위험의 대상은 예컨대, 자원, 절차, 및 대상으로 구분되고, 다시 재료, 사람, 절차, 방법론, 규정, 법률, 산출물, 시스템, 하드웨어(H/W), 및 소프트웨어(S/W) 등 계층적으로 분류될 수 있다.
상기 위험이 발생되는 시점은 예컨대, 영업단계, 개발단계, 및 구현단계로 구분되며, 다시 사전영업단계, 제안단계, 계약단계, 착수단계, 분석단계, 설계단계, 구현단계, 종료단계, 및 운영단계로 세분화될 수 있다.
따라서, 위험이 식별되면 위험은 3가지 방법으로 분류되고 세분화된다. 즉, 기존에 축적된 위험과 신규 위험이 동일한 분류로 관리되면 어떤 위험이라도 유사성 검증이 가능하다. 또한, 분류기법 외에 태그(Tag)정보, 위험영역정보 등의 속성을 추가하여 다양한 방법으로 검색이 가능하고 분류의 정확성을 높일 수 있다.
상기 개발단계는 ISO 12207기반으로 프로세스 정의(Process Implementation), 시스템 요구 분석(System Requirements Analysis), 시스템 아키텍쳐 설계(System Architectural Design), 소프트웨어 요구분석(Software Requirements Analysis), 소프트웨어 아키텍쳐 정의(Software Architectural Design), 소프트웨어 상세 설계(Software Detailed Design), 소프트웨어 구현(Software Coding and Testing), 소프트웨어 통합(Software Integration), 소프트웨어 테스트(Software Qualification Testing), 시스템 통합(System Integration),시스템 테스트(System Qualification Testing), 소프트웨어 설치(Software Installation), 소프트웨어 인수지원(Software Acceptance Support) 등으로 구분하여 관리할 수 있다.
한편, 위험사례 DB(500)에는 도 6에 도시된 바와 같이, 위험사례에 필요한 정보들이 저장 및 관리될 수 있다.
더욱이, 위험대응방안 탐색모듈(550)로부터 우선 순위 부여된 유사한 위험사 례들의 대응방안과 함께 위험평가모듈(400)로부터 출력된 해당 위험에 대한 평가결과 데이터를 데이터베이스(DB)화하여 저장 및 관리하는 위험평가결과 DB(600)가 더 포함될 수 있다.
이러한 위험평가결과 DB(600)는 도 7 및 도 8에 도시된 바와 같이, 각 위험에 대한 평가 결과에 따라 위험점수, 대응등급, 긴급도, 대응비용, 위험제목, 및 위험대응방안 등의 정보가 테이블 형태로 이루어짐이 바람직하다.
여기서, 위험평가 결과에 따라 위험점수가 부여되고, 상기 위험점수에 따라 대응등급의 수준을 제시할 수 있도록 등급화하였다.
상기 대응등급의 수준을 각 기업별 목적에 맞도록 조정이 가능하며 예시로 S급, A급, B급 등으로 구분하여 전사대응, 임원급대응, 부서장급 대응 등으로 분류하여 커스터마이징(Customizing)할 수 있다. 또한, 위험관리 수준과 대응조직에 따라 대응등급은 더 세분화할 수 있다. 이러한 대응등급은 위험평가 시 계산상의 오류허용 범위를 줄여 주는 효과가 있으므로 위험점수를 그대로 사용하는 것 보다 등급화하여 사용하는 것이 보다 합리적이다.
상기 대응비용(완화비용)은 위험진행정보에 입력된 대응비용을 고려하여 기존 사례를 검색하여 최적의 대응비용을 제시한다. 이러한 대응비용은 위험의 점수와 검색된 사례 등을 참조하여 조정할 수 있다.
상기 위험제목은 등록된 위험내역이며, 상기 위험대응방안은 위험사례를 검색하여 최적의 방안을 조합하여 추천한 결과이다. 상기 최적의 방안은 컴퓨터 계산에 의해 제공된 내용으로 실제 활용 시에는 수정, 보완하여 위험대응을 하고 그 결 과를 위험사례 DB(500)에 축적하면 향후 사례 검색 시 활용정도에 따라 재 추천될 확률이 높아지게 된다.
따라서, 현실에 가장 근접한 대응방안이 재활용되며 기업간 정보공유, 시간경과에 따른 정보축적 정도에 따라 정확도는 높아지게 되어 비용대비 효율적인 위험관리가 가능해진다. 위험사례는 활용정도에 따라 정보가치가 부여되며 축적된 정보는 기업의 중요 무형자산으로 평가되어진다.
바람직하게는, 위험평가결과 DB(600)에 저장된 위험에 대한 평가결과 데이터 및 대응방안을 사업 담당자가 각 위험에 용이하게 대응할 수 있도록 통상의 디스플레이 장치(예컨대, PC, PDA 등)(미도시)의 화면을 통해 디스플레이 함과 아울러 보고서 형태로 출력하기 위한 위험대응전략 제시모듈(700)이 더 포함될 수 있다.
또한, 위험대응전략 제시모듈(700)로부터 제시된 위험에 대한 대응방안의 처리결과 및 대응과정을 정리하여 통상의 디스플레이 장치의 화면에 디스플레이 하거나 관리하기 위한 위험대응결과 관리모듈(800)이 더 포함될 수 있다.
또한, 위험대응결과 관리모듈(800)로부터 정리된 위험에 대한 대응방안의 처리결과 및 대응과정을 주기적으로 제공받아 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB(500)에 체계적인 구조로 축적하여 향후 위험대응방안 탐색 시 재활용되도록 전달하기 위한 위험사례축적 관리모듈(900)이 더 포함될 수 있다.
따라서, 전체적으로 위험사안에 대하여 폐루프(Closed Loop) 순환방식으로 정보가 재활용되면서 정확도와 향상되어 위험대응방안 탐색결과에 대한 품질이 높 아지게 된다.
한편, 전술한 바와 같이 구성된 다양한 데이터베이스(DB) 즉, 위험정보 DB(150), 정보화 사업 DB(250), 위험진행정보 DB(350), 위험사례 DB(500), 및 위험평가결과 DB(600)는 위험평가와 대응방안 검색 및 추천을 효율적으로 제공할 수 있는 구조로 설계됨이 바람직하다. 또한, 처리결과를 축적하여 재활용할 수 있는 데이터 구조로 부서간, 기업간 정보활용결과와 사례를 상호 공유할 수 있도록 정보관리 체계를 표준화하여 생산성과 효율성을 도모할 수 있다.
상기와 같이 구성된 본 발명에 따른 정보화 사업 환경에서의 위험관리 평가시스템은, 표준화된 위험관리에 관련된 데이터베이스(DB)를 통하여 각 기업간 위험관리 지식과 경험을 효과적으로 공유할 수 있는 정보인프라를 제공할 수 있으며, 특히 연구단체 및 각 기업들은 위험관리에 대하여 경험기반이 아닌 엔지니어링 기반의 접근으로 위험관리에 대한 비용과 효과를 측정하여 향후 보다 지능적이고 지속적인 자가 발전의 토대를 마련할 수 있다.
도 9는 본 발명의 일 실시예에 따른 정보화 사업에서의 위험 관리 및 평가방법을 설명하기 위한 전체적인 흐름도이다.
도 1 및 도 9를 참조하면, 먼저, 위험정보 입력모듈(100)을 통해 정보화 사업에서 발생되는 다양한 위험정보 데이터를 입력받고(S100), 정보화 사업정보 입력모듈(200)을 통해 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받으며(S200), 위험식별내역 입력모듈(300)을 통해 각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받는다(S300).
그런 다음, 위험평가모듈(400)을 통해 상기 단계S100 내지 단계S300에서 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가한다(S400).
추가적으로, 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터들을 온톨로지(Ontology) 기반으로 데이터베이스화하여 위험사례 DB(500)에 저장 및 관리하며, 상기 단계S400에서의 정량적인 위험평가결과에 따라 온톨로지 기반의 시맨틱(Semantic) 검색방법을 이용하여 위험사례 DB(500)에 저장된 위험사례 데이터들 중에서 유사한 위험사례들을 탐색하며, 상기 탐색된 유사한 위험사례들에 대해 우선 순위를 부여하는 과정을 더 포함할 수 있다.
또한, 상기 우선 순위 부여된 유사한 위험사례들의 대응방안과 함께 해당 위험에 대한 평가결과 데이터를 위험평가결과 DB(600)에 데이터베이스화하여 저장 및 관리하는 과정을 더 포함할 수 있다.
또한, 위험대응전략 제시모듈(700)을 통해 위험평가결과 DB(600)에 저장된 위험에 대한 평가결과 데이터 및 대응방안을 사업 담당자가 각 위험에 용이하게 대응할 수 있도록 디스플레이 함과 아울러 보고서 형태로 출력하는 과정을 더 포함할 수 있다.
또한, 위험대응결과 관리모듈(800)을 통해 상기 위험에 대한 대응방안의 처리결과 및 대응과정을 정리하여 이를 디스플레이 하거나 관리하는 과정을 더 포함 할 수 있다.
또한, 위험사례축적 관리모듈(900)을 통해 상기 정리된 위험에 대한 대응방안의 처리결과 및 대응과정을 주기적으로 제공받아 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB(500)에 체계적인 구조로 축적되도록 전달하는 과정을 더 포함할 수 있다.
또한, 위험정보 입력모듈(100)로부터 입력된 다양한 위험정보 데이터를 데이터베이스화하여 위험정보 DB(150)에 저장 및 관리하는 과정을 더 포함할 수 있다.
또한, 정보화 사업정보 입력모듈(200)로부터 입력된 다양한 정보화 사업정보를 데이터베이스화하여 정보화 사업 DB(250)에 저장 및 관리하는 과정을 더 포함할 수 있다.
또한, 위험식별내역 입력모듈(300)로부터 입력된 다양한 위험식별내역 데이터를 데이터베이스화하여 위험진행정보 DB(350)에 저장 및 관리하는 과정을 더 포함할 수 있다.
한편, 본 발명의 실시예에 따른 정보화 사업에서의 위험 관리 및 평가방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 롬(ROM), 램(RAM), 시디- 롬(CD-ROM), 자기 테이프, 하드디스크, 플로피디스크, 이동식 저장장치, 비휘발성 메모리(Flash Memory), 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다.
또한, 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
전술한 본 발명에 따른 정보화 사업 환경에서의 위험 관리 및 평가 시스템과 그 방법에 대한 바람직한 실시예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 특허청구범위와 발명의 상세한 설명 및 첨부한 도면의 범위 안에서 여러 가지로 변형하여 실시하는 것이 가능하고 이 또한 본 발명에 속한다.
도 1은 본 발명의 일 실시예에 따른 정보화 사업에서의 위험 관리 및 평가시스템을 설명하기 위한 전체적인 블록 구성도.
도 2는 본 발명의 일 실시예에 적용된 위험정보 DB의 구조를 설명하기 위한 도면.
도 3은 본 발명의 일 실시예에 적용된 정보화 사업 DB의 구조를 설명하기 위한 도면.
도 4는 본 발명의 일 실시예에 적용된 위험진행정보 DB의 구조를 설명하기 위한 도면.
도 5는 본 발명의 일 실시예에 적용된 위험관리 대상을 국제표준에 따른 분류유형으로 나타낸 도면.
도 6은 본 발명의 일 실시예에 적용된 위험사례 DB의 구조를 설명하기 위한 도면.
도 7 및 도 8은 본 발명의 일 실시예에 적용된 위험평가결과 DB의 구조를 설명하기 위한 도면.
도 9는 본 발명의 일 실시예에 따른 정보화 사업에서의 위험 관리 및 평가방법을 설명하기 위한 전체적인 흐름도.

Claims (35)

  1. 정보화 사업에서 발생되는 다양한 위험정보 데이터를 입력받기 위한 위험정보 입력모듈;
    정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받기 위한 정보화 사업정보 입력모듈;
    각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받기 위한 위험식별내역 입력모듈; 및
    상기 위험정보, 사업정보 및 위험식별내역 입력모듈로부터 각각 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가하기 위한 위험평가모듈을 포함하는 정보화 사업에서의 위험 관리 및 평가시스템.
  2. 제 1 항에 있어서,
    정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB; 및
    상기 위험사례 DB와 연동되어 상기 위험평가모듈에 의한 정량적인 위험평가결과에 따라 온톨로지 기반의 시맨틱(Semantic) 검색방법을 이용하여 유사한 위험사례들을 탐색하며, 상기 탐색된 유사한 위험사례들에 대해 우선 순위를 부여하는 위험대응방안 탐색모듈이 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  3. 제 2 항에 있어서,
    상기 위험대응방안 탐색모듈로부터 우선 순위 부여된 유사한 위험사례들의 대응방안과 함께 해당 위험에 대한 평가결과 데이터를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 위험평가결과 DB가 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  4. 제 3 항에 있어서,
    상기 위험평가결과 DB는,
    각 위험에 대한 평가 결과에 따라 위험점수, 대응등급, 긴급도, 대응비용, 위험제목, 및 위험대응방안의 정보가 테이블 형태로 이루어진 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  5. 제 3 항에 있어서,
    상기 위험평가결과 DB에 저장된 위험에 대한 평가결과 데이터 및 대응방안을 사업 담당자가 각 위험에 용이하게 대응할 수 있도록 디스플레이 함과 아울러 보고서 형태로 출력하기 위한 위험대응전략 제시모듈이 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  6. 제 5 항에 있어서,
    상기 위험대응전략 제시모듈로부터 제시된 위험에 대한 대응방안의 처리결과 및 대응과정을 정리하여 이를 디스플레이 하거나 관리하기 위한 위험대응결과 관리모듈이 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  7. 제 6 항에 있어서,
    상기 위험대응결과 관리모듈로부터 정리된 위험에 대한 대응방안의 처리결과 및 대응과정을 주기적으로 제공받아 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB에 체계적인 구조로 축적되도록 전달하기 위한 위험사례축적 관리모듈이 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  8. 제 2 항에 있어서,
    상기 온톨로지 기반의 시맨틱(Semantic) 검색방법은 위험을 바라보는 시각, 위험의 대상, 및 위험이 발생되는 시점으로 식별된 위험을 분류 및 세분화하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  9. 제 8 항에 있어서,
    상기 위험을 바라보는 시각은,
    경영자, 관리자, 및 엔지니어로 분류되며, 다시 의사결정자, 지원부서, 영업담당자, 프로젝트 매니저, 품질담당자, DB 관리자, 시스템 설계자, 및 개발자로 세분화되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  10. 제 8 항에 있어서,
    상기 위험의 대상은,
    자원, 절차, 및 대상으로 분류되며, 다시 재료, 사람, 절차, 방법론, 규정, 법률, 산출물, 시스템, 하드웨어(H/W), 및 소프트웨어(S/W)로 세분화되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  11. 제 8 항에 있어서,
    상기 위험이 발생되는 시점은,
    영업단계, 개발단계, 및 구현단계로 분류되며, 다시 사전영업단계, 제안단계, 계약단계, 착수단계, 분석단계, 설계단계, 구현단계, 종료단계, 및 운영단계로 세분화되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  12. 제 11 항에 있어서,
    상기 개발단계는,
    ISO 12207기반으로 프로세스 정의, 시스템 요구분석, 시스템 아키텍쳐 설계, 소프트웨어 요구분석, 소프트웨어 아키텍쳐 정의, 소프트웨어 상세설계, 소프트웨어 구현, 소프트웨어 통합, 소프트웨어 테스트, 시스템 통합, 시스템 테스트, 소프트웨어 설치, 소프트웨어 인수지원으로 구분하여 관리되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  13. 제 1 항에 있어서,
    상기 위험정보 입력모듈로부터 다양한 위험정보 데이터를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 위험정보 DB가 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  14. 제 1 항에 있어서,
    상기 위험정보 DB는,
    위험관리 기본점검, 위험관리 상세점검, 위험관리 대상기준, 위험관리 대상, 위험관리 단계시점, 위험관리 단계, 위험관리 관점, 위험관리 활동, 위험관리 영역, 위험개선권고유형, 및 위험중요도의 위험정보들이 테이블형태로 이루어진 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  15. 제 1 항에 있어서,
    상기 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보는 전사적자원관리(Enterprise Resource Planning, ERP) 시스템으로부터 주기적으로 제공받는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  16. 제 1 항에 있어서,
    상기 정보화 사업정보 입력모듈로부터 다양한 정보화 사업정보를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 정보화 사업 DB가 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  17. 제 1 항에 있어서,
    상기 위험식별내역 입력모듈로부터 다양한 위험식별내역 데이터를 제공받아 이를 데이터베이스화하여 저장 및 관리하는 위험진행정보 DB가 더 포함되는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  18. 제 17 항에 있어서,
    상기 위험진행정보 DB는,
    위험현황 및 문제점, 위험영향력 크기, 위험발생 가능성, 위험 긴급도의 정보가 테이블 형태로 이루어진 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  19. 제 1 항에 있어서,
    상기 위험평가모듈에서의 위험에 대한 평가는,
    정보화 사업유형 평가, 위험대상 평가, 위험유형 분석, 영향력 분석, 완화계획 분석, 발생가능수준 분석, 시급성 분석, 또는 완료가능성 분석 중 적어도 하나로 이루어진 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가시스템.
  20. 위험정보 입력모듈, 정보화 사업정보 입력모듈, 위험식별내역 입력모듈, 및 위험평가모듈을 포함한 정보화 사업 환경에서의 위험관리 평가시스템을 이용한 위험관리 평가방법으로서,
    (a) 상기 위험정보 입력모듈을 통해 정보화 사업에서 발생되는 다양한 위험정보 데이터를 입력받는 단계;
    (b) 상기 정보화 사업정보 입력모듈을 통해 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보 데이터를 입력받는 단계;
    (c) 상기 위험식별내역 입력모듈을 통해 각 정보화 사업에 따른 다양한 위험식별내역 데이터를 입력받는 단계; 및
    (d) 상기 위험평가모듈을 통해 상기 단계(a) 내지 단계(c)에서 입력된 위험정보, 정보화 사업정보 및 위험식별내역 데이터를 바탕으로 정보화 사업유형별 위험의 영향력, 수준, 발생빈도 및 발생원인에 따라 위험을 정량적으로 평가하는 단계를 포함하는 정보화 사업에서의 위험 관리 및 평가방법.
  21. 제 20 항에 있어서,
    정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터들을 온톨로지(Ontology) 기반으로 데이터베이스화하여 저장 및 관리하는 단계; 및
    상기 단계(d)에서의 정량적인 위험평가결과에 따라 온톨로지 기반의 시맨틱(Semantic) 검색방법을 이용하여 상기 저장된 위험사례 데이터들 중에서 유사한 위험사례들을 탐색하며, 상기 탐색된 유사한 위험사례들에 대해 우선 순위를 부여하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  22. 제 21 항에 있어서,
    상기 우선 순위 부여된 유사한 위험사례들의 대응방안과 함께 해당 위험에 대한 평가결과 데이터를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  23. 제 22 항에 있어서,
    상기 저장된 위험에 대한 평가결과 데이터 및 대응방안을 사업 담당자가 각 위험에 용이하게 대응할 수 있도록 디스플레이 함과 아울러 보고서 형태로 출력하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  24. 제 23 항에 있어서,
    상기 위험에 대한 대응방안의 처리결과 및 대응과정을 정리하여 이를 디스플레이 하거나 관리하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  25. 제 24 항에 있어서,
    상기 정리된 위험에 대한 대응방안의 처리결과 및 대응과정을 주기적으로 제공받아 정보화 사업유형별 위험에 따른 대응방안이 포함된 다양한 위험사례 데이터를 온톨로지(Ontology) 기반으로 저장 및 관리하는 위험사례 DB에 체계적인 구조로 축적되도록 전달하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  26. 제 21 항에 있어서,
    상기 온톨로지 기반의 시맨틱(Semantic) 검색방법은 위험을 바라보는 시각, 위험의 대상, 및 위험이 발생되는 시점으로 식별된 위험을 분류 및 세분화하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  27. 제 26 항에 있어서,
    상기 위험을 바라보는 시각은,
    경영자, 관리자, 및 엔지니어로 분류하며, 다시 의사결정자, 지원부서, 영업담당자, 프로젝트 매니저, 품질담당자, DB 관리자, 시스템 설계자, 및 개발자로 세분화하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  28. 제 26 항에 있어서,
    상기 위험의 대상은,
    자원, 절차, 및 대상으로 분류하며, 다시 재료, 사람, 절차, 방법론, 규정, 법률, 산출물, 시스템, 하드웨어(H/W), 및 소프트웨어(S/W)로 세분화하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  29. 제 26 항에 있어서,
    상기 위험이 발생되는 시점은,
    영업단계, 개발단계, 및 구현단계로 분류하며, 다시 사전영업단계, 제안단계, 계약단계, 착수단계, 분석단계, 설계단계, 구현단계, 종료단계, 및 운영단계로 세분화하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  30. 제 20 항에 있어서,
    상기 위험정보 입력모듈로부터 입력된 다양한 위험정보 데이터를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  31. 제 20 항에 있어서,
    상기 정보화 사업유형별 위험평가에 필요한 다양한 정보화 사업정보는 전사적자원관리(Enterprise Resource Planning, ERP) 시스템으로부터 주기적으로 제공받는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  32. 제 20 항에 있어서,
    상기 정보화 사업정보 입력모듈로부터 입력된 다양한 정보화 사업정보를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  33. 제 20 항에 있어서,
    상기 위험식별내역 입력모듈로부터 입력된 다양한 위험식별내역 데이터를 데이터베이스화하여 저장 및 관리하는 단계를 더 포함하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  34. 제 20 항에 있어서,
    상기 위험평가모듈에서의 위험에 대한 평가는,
    정보화 사업유형 평가, 위험대상 평가, 위험유형 분석, 영향력 분석, 완화계획 분석, 발생가능수준 분석, 시급성 분석, 또는 완료가능성 분석 중 적어도 하나를 수행하는 것을 특징으로 하는 정보화 사업에서의 위험 관리 및 평가방법.
  35. 제 20 항 내지 제 34 항 중 어느 한 항의 방법을 컴퓨터로 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020070074450A 2007-07-25 2007-07-25 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법 KR100923407B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070074450A KR100923407B1 (ko) 2007-07-25 2007-07-25 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070074450A KR100923407B1 (ko) 2007-07-25 2007-07-25 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법

Publications (2)

Publication Number Publication Date
KR20090011146A true KR20090011146A (ko) 2009-02-02
KR100923407B1 KR100923407B1 (ko) 2009-10-23

Family

ID=40682335

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070074450A KR100923407B1 (ko) 2007-07-25 2007-07-25 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법

Country Status (1)

Country Link
KR (1) KR100923407B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101013077B1 (ko) * 2007-07-30 2011-02-14 채문창 정량적 안전지수 산출에 근거한 it 위험 관리 방법 및시스템
WO2012030333A1 (en) * 2010-09-01 2012-03-08 Hewlett-Packard Development Company, L.P. Performing what-if analysis
KR101526312B1 (ko) * 2013-11-27 2015-06-10 한국과학기술정보연구원 현안 키워드 대응 연구개발 정보 서비스 시스템 및 방법
KR20200079950A (ko) * 2018-12-26 2020-07-06 (주)씽크포비엘 크라우드소싱 기반 소프트웨어 위험 분석 방법
CN112836218A (zh) * 2020-05-09 2021-05-25 支付宝(杭州)信息技术有限公司 风险识别方法及装置和电子设备

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160025664A (ko) * 2014-08-27 2016-03-09 삼성에스디에스 주식회사 이상 조기 감지 장치 및 방법
US11977858B2 (en) 2022-02-07 2024-05-07 T-Mobile Usa, Inc. Centralized intake and capacity assessment platform for project processes, such as with product development in telecommunications

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040011858A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험분석 시스템 및 그 방법
KR100524649B1 (ko) * 2003-06-04 2005-10-31 (주)인젠 정보 자산의 위험 분석 시스템
KR20060058186A (ko) * 2004-11-24 2006-05-29 이형원 정보기술 위험관리시스템 및 그 방법
KR100755000B1 (ko) * 2005-12-08 2007-09-04 한국전자통신연구원 보안 위험 관리 시스템 및 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101013077B1 (ko) * 2007-07-30 2011-02-14 채문창 정량적 안전지수 산출에 근거한 it 위험 관리 방법 및시스템
WO2012030333A1 (en) * 2010-09-01 2012-03-08 Hewlett-Packard Development Company, L.P. Performing what-if analysis
US9183506B2 (en) 2010-09-01 2015-11-10 Hewlett-Packard Development Company, L.P. Performing what-if analysis
KR101526312B1 (ko) * 2013-11-27 2015-06-10 한국과학기술정보연구원 현안 키워드 대응 연구개발 정보 서비스 시스템 및 방법
KR20200079950A (ko) * 2018-12-26 2020-07-06 (주)씽크포비엘 크라우드소싱 기반 소프트웨어 위험 분석 방법
CN112836218A (zh) * 2020-05-09 2021-05-25 支付宝(杭州)信息技术有限公司 风险识别方法及装置和电子设备
CN112836218B (zh) * 2020-05-09 2024-04-16 支付宝(杭州)信息技术有限公司 风险识别方法及装置和电子设备

Also Published As

Publication number Publication date
KR100923407B1 (ko) 2009-10-23

Similar Documents

Publication Publication Date Title
Araz et al. Role of analytics for operational risk management in the era of big data
Katsaliaki et al. Supply chain disruptions and resilience: A major review and future research agenda
Datta Supply network resilience: a systematic literature review and future research
Comuzzi et al. How organisations leverage Big Data: a maturity model
Vishnu et al. Supply chain risk management: models and methods
Blackhurst* et al. An empirically derived agenda of critical research issues for managing supply-chain disruptions
Ghadge et al. Supply chain risk management: present and future scope
US8359224B2 (en) Systems and/or methods for identifying service candidates based on service identification indicators and associated algorithms
KR100923407B1 (ko) 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법
Bradford et al. Innovation and improvement for Telstra's Australian energy and cooling systems: A ten year case study
US9400637B1 (en) Solution modeling and analysis toolset for enterprise software architecture
Khojasteh-Ghamari et al. Supply chain risk management: A comprehensive review
US9189203B1 (en) Solution modeling and analysis toolset for enterprise software architecture and architecture roadmaps
Lim et al. Anticipating change in requirements engineering
Udokwu et al. Proposals for addressing research gaps at the intersection of data analytics and supply chain management
Zalewski et al. Capturing architecture evolution with maps of architectural decisions 2.0
Kowalczuk et al. Advanced modeling of management processes in information technology
Oehmen et al. Risk management in lean PD
Gil et al. Design reuse and buffers in high-tech infrastructure development: A stakeholder perspective
Sezer et al. Investigating the role of knowledge-based supply chains for supply chain resilience by graph theory matrix approach
Sarkar et al. Top management team decision priorities to drive IS resilience: Lessons from Jade Software Corporation
Fretzen External factors affecting the adoption of IoT-Technology: A TAM and UTAUT approach
Zeleti et al. Agile mechanisms for open data process innovation in public sector organizations: Towards theory building
Santos et al. Diagnostic assessment of product lifecycle management based on Industry 4.0 requirements
Haan The integration of Big Data in purchasing, as designed in a new Big Data Purchasing Maturity model

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120906

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131004

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140904

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150930

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee