KR20090088580A - 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 - Google Patents

정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 Download PDF

Info

Publication number
KR20090088580A
KR20090088580A KR1020080013956A KR20080013956A KR20090088580A KR 20090088580 A KR20090088580 A KR 20090088580A KR 1020080013956 A KR1020080013956 A KR 1020080013956A KR 20080013956 A KR20080013956 A KR 20080013956A KR 20090088580 A KR20090088580 A KR 20090088580A
Authority
KR
South Korea
Prior art keywords
information security
information
management system
security
deriving
Prior art date
Application number
KR1020080013956A
Other languages
English (en)
Other versions
KR101008148B1 (ko
Inventor
김도형
이희명
Original Assignee
주식회사 포스코
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 포스코 filed Critical 주식회사 포스코
Priority to KR1020080013956A priority Critical patent/KR101008148B1/ko
Publication of KR20090088580A publication Critical patent/KR20090088580A/ko
Application granted granted Critical
Publication of KR101008148B1 publication Critical patent/KR101008148B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • G06Q10/063116Schedule adjustment for a person or group

Abstract

본 발명의 일 측면은 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 관한 것으로, 특히 다양한 조직에서 중요한 자산을 보호하기 위해 정보보호 관리체계를 도입하여 정보보호 성과지표를 운영하는 방법에 관한 것이다.
본 발명은, 정보보호 관리체계의 범위 설정과 상기 정보보호 관리체계의 정책 설정을 통하여 설정된 범위에 대하여 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 적용하여 정보보호와 관련된 현황진단 분석결과를 도출한 후, 상기 현황진단 분석결과에서 통제이행과 관련된 개선항목을 선택하여 보안정책 및 보안절차를 개정하는 제1단계; 상기 통제이행과 관련된 개선항목과 관련된 업무에 통제를 구현하여 사용자 교육을 실시한 후, 통제를 이행하는 제2단계; 상기 현황진단 분석결과를 기반으로 정보보호 성과지표를 도출한 후, 상기 정보보호 성과지표별로 통제효과 및 수준을 측정하여 현황진단 분석결과를 도출하는 제3단계; 및 상기 제1단계 및 제3단계의 현황진단 분석결과를 통해 개선계획을 수립한 후, 상기 개선계획에 정보보호 성과지표를 적용하여 정량화된 보안활동 결과를 도출하는 제4단계;를 포함하는 것을 특징으로 한다.
Figure P1020080013956
정보보호 관리체계, 정보보호 성과지표, 현황진단 분석결과

Description

정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법{Method for operating information security accomplishment indexes dependent on the introduction of information security management system}
본 발명의 일 측면은 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 관한 것으로, 특히 다양한 조직에서 중요한 자산을 보호하기 위해 정보보호 관리체계를 도입하여 정보보호 성과지표를 운영하는 방법에 관한 것이다.
최근에, 많은 조직이 아웃소싱(outsourcing) 및 글로벌화(globalization)를 추진함에 따라 중요 자산의 보호를 위한 정보보호 관리체계의 도입 및 운영이 무엇보다도 중요해지고 있다.
다양한 조직에서 중요한 자산을 보호하기 위해 정보보호 관리체계를 도입 및 운영하고 있으며, 이를 위한 대표적인 방법으로는 인증(certification) 제도와 컨설팅(consulting) 서비스가 사용되고 있다. 이 과정에서 표준적용의 문제점으로 문서화 증가와 실질적인 관리방법의 부족을 경험하게 되며, 조직의 특성 및 업무를 고려하지 않고 정보보호 통제항목(ISO 27001 controls)을 중심으로 정보보호 관리체계의 요구사항(ISMS(Information Security Management System) requirements)을 적용하는 문제가 발생하고 있다.
정보보호 관리체계(ISO 27001) 인증제도는 정보보호 현황진단 및 일반적인 감사기법을 활용하여 적용성 보고서(Statement of Application, SOA)를 작성하는 것이다. 그러나, 감사행위의 보증수준(assurance level)은 기대치와 상이할 수 있으며, 심사원 및 심사환경에 따라 결과가 다를 수 있다. 또한, 인증제도에서는 경영진 인터뷰를 통해 효과적인 커뮤니케이션을 시도하고 있지만 심사결과(SOA)가 서술식이고 정량적인 표현이 곤란하여 정보보호 전문지식을 보유하지 않은 경영진에게는 효과적이지 않다.
정보보호 관리체계(ISO 27001)의 컨설팅 서비스에서는 정보보호 관리체계의 구축을 위해 ISO 27001 프레임 워크(framework)를 준용한 다양한 컨설팅 방법이 사용된다. 이 절차의 특징으로 정보보호 통제항목(ISO 27001 controls)을 중심으로 정보보호 현황진단을 실시하고, 취약성 분석을 통해 계량화된 보고서가 작성된다. 그러나, 세부적인 정보보호 현황진단을 위해 정보보호 통제항목(ISO 27001 controls)의 구체화는 비용과 보상(payoff)을 발생시키며, 통제항목별 평가결과(Yes, No, Partial, N/A)는 구체적인 기준과 방법이 부족하여 컨설턴트 및 주변환경에 따라 결과가 만족스럽지 못할 수 있다.
이러한 요구사항을 기초로하여 실직적인 보안수준의 개선 및 측정을 위한 ISO 27004(ISM measurements)가 초안(draft) 단계에 있다. 또한, SI 분야에서는 정보보호 위험관리 시스템이 개발되고 있으나, 대상분야가 IT 분야(기술적 보안) 및 위험(risk)기반으로 제한되어 포괄적(관리, 물리, 기술) 및 적극적(proactive) 차 원의 정보보호 활동 및 정보보호 수준관리의 개념과는 차이가 있다.
본 발명의 일 측면은 실행 중심의 정보보호 관리체계를 도입하여 운영하는 과정에서 정보보호 성과측정모델을 활용한 정보보보 현황진단으로 시행착오를 최소화하며, 지속적인 정보보보 관리체계의 운영을 위한 보안활동의 정량화된 정보보호 성과지표를 도입하여 경영진의 지원을 위한 효과적인 방법론을 제공하는 것을 목적으로 한다.
본 발명의 다른 측면은, 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 활용하여 정보보호 현황진단을 개선하고 정보보호 활동의 근간이 되는 보안규정(지침)을 내실화하며 실행되는 업무와의 차이점 발견을 용이하게 하는 것을 목적으로 한다.
본 발명의 또 다른 측면은, 정보보호 성과지표의 선정 및 정보보호 성과지표 매트릭스를 활용하여 보안목표 및 개선기회를 정의하고 보안활동의 성과측정을 정량화함으로써, 종합적인 보안활동의 요약, 분석 및 구체화로 커뮤니케이션을 촉진하는 것을 목적으로 한다.
본 발명의 일 측면은, 정보보호 관리체계의 범위 설정과 상기 정보보호 관리체계의 정책 설정을 통하여 설정된 범위에 대하여 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 적용하여 정보보호와 관련된 현황진단 분석결과를 도출한 후, 상기 현황진단 분석결과에서 통제이행과 관련된 개선항목을 선택하여 보안정책 및 보안절차를 개정하는 제1단계; 상기 통제이행과 관련된 개선항목과 관련된 업무에 통제를 구현하는 제2단계; 상기 현황진단 분석결과를 기반으로 정보보호 성과지표를 도출한 후, 상기 정보보호 성과지표별로 통제효과 및 수준을 측정하여 현황진단 분석결과를 도출하는 제3단계; 및 상기 제1단계 및 제3단계의 현황진단 분석결과를 통해 개선계획을 수립한 후, 상기 개선계획에 정보보호 성과지표를 적용하여 정량화된 보안활동 결과를 도출하는 제4단계;를 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 일 실시형태에 따르면, 상기 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 적용하는 것은, 상기 정보보호에 관한 활동을 수행하는 제1단계; 상기 정보보호에 관한 활동의 내용을 문서화하는 제2단계; 상기 정보보호에 관한 활동의 내용을 표준화시키거나 프로세스로 체계화시키는 제3단계; 및 상기 정보보호에 관한 활동의 내용의 결과를 평가 및 분석하는 제4단계;를 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 다른 실시형태에 따르면, 상기 제3단계에서 현황진단 분석결과는 자산의 속성과 생명주기로 정의된 정보보호 성과지표를 매트릭스에 배치시켜 도출하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 또 다른 실시형태에 따르면, 상기 정보보호 성과지표를 도출하는 것은, 상기 정보보호에 대한 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 단계; 및 상기 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 단계;를 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 또 다른 실시형태에 따르면, 상기 정보보호 관리체계의 근간이 잘 구성되어 있는지에 따라 평가되는 정성적 평가를 도출하는 단계를 더 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 일 측면에 따르면, 정보보호 현황진단을 통해 정보보호 관리체계의 범위설정이 편리해지고, 부서별 역할 및 책임 정의와 업무표준화가 가능해진다.
본 발명의 다른 측면에 따르면, 정보보호 현황진단의 성과측정모델을 통해 기존의 평가표 방식의 문제점을 해결할 수 있다.
본 발명의 또 다른 측면에 따르면, 정보보호 성과지표를 통해 보안목표 및 개선기회를 정의하고, 보안활동의 성과측정을 정량화할 수 있다.
본 발명의 또 다른 측면에 따르면, 정보보호 성과지표는 종합적인 보안활동의 요약, 분석 및 구체화로 커뮤니케이션을 제공할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시형태를 설명한다. 그러나, 본 발명의 실시형태는 여러 가지의 다른 형태로 변형될 수 있으며, 본 발명의 범위가 이하 설명하는 실시형태로만 한정되는 것은 아니다. 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있으며, 도면상의 동일한 부호로 표시되는 요소는 동일한 요소이다.
정보보호관리의 국제표준인 ISO 27001에서는 정보보호 관리체계의 요구사항 (ISMS requirements)을 정의하고 있으며, 이를 구조화(ISMS framework)하면 도 1과 같이 표현된다.
그리고, 일반적인 정보보호 관리체계의 도입 및 운영을 위한 절차는 도 2와 같이 정의되었는데, 본 발명에서는 일부 프로세스를 개선(정보보호 현황진단, 정보보호 성과지표, CSO((Chief Security Officer) 리포트)하여 도 3과 같은 절차로 구성한다.
또한, 본 발명에서 제시하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법은 도 4와 같은 흐름도로 정의한다. 개선된 정보보호 현황진단은 성과측정 모델(ISM measurement model, 도 6)을 적용하여 도 10과 같은 하향식 정보보호 현황진단 분석결과를 도출한다.
또한, 정보보호 현황진단의 현황분석표와 예비평가표를 통해 도출된 정보보호 성과지표를 도 9와 같이 정보보호 성과지표 매트릭스(ISKPI(Information Security Key Performance Index) matrix)에 적용하여 도 10과 같은 상향식 정보보호 현황진단 분석결과를 도출한다.
추가된 CSO 리포트는 도 11과 같은 정보보호 현황진단 분석결과(상향식, 하 향식)로 구성된 정보보호 성과지표 체계를 적용하여 정량화된 보안활동의 결과를 도출한다. 각각의 지표(기반지표, 이행지표, 결과지표)는 도 12와 같이 개선개회 및 목표수준 설정을 통해 지속적인 정보보호 관리체계이 운영되도록 구성된다.
정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법은 도 4와 같은데, 계획(Step1), 이행(Step 2), 평가(Step 3) 및 개선(Step 4)의 단계를 따른다.
계획단계(Step 1)는 현황분석단계(Process 1), 위험처리단계(Process 2), 문서 및 기록관리 단계(Process 8)로 구성되고, 이행단계(Step 2)는 통제이행단계 (Process 5), 문서 및 기록관리 단계 (Process 8)로 구성된다. 그리고, 평가단계 (Step 3)는 모니터링단계(Process 6), 문서 및 기록관리 단계(Process 8)로 구성되고, 개선단계(Step4)는 사후관리단계(Process 7), 문서 및 기록관리 단계(Process 8)로 구성된다. 여기서, 현황분석단계(Process 1)는 ISMS 범위선정단계(Task 1)와 ISMS 정책설정단계(Task 2)로 구분된다.
임시로 설정된 범위에 대하여 성과측정모델(도 6)을 적용하여 현황분석표가 작성된다. 그리고, 기 수립된 보안정책(부재시 신규작성)을 근거로 예비평가표가 작성된다. 현황분석표와 예비평가표는 도 7과 같은 갭 분석(gap analysis)을 통해 현황진단 분석결과(Task 3-5)를 도출하게 되며, 이상의 모든 절차는 문서로 기록(Process 8)된다.
위험처리단계(Process 4)는 현황분석단계(Process 1)의 산출물인 현황진단 분석결과를 기반으로 개선항목을 선택하여 통제이행단계(Process 5)와 보안정책 및 보안절차를 개정하는 동시에 이상의 모든 절차는 문서로 기록(Process 8)된다.
통제이행단계(Process 5)는 통제이행의 개선항목과 연관된 업무에 통제구현 및 사용자 교육을 실시하고 이상의 모든 절차는 문서로 기록(Process 8)된다.
모니터링단계(Process 6)는 현황분석단계(Process 1)의 산출물인 현황진단 분석표와 예비평가표를 기반으로 지표를 도출하고, 지표별 통제효과 및 수준을 결정한다. 모니터링단계(Process 6)의 산출물인 현황진단 분석결과(Task 26-2)는 지표점수 및 개선기회를 포함한다. 이상의 모든 절차는 문서로 기록(Process 8)된다.
사후관리단계(Process 7)는 현황분석단계(Process1)의 현황진단 분석결과 (Task 3-5)와 모니터링단계(Process 6)의 현황진단 분석결과(Task 21-7)를 통해 개선계획을 수립하고 결과를 확인한다. 이상의 모든 절차를 CSO 리포트 및 정보보호 성과지표를 통해 지속적인 정보보호 관리체계를 운영하게 된다.
본 발명의 특징적인 Task 및 도 4의 세부적인 기능에 관하여 설명해보기로 한다.
도 4의 T03와 같은 개선된 정보보호 현황진단은 도 6과 같은 PDCA(Plan, Do, Check, Act)를 포함하는 개념의 정보보호 성과측정 모델을 적용한다. 기존방식에서는 도 5a와 같이 ISO 27001 통제(133 Controls)가 적용되고 있는지 평가(Yes, Partial, No, N/A)하는 점검표 방식을 사용한다. 이 과정에서는 명확한 평가기준이 없었으며, 상세한 점검을 위해서 점검표 구체화에 많은 작업이 소요에도 불구하고 효과성은 미흡(개선기회 정의 곤란)하였다. 또한, ISO 통제항목을 기준으로 작성된 점검결과가 조직에 적용되기에는 의미를 해석함에 있어서 어려움이 많았다.
그러나, 도 6과 같은 PDCA 기반의 정보보호 성과측정 모델에서는 5단계 수준(임의수행, 계획, 이행, 평가, 개선)을 정의하고 활동의 결과물을 확인하였다. 여기서, 하위단계를 충족시키지 못하면 상위단계로 진입하는 것이 불가하다.
각 단계의 정보보호 활동은 다음과 같이 정의된다.
- 임의수행(random) : 정보보호 활동의 기준이 없이 수행됨
- 계획(plan) : 정보보호 활동의 기준이 문서화된 단계(규정 및 지침)
- 이행(do) : 정보보호 활동의 기록이 있거나 프로세스로 체계화된 단계(SOP, IT 시스템)
- 평가(check) : 정보보호 활동을 평가하는 단계(평가 프로세스, 지표)
- 개선(act) : 정보보호 활동을 지속적으로 개선하는 단계(이벤트 처리)
상기 정보보호 성과측정 모델을 적용한 정보보호 현황진단에서는 각각의 ISO 27001 통제(133 Controls)가 조직에 어떻게 적용되는지 파악하기 위하여 도 7과 같이 조직의 R&R(Role & Responsibility)과 정책문서를 고려한 예비평가표와 현재 수행되는 업무를 기반으로 현황분석표를 작성한다. 예비평가표와 현행분석표를 비교(GAP analysis)하면 선언적인 보안규정과 실행되는 업무와의 문제점을 발견하여 도 10과 같이 현황진단 분석결과가 도출된다.
도 4의 T21과 같은 정보보호 성과지표 도출을 위해 정보보호 현황진단의 예비평가표(정책 및 지침 분석, 도 4의 T21-2, 도 8) 및 현행분석표(수행업무 분석, 도 4의 T21-1, 도 8)를 측정가능(5W1H)한 항목으로 예비 정보보호 성과지표(ISKPI pool, 도 4의 21-5, 도 8)를 도출한다. 각각의 지표는 전략 연계성(strategy), 구체성(specific), 측정용이(Measurable), 수용성(Reasonable)을 고려하여 최종지표로 선정(scoring method, 도 8)된다.
개선된 정보보호 성과지표는 정보보호 활동의 정량화를 위해 기존의 위험관리 지표와 비교하면 보다 확장된 의미(관리, 물리, 기술을 포함)를 제공하는데, 도 4의 T21-6 및 도 9와 같은 정보보호 성과지표 매트릭스를 적용한다. 기존의 위험관리지표는 일부 IT 기반의 위험요소를 부분적으로 사용하였다. 예를 들면, 바이러스 백신 서버를 활용하여 바이러스 감염율을 위험지표로 사용하였다.
자산(asset)의 속성(property)과 생명주기(life cycle)로 정의된 정보보호 성과지표를 도 9와 같이 매트릭스에 배치(GAP analysis)시키면, 도 4의 T21-7 및 도 10과 같이 보안목표(security objectives)를 개선할 수 있는 정보보호 현황진단 분석결과가 도출된다. 조직의 보안수준이 저조하면 지표의 매트릭스 배치가 복잡하고 보안 요구사항 정의가 곤란하다. 그러나, 보안수준이 향상될수록 지표의 매트릭스 구성 및 보안 요구사항 정의가 간단해진다.
도 4의 T28과 같은 추가된 CSO 리포트는 정량화된 보안활동 결과를 도출하기 위해 도 10과 같이 하향식 정보보호 현황진단과 상향식 정보보호 성과지표를 재 사용한다. 도 10과 같이 정보보호 현황진단 분석결과로 구성된 정보보호 성과측정 체계를 적용하여 정량화된 보안활동 결과를 도출한다.
도 10의 정보보호 성과지표는 기반지표, 이행지표, 결과지표로 구성된다.
- 기반지표 : 정보보호 관리체계(정보보호 활동체계, 정보보호 문화정착)의 근간이 잘 구성되어 있는지에 따라 평가됨.
- 이행지표 : 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 정보보호 성과지표 항목의 측정값
- 결과지표 : 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 정보보호 성과지표 항목의 측정값
도 11의 정보보호 성과지표는 이해관계자 및 용도에 따라 아래와 같이 운영될 수 있다.
- 종합지표(보안 관리자용, 도 11) : 기반지표, 이행지표, 결과지표로 정의
- 내부지표(부서 관리자용, 도 11) : 이행지표와 결과지표만으로 정의
이상의 기능을 제공하기 위해 각각의 정보보호 성과지표는 현재수준 및 목표수준을 정의하기 위한 지표정의서는 도 12와 같다.
상기와 같이 살펴본 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법은, 정보보호 관리체계를 갖는 소프트웨어에 의한 정보 처리가 하드웨어를 이용해 정보보호 관리시스템에서 구체적으로 실현될 수 있다. 그리고, 정보보호 관리체계는 매체에 기록되어 정보보호 관리시스템에 의해 읽혀진다.
본 발명은 상술한 실시형태 및 첨부된 도면에 의해 한정되지 아니한다. 첨부된 청구범위에 의해 권리범위를 한정하고자 하며, 청구범위에 기재된 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양한 형태의 치환, 변형 및 변경이 가능하다는 것은 당 기술분야의 통상의 지식을 가진 자에게 자명할 것이다.
도 1은 종래의 정보보호관리체계(ISO 27001)의 요구사항을 구조화한 도면이다.
도 2는 종래의 정보보호관리체계(ISO 27001)의 도입에 따른 운영 프로세스를 체계화한 도면이다.
도 3은 본 발명의 정보보호관리체계의 프로세스를 체계화한 도면이다.
도 4는 본 발명의 정보보호관리체계의 도입에 따른 정보보호 성과지표 운영방법을 나타낸 흐름도이다.
도 5는 본 발명의 점검표 방식과 성과측정모델을 적용한 방식의 정보보호 현황진단의 방법을 비교한 도면이다.
도 6은 본 발명의 정보보호 성과측정모델을 도시한 도면이다.
도 7은 본 발명의 정보보호 현황진단 분석결과를 도시한 도면이다.
도 8은 본 발명의 정보보호 성과지표 도출의 과정 및 방법을 도시한 도면이다.
도 9는 본 발명의 정보보호 성과지표 매트릭스를 체계화한 도면이다.
도 10은 본 발명의 정보보호 성과지표 체계와 정보보호 현황진단 분석결과의 관계를 정의한 도면이다.
도 11은 본 발명의 정보보호 성과지표 체계 및 운영방식을 도시한 도면이다.
도 12는 본 발명의 정보보호 성과지표 정의서를 나타낸 도면이다.

Claims (5)

  1. 정보보호 관리체계의 범위 설정과 상기 정보보호 관리체계의 정책 설정을 통하여 설정된 범위에 대하여 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 적용하여 정보보호와 관련된 현황진단 분석결과를 도출한 후, 상기 현황진단 분석결과에서 통제이행과 관련된 개선항목을 선택하여 보안정책 및 보안절차를 개정하는 제1단계;
    상기 통제이행과 관련된 개선항목과 관련된 업무에 통제를 구현하는 제2단계;
    상기 현황진단 분석결과를 기반으로 정보보호 성과지표를 도출한 후, 상기 정보보호 성과지표별로 통제효과 및 수준을 측정하여 현황진단 분석결과를 도출하는 제3단계; 및
    상기 제1단계 및 제3단계의 현황진단 분석결과를 통해 개선계획을 수립한 후, 상기 개선계획에 정보보호 성과지표를 적용하여 정량화된 보안활동 결과를 도출하는 제4단계;
    를 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  2. 제1항에 있어서,
    상기 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 적용하는 것은,
    상기 정보보호에 관한 활동을 수행하는 제1단계;
    상기 정보보호에 관한 활동의 내용을 문서화하는 제2단계;
    상기 정보보호에 관한 활동의 내용을 표준화시키거나 프로세스로 체계화시키는 제3단계; 및
    상기 정보보호에 관한 활동의 내용의 결과를 평가 및 분석하는 제4단계;
    를 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  3. 제1항에 있어서,
    상기 제3단계에서 현황진단 분석결과는 자산의 속성과 생명주기로 정의된 정보보호 성과지표를 매트릭스에 배치시켜 도출하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  4. 제1항에 있어서,
    상기 정보보호 성과지표를 도출하는 것은,
    상기 정보보호에 대한 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 단계; 및
    상기 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 단계;
    를 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  5. 제4항에 있어서,
    상기 정보보호 관리체계의 근간이 잘 구성되어 있는지에 따라 평가되는 정성적 평가를 도출하는 단계를 더 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
KR1020080013956A 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 KR101008148B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080013956A KR101008148B1 (ko) 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080013956A KR101008148B1 (ko) 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Publications (2)

Publication Number Publication Date
KR20090088580A true KR20090088580A (ko) 2009-08-20
KR101008148B1 KR101008148B1 (ko) 2011-01-13

Family

ID=41207155

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080013956A KR101008148B1 (ko) 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Country Status (1)

Country Link
KR (1) KR101008148B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505079B1 (ko) * 2014-06-13 2015-03-24 주식회사 이볼케이노 정보보호업무 지원시스템 및 방법
KR101596456B1 (ko) * 2015-03-25 2016-03-08 주식회사 이앤유 보안 관리 시스템 및 방법
CN112036826A (zh) * 2020-08-28 2020-12-04 南京沐航交通科技有限公司 一种基于海上导航安全控制系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
KR101674198B1 (ko) * 2015-04-24 2016-11-08 선문대학교 산학협력단 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755000B1 (ko) * 2005-12-08 2007-09-04 한국전자통신연구원 보안 위험 관리 시스템 및 방법
KR100752677B1 (ko) * 2006-04-19 2007-08-29 ㈜ 메타리스크 정보기술 위험관리시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505079B1 (ko) * 2014-06-13 2015-03-24 주식회사 이볼케이노 정보보호업무 지원시스템 및 방법
KR101596456B1 (ko) * 2015-03-25 2016-03-08 주식회사 이앤유 보안 관리 시스템 및 방법
CN112036826A (zh) * 2020-08-28 2020-12-04 南京沐航交通科技有限公司 一种基于海上导航安全控制系统

Also Published As

Publication number Publication date
KR101008148B1 (ko) 2011-01-13

Similar Documents

Publication Publication Date Title
Geng et al. Eco-innovation and its role for performance improvement among Chinese small and medium-sized manufacturing enterprises
Weishäupl et al. Information security investments: An exploratory multiple case study on decision-making, evaluation and learning
US8256004B1 (en) Control transparency framework
Alarcón et al. Strategies for improving safety performance in construction firms
US11431740B2 (en) Methods and systems for providing an integrated assessment of risk management and maturity for an organizational cybersecurity/privacy program
Saleh Information security maturity model
US20090265209A1 (en) System and Method for Governance, Risk, and Compliance Management
US20030004754A1 (en) Hipaa compliance systems and methods
KR101210027B1 (ko) 원자력발전소 디지털계측제어계통의 사이버보안 관리 방법 및 장치
KR20090088580A (ko) 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법
CN111274136B (zh) 一种机载软件测试管理系统和测试过程管理方法
Foli et al. The link between supply chain risk management and innovation performance in SMEs in turbulent times
do Amaral et al. Integrating Zero Trust in the cyber supply chain security
Siegel et al. Cyber strategy: risk-driven security and resiliency
Hunt et al. An introduction to continuous controls monitoring
Rubino et al. IT governance, Risk Management and Internal Control System: the role of the COBIT framework
Matulevičius et al. An approach to assess and compare quality of security models
KR102127656B1 (ko) 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템
Mullins-Jaime et al. Interconnected pathways: the role of integrated programs, safety climate, and safety professional engagement in safety and other organizational outcomes
Ratzan et al. Measuring responsible artificial intelligence (RAI) in banking: a valid and reliable instrument
Nasteckienė Empirical investigation of risk management practices
Rifaut et al. Measurement-oriented comparison of multiple regulations with GRL
Gökalp et al. Developing process definition for financial and physical resource management process in government domain
Lee et al. Introduction and evaluation of development system security process of ISO/IEC TR 15504
Kharisova et al. Some questions of IT control in economic entities

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150107

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170104

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 10