KR20140081071A - 실시간 보안수준 측정 관리 방법 및 시스템 - Google Patents
실시간 보안수준 측정 관리 방법 및 시스템 Download PDFInfo
- Publication number
- KR20140081071A KR20140081071A KR1020120150396A KR20120150396A KR20140081071A KR 20140081071 A KR20140081071 A KR 20140081071A KR 1020120150396 A KR1020120150396 A KR 1020120150396A KR 20120150396 A KR20120150396 A KR 20120150396A KR 20140081071 A KR20140081071 A KR 20140081071A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- management system
- management
- score
- security level
- Prior art date
Links
- 238000005259 measurement Methods 0.000 title claims abstract description 62
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000008520 organization Effects 0.000 claims abstract description 37
- 238000007726 management method Methods 0.000 claims description 178
- 238000004364 calculation method Methods 0.000 claims description 22
- 238000011156 evaluation Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000000903 blocking effect Effects 0.000 description 6
- 238000001038 ionspray mass spectrometry Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000003745 diagnosis Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013070 change management Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000011158 quantitative evaluation Methods 0.000 description 2
- 229960005486 vaccine Drugs 0.000 description 2
- 208000011380 COVID-19–associated multisystem inflammatory syndrome in children Diseases 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000002319 photoionisation mass spectrometry Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
Landscapes
- Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- Computer Security & Cryptography (AREA)
- Human Resources & Organizations (AREA)
- Educational Administration (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
실시간 보안수준 측정 관리 방법 및 시스템이 개시된다. 실시간 보안수준 측정 관리 방법은, 조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 수집 단계; 상기 측정 데이터를 점수로 지수화 하는 지수화 단계; 및 상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드(dashboard) 화면을 제공하는 대시보드화 단계를 포함할 수 있다.
Description
본 발명의 실시예들은 정보보안관리체계(G-ISMS)를 기반으로 한 상시적 대응 및 관리가 가능한 보안 관리 기술에 관한 것이다.
현재 발생하고 있는 보안 위협들은 하루가 다르게 변하고 있으며, 정보시스템이 다양해지고 복잡해짐에 따라 보안 위협들도 점점 다양해지고 있다. 그러나, 현재 보안 위협을 실질적으로 평가 및 관리할 수 있는 관리체계는 부족한 상황이다.
한국특허출원 제10-2006-0046033호(출원일 2006년 05월 23일)에는 적은 비용으로 정보보호관리체계국제표준(ISO27001, ISO9000, ISO14000 등)의 인증을 받음과 동시에 그 수준을 지속적으로 유지하고, 프로세스 성숙도를 향상시킬 수 있도록 하는 정보기술 위험관리 모델이 개시되어 있다.
종래의 보안수준 측정은 각각의 평가체계에 대비할 목적으로 수기를 통해 비주기적으로 이루어지고 있다. 하지만, 이와 같은 방식은 급변하는 조직의 보안수준을 적절히 반영하지 못한 채 평가체계를 담당하는 보안관리자의 업무량을 가중시킬 뿐만 아니라, 비효율적인 보안예산 배분 등 잘못된 의사결정에 따른 문제점을 안고 있다. 이에, 급변하는 조직의 보안수준에 적용 가능하고 관리 및 의사결정에 도움이 되는 새로운 관점의 보안수준 측정 모델이 요구되고 있다.
따라서, 본 명세서에서는 신규 보안 위협에 따른 실질적인 위험을 평가 및 관리할 수 있고, 관리 항목에 대한 수치화 및 정량적 평가를 통해 상세한 현재 보안 실태를 한 눈에 파악할 수 있으며, 상시적 대응 및 관리가 가능한 프로세스 수립 및 시스템화 할 수 있는 모델을 제시한다.
급변하는 조직의 보안수준을 실시간으로 측정하고, 지수화 된 측정 결과를 통해 다양한 평가체계의 대비와 더불어 효율적인 보안관리를 수행하는 실시간 보안수준 측정 관리 모델을 제공한다.
본 발명의 실시예에 따르면, 실시간 보안수준 측정 관리 방법은, 조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 수집 단계; 상기 측정 데이터를 점수로 지수화 하는 지수화 단계; 및 상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드(dashboard) 화면을 제공하는 대시보드화 단계를 포함할 수 있다.
일 측면에 따르면, 상기 보안관련 관리체계는 관리적 보안 관리체계, 기술적 보안 관리체계, 물리적 보안 관리체계, 및 개인정보보호 관리체계로 분류될 수 있으며, 이때 측정 대상인 세부 통제 항목이 상기 보안관련 관리체계에 따라 통합되어 관리될 수 있다.
다른 측면에 따르면, 상기 수집 단계는, 상기 세부 통제 항목에 해당되는 로그 데이터를 단위 보안 시스템으로부터 입력 받을 수 있다.
또 다른 측면에 따르면, 상기 수집 단계는, 상기 세부 통제 항목에 해당되는 관련 데이터를 관리자로부터 입력 받을 수 있다.
또 다른 측면에 따르면, 상기 지수화 단계는, 상기 세부 통제 항목 별로 정의된 점수 산출식을 통해 상기 측정 데이터에 대한 점수를 계산할 수 있다.
또 다른 측면에 따르면, 상기 대시보드화 단계는, 상기 대시보드 화면에 상기 세부 통제 항목 별로 상기 지수화 된 점수를 나타낼 수 있다.
또 다른 측면에 따르면, 상기 대시보드화 단계는, 상기 대시보드 화면에 상기 보안관련 관리체계 별로 상기 보안관련 관리체계에 해당되는 상기 세부 통제 항목의 평균 점수를 나타낼 수 있다.
또 다른 측면에 따르면, 상기 지수화 단계는, 상기 세부 통제 항목 별로 정의된 목표 보안수준 점수와 상기 지수화 된 점수를 비교할 수 있으며, 이때 상기 대시보드화 단계는, 상기 대시보드 화면에 상기 목표 보안수준 점수와의 비교 결과를 나타낼 수 있다.
또 다른 측면에 따르면, 상기 대시보드화 단계는, 상기 대시보드 화면에 상기 지수화 된 점수가 일정 기간 동안 누적된 추이 그래프를 나타낼 수 있다.
본 발명의 실시예에 따르면, 실시간 보안수준 측정 관리 장치는, 조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 수집 모듈; 상기 측정 데이터를 점수로 지수화 하는 계산 모듈; 및 상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드 화면을 제공하는 대시보드 모듈을 포함할 수 있다. 이때, 상기 보안관련 관리체계는 관리적 보안 관리체계, 기술적 보안 관리체계, 물리적 보안 관리체계, 및 개인정보보호 관리체계로 분류될 수 있으며, 측정 대상인 세부 통제 항목이 상기 보안관련 관리체계에 따라 통합되어 관리될 수 있다.
본 발명은 다음과 같은 장점이 있다.
첫째, 상시적인 보안관리는 물론, 조직의 보안수준을 정량화 함으로써 실시간으로 측정 및 관리하여 측정시점에서의 문제점이 무엇인지를 정확하게 파악하고 문제점을 해결하기 위한 가장 효과적인 대응책을 선정, 적용하게 되어 비용투자 대비 보안 효과를 극대화 할 수 있다.
둘째, 보안이 고려된 조직 네트워크를 설계함으로써 외부 침입에 대한 보안 모니터링 및 보안 사고 발생 시 선제 탐지 및 능동적 대처가 가능하게 되어 궁극적으로는 조직의 정보자원을 외부의 위협으로부터 안전하게 보호하여 조직의 보안신뢰도를 향상시킬 수 있다.
셋째, 대시보드(dashboard)를 통해 조직의 정보보호 관리 체계에 대한 측정 결과를 수치화하여 보여줌으로써 효율적인 보안수준 파악 및 관리가 가능하고 조직 내 보안수준에 대한 의사결정을 신속하게 수행할 수 있다.
도 1은 본 발명의 일 실시예에 있어서, 실시간 보안수준 측정 관리 프로세스를 도시한 순서도이다.
도 2는 관리체계 통합 및 중요도 평가에 대한 예시 항목을 도시한 것이다.
도 3은 정보보호 관리체계 모델(도메인)의 예시 항목을 도시한 것이다.
도 4는 본 발명의 일 실시예에 있어서, 실시간 보안수준 측정 관리 시스템의 구성을 도시한 블록도이다.
도 5는 분야별 보안수준 측정 결과를 그래프로 나타낸 대시보드의 예시 화면이다.
도 2는 관리체계 통합 및 중요도 평가에 대한 예시 항목을 도시한 것이다.
도 3은 정보보호 관리체계 모델(도메인)의 예시 항목을 도시한 것이다.
도 4는 본 발명의 일 실시예에 있어서, 실시간 보안수준 측정 관리 시스템의 구성을 도시한 블록도이다.
도 5는 분야별 보안수준 측정 결과를 그래프로 나타낸 대시보드의 예시 화면이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명의 실시예들은 정보보안관리체계(G-ISMS)를 기반으로 하는 보안 시스템에 적용될 수 있다.
본 실시예에서는 조직 환경에 적합하고 상시적 대응 및 관리가 가능한 실시간 보안수준 측정 관리 모델(SPMS: Security Performance Measurement & Enhancement System)를 제안한다.
본 실시예에서의 전체적인 관리체계는 전자정보 정보보안 관리체계를 기본으로 하여 전자정부 관리체계의 정성적인 분야를 정량화 할 수 있는 평가지표로 설계된 것이다.
일 실시예에 따른 실시간 보안수준 측정 관리 방법은 도 1에 도시한 바와 같이 4개의 단계로 이루어질 수 있다.
관리체계 통합 및 중요도 평가(
S110
)
실시간 보안수준 측정 관리 시스템에서는 조직에서 수행중인 보안관련 평가체계(ISMS, PIMS, G-ISMS 등)들을 통합하고 각 세부 통제항목별 중요도를 산정하여 각 평가체계의 대비와 더불어 실질적으로 나타나는 조직의 위험을 자체적으로 평가 및 관리할 수 있다.
도 2는 조직에서 수행하는 관리체계를 통합하고 각 항목의 중요도를 평가하는 예시 항목을 도시한 것이다.
신규 보안 위협에 따른 실질적인 위험을 평가 및 관리하기 위해서는 기존 관리체계를 통합하는 것이 필요하다. 왜냐하면, 통합하지 않으면 같은 일을 여러 번 할 수도 있기 때문이다. 만약, 어떠한 보안 위협이 새로 나왔고, 그 보안 위협이 G-ISMS, 국정원, 교과부의 통제 항목과 연관이 있다고 가정한다면 담당자는 각 관리체계 인증을 할 때마다 그 신규 보안 위협에 대한 내용을 추가해야 할 것이다.
그리고, 조직의 보안을 위협하는 실질적인 위험 요인을 평가 및 관리하기 위해서는 관리체계 통합 및 수정 후, 각 세부 항목별 중요도를 매길 필요가 있다. 이때 중요도는 그 세부 통제 항목이 객관적으로 봤을 때의 중요성은 물론, 실제적으로 조직의 보안 관리에 얼마나 중요한지를 고려하여 평가될 수 있다.
지수화 및 정량적 평가(
S120
)
실시간 보안수준 측정 관리 시스템에서는 단계(S110)에서 통합한 각 세부 통제항목을 대상으로 중요도에 따라 목표수준을 설정하고 조직의 환경에 적합한 산출식을 도출할 수 있다.
일 예로, 실시간 보안수준 측정 관리 시스템에서는 G-ISMS를 바탕으로 전체적인 관리 항목을 관리적 보호, 기술적 보호, 물리적 보호, 개인정보보호 4가지 분야로 나눌 수 있다.
도 3은 정보보호 관리체계 모델(도메인)에 대한 예시 항목을 도시한 것이다. 관리적 보호에는 정보보호 정책 및 조직, 정보자산 관리, 업무 연속성 관리, 정보화 사업 관리, 인적 보안, 준거성 관리 등이 포함될 수 있고, 기술적 보호에는 침해사고 관리, 전자정보 관리, 어플리케이션 보안, 무선 및 네트워크 보안, 시스템 보안 등이 포함될 수 있고, 물리적 보호에는 보호구역 관리, 일반구역 관리 등이 포함될 수 있으며, 개인정보보호에는 관리적 개인정보보호, 개인정보 처리, 기술적 개인정보보호 등이 포함될 수 있다.
그리고, 실시간 보안수준 측정 관리 시스템에서는 필요한 세부 통제 항목의 중요도에 따라서 목표 수준을 설정하고 조직 환경에 맞는 점수 산출식이 있어야 한다. 이때, 점수 산출식은 조직 산출식과 조직 내 부서별 산출식으로 나뉘는데, 부서 별로 점수를 매길 필요가 있는 경우에는 부서별 산출식을 사용하여 그 점수의 평균을 조직 산출식 점수로 사용하고 그 외의 경우에는 각 세부 통제 항목에 맞게 산출식을 정할 수 있다. 이에, 실시간 보안수준 측정 관리 시스템에서는 산출식을 통해 매겨진 점수와 목표 수준 점수를 비교하여 그 통제 항목을 지켰는지 확인할 수 있고, 각 관리 체계에 대한 인증을 용이하게 받을 수 있다.
프로세스 수립 및 시스템화(
S130
)
실시간 보안수준 측정 관리 시스템에서는 각 세부 통제항목의 특성에 따라 자동관리와 수동관리로 나누어 조직에서 수행중인 평가체계에 대비할 수 있게 한다.
도 4는 본 발명의 일 실시예에 있어서, 각 세부 통제항목의 특성에 따른 관리 프로세스 구성을 도시한 것이다.
실시간 보안수준 측정 관리 시스템에서는 다양한 관리체계에 대한 인증을 용이하게 받을 수 있도록 설계하여 상시적 대응 및 관리가 가능한 프로세스를 수립하여야 한다. 기존 관리체계에 대한 인증을 용이하게 받기 위해서는 공통적인 통제 항목의 통합이 필수적이고 매월 사이버보안진단의 날에 각 부서별 보안담당자가 기본적인 사항을 점검하고 결과를 정보화전략실에서 종합, 이력관리를 통해 실제 평가에 사용하여 상시적 대응 및 관리가 가능한 프로세스를 수립하여야 한다.
이를 위하여, 실시간 보안수준 측정 관리 모델의 관리 절차 분류가 필요하며, 실시간 보안수준 측정 관리 시스템에서는 각 세부 통제항목의 특성에 따라 자동 관리 항목(420)과 수동 관리 항목(430, 440)으로 나누어 조직에서 수행 중인 평가체계에 대비할 수 있다. 이때, 자동 관리 항목(420)은 단위 보안 시스템 및 관련 시스템과 연계하여 자동으로 데이터를 산출하는 방법이다. 다시 말해, 연계 모듈을 통해 단위보안 시스템에서 해당 로그파일을 자동으로 수집할 수 있다. 또한, 수동 관리 항목(430, 440)은 관련 근거자료를 수기 입력하는 방법으로, 조직 내 보안담당 부서에서 관련 근거 자료를 상시적으로 직접 입력하는 제1 수동관리 방식(430)과, 부서별 보안담당자가 관련자료를 보안담당 부서로 송부 또는 직접 입력하는 제2 수동관리 방식(440)으로 구분될 수 있다. 수동 관리 항목의 두 가지 방식(430, 440) 모두 정보화전략실의 관리자의 승인을 받아서 정보가 올라간다는 점은 유사하지만, 제2 수동관리 방식(440)은 각 부서별 내용이 필요한 세부 통제 항목의 경우이고 제1 수동관리 방식(430)은 그 이외의 경우를 의미한다.
예시적으로, 실시간 보안수준 측정 관리 모델을 위한 측정 지표는 표 1과 같이 선정될 수 있다.
| 분야 | 도메인 | 통제항목 | 세부통제항목 |
| 관리적 보안 | 1.1 정보보호 정책 및 조직 | 1.1.1 정보보호 정책 | 1.1.1.1 정보보호 정책수립 및 개정 |
| 1.1.2 정보보호 조직 | 1.1.2.2 정보보안 조직구성 | ||
| 1.1.2.8 정보보안 위원회 | |||
| 1.1.3 정보보호 활동 | 1.1.3.2 사이버보안진단의 날 활동 | ||
| 1.2 정보자산 관리 | 1.2.3 휴대용 저장매체 관리 | 1.2.3.1 휴대용 저장매체 보안관리 | |
| 1.4 정보화사업 관리 | 1.4.1 용역사업 관리 | 1.4.1.7 정보보안 정책수립 및 개정 | |
| 1.4.1.8 용역업체 업무망 보안관리 | |||
| 1.4.1.9 용역업체 인터넷 보안관리 | |||
| 1.5 인적 보안 | 1.5.2 외부인원 보안 | 1.5.2.4 용역사업자 휴대용 저장매체 보안관리 | |
| 기술적 보안 | 2.1 침해사고 관리 | 2.1.1 침해사고 대응체계 | 2.1.1.5 DDoS 대응시스템 구축 |
| 2.2 전자정보 관리 | 2.2.2 전자정보 유출방지 | 2.2.2.1 정보유출 방지 보안대책 | |
| 2.2.2.4 비인가 사이트 차단 | |||
| 2.4 무선 및 네트워크 보안 | 2.4.1 무선랜 보안 | 2.4.1.2 무선랜 운영 보안관리 | |
| 2.5 시스템 보안 | 2.5.2 정보시스템 관리 | 2.5.2.8 변경 관리 | |
| 2.5.3 PC 보안 | 2.5.3.1 PC 운영체제 패치 관리 | ||
| 2.5.3.2 PC 백신 관리 | |||
| 2.5.3.3 부재중 PC 보안관리 | |||
| 2.5.3.4 PC 공유폴더 관리 | |||
| 2.5.3.5 PC 응용프로그램 패치관리 | |||
| 2.5.3.6 USB 자동실행 차단 | |||
| 2.5.3.8 개인정보 필터링 시스템 구축 및 운영 | |||
| 물리적 보안 | 3.1 보호구역 관리 | 3.1.1 보호구역 관리 | 3.1.1.1 보호구역 지정 및 관리 |
| 개인정보보호 | 4.2 개인정보 처리 | 4.2.2 수집동의 | 4.2.2.1 개인정보의 수집 동의 |
| 4.2.3 수집 정보 관리 | 4.2.3.1 개인정보 파일관리 |
이에, 표 1의 통제항목에 대한 지표 산출식은 표 2와 같이 정의될 수 있다.
| 세부 통제항목 | 수기 및 자동 입력(□: 수기입력, ■: 자동입력) |
| 1.1.1.1 정보보호 정책수립 및 개정 | □ 정보보안 정책수립 여부 (50%) □ 전 직원 공지여부 (20%) □ 유관기관 및 상급기관과 연 1회 이상 검토 여부 (30%) |
| 1.1.2.2 정보보안 조직구성 | □ 정보보호 전담 조직여부 (100%) |
| 1.1.2.8 정보보안 위원회 | □ 위원회 구성여부 (30%) □ 해당 반기 내 심의 여부 (70%) |
| 1.1.3.2 사이버보안진단의 날 활동 | ■ 내PC지키미 수행 점수 (100%) |
| 1.2.3.1 휴대용 저장매체 보안관리 | □ 휴대용 저장매체 사전승인 절차 (30%) ■ (점검 부서 수/전체 부서 수)*70 (70%) |
| 1.4.1.7 정보보안 정책수립 및 개정 | □ 관련규정 (30%) ■ 접점 방화벽 로그 중 Telnet, FTP, SSL, Terminal Service 등의 포트로 Accept 로그 존재여부 (70%) |
| 1.4.1.8 용역업체 업무망 보안관리 | □ 관련규정 (30%) ■ 업무망 접점 방화벽 로그 중 용역업체 IP에서 Telnet, FTP, SSL, Terminal Service 등의 포트로 Accept 로그 존재 여부 (70%) |
| 1.4.1.9 용역업체 인터넷 보안관리 | □ 관련규정 (30%) ■ 인터넷 접점 방화벽 로그 중 용역업체 IP Accept 로그 존재여부 (70%) |
| 1.5.2.4 용역사업자 휴대용 저장매체 보안관리 | □ 관련규정 (30%) ■ 100-((휴대용 저장매체 탐지 및 차단 수/전체 사용 수)*100) (70%) |
| 2.1.1.5 DDoS 대응시스템 구축 | □ DDoS 대응시스템 도입 여부 (30%) ■ 탐지 로그 여부 (30%) ■ 차단 로그 여부 (40%) |
| 2.2.2.1 정보유출 방지 보안대책 | □ 관련규정 (30%) ■ (Agent 설치 수/전체 PC 수)*70 (70%) |
| 2.2.2.4 비인가 사이트 차단 | □ 관련규정 (30%) ■ 유해사이트 차단시스템 도입 여부 (20%) ■ 100-((차단 수/접속 수)*100) (50%) |
| 2.4.1.2 무선랜 운영 보안관리 | □ 관련규정 (30%) ■ (소스코드 관리절차 이행 수/변경 수)*70 (70%) |
| 2.5.2.8 변경 관리 | □ 관련규정 (30%) ■ (소스코드 관리절차 이행 수/변경 수)*70 (70%) |
| 2.5.3.1 PC 운영체제 패치 관리 | □ 관련규정 (30%) ■ 지키미 항목에 대한 점수(평균)*0.7 (70%) |
| 2.5.3.2 PC 백신 관리 | □ 관련규정 (30%) ■ 지키미 항목에 대한 점수(평균)*0.7 (70%) |
| 2.5.3.3 부재중 PC 보안관리 | □ 관련규정 (30%) ■ 지키미 항목에 대한 점수(평균)*0.7 (70%) |
| 2.5.3.4 PC 공유폴더 관리 | □ 관련규정 (30%) ■ 지키미 항목에 대한 점수(평균)*0.7 (70%) |
| 2.5.3.5 PC 응용프로그램 패치관리 | □ 관련규정 (30%) ■ 지키미 항목에 대한 점수(평균)*0.7 (70%) |
| 2.5.3.6 USB 자동실행 차단 | □ 관련규정 (30%) ■ 지키미 항목에 대한 점수(평균)*0.7 (70%) |
| 2.5.3.8 개인정보 필터링 시스템 구축 및 운영 | □ (적용 수/대상 수)*100 (100%) |
| 3.1.1.1 보호구역 지정 및 관리 | □ 관련규정 (20%) □ 보호구역 지정여부 (30%) □ CCTV 설치여부 (15%) □ 이중잠금장치 설치여부 (15%) □ 개인정보 포함 서류 이중케비넷 설치여부 (20%) |
| 4.2.2.1 개인정보의 수집 동의 | □ 관련규정 (30%) ■ (고지 완료 부서/고지 대상 부서)*70 (70%) |
| 4.2.3.1 개인정보 파일관리 | □ 관련규정 (30%) □ 개인정보파일 등록여부 (70%) |
상기한 바와 같이, 실시간 보안수준 측정 관리 모델에서의 측정 지표는 4개의 분야에서 적어도 1개 이상의 지표를 포함할 수 있으며, 중요도가 '상'인 지표를 대상으로 선정될 수 있다. 그리고, 세부 통제항목에는 자동관리 항목뿐만 아니라 수동관리 항목 또한 포함될 수 있다.
대시보드화(
S140
)
본 실시예에서는 정보보호 관리체계의 측정 결과를 나타내기 위해 대시보드(dashboard)가 사용될 수 있다. 대시보드는 웹(WEB)에서 한 화면을 통해 다양한 정보를 중앙 집중적으로 관리하고 찾을 수 있도록 하는 장점이 있으며, 이러한 대시보드를 통해 정보보호 관리체계의 측정결과를 수치화하여 보여줌으로써 조직 내 보안수준을 한눈에 파악할 수 있다.
실시간 보안수준 측정 관리 시스템에서는 단계(S130)에서 수집된 데이터를 단계(S120)에서 도출된 산출식으로 지수화 하고 지수화 된 결과를 대시보드를 통해 그래프 형태로 출력할 수 있다.
실시간 보안수준 측정 관리 프로세스의 전체적인 구성은 도 4와 같으며, 크게 대시보드부(410), 입력부, 출력부로 구성될 수 있다. 이때, 입력부는 앞서 설명한 자동관리 항목(420)과 제1 수동관리 항목(430)에 해당될 수 있으며, 출력부는 제2 수동관리 항목(440)에 해당될 수 있다.
입력부는 산출식에 사용되는 데이터를 수집하기 위한 기능을 수행할 수 있다. 입력부를 통해 수기관리항목(430)에 대한 데이터를 직접 입력할 수 있으며, 자동관리항목(420)에 해당되는 데이터는 시스템 별 로그파일을 직접 등록시킴으로써 데이터를 입력할 수 있다.
출력부는 입력부를 통해 입력된 데이터를 출력 및 수정하기 위한 기능을 수행할 수 있다. 관리자는 해당 모듈을 통해 수집되는 데이터의 신뢰성을 확보하고 에러를 최소화할 수 있다.
대시보드부(410)는 수집 모듈(411), 계산 모듈(412), 데이터베이스(413), 및 대시보드 모듈(414)로 이루어질 수 있다. 이때, 대시보드부(410)는 수집 모듈(411)에서 자동 관리와 수동 관리 방법을 통해 데이터를 수집하고, 계산 모듈(412)에서 각 산출식에 따라서 점수가 매겨지게 되고 해당 점수를 데이터베이스(413)에 저장한 후, 대시보드 모듈(414)을 통하여 데이터베이스(413)에 저장된 데이터를 바탕으로 기관의 전체적 보안 수준을 제공할 수 있다. 다시 말해, 각 관리체계의 인증 시 데이터베이스(413)에서 필요한 데이터를 추출하여 사용되고 그것을 이용하여 심사를 용이하게 받을 수 있다. 상기한 구성의 대시보드부(410)는 정보보호 관리체계의 측정결과가 그래프 형태로 출력되는 부분이다. 예를 들어, 측정결과는 100점 기준의 수치로 나타나며, 분야별, 도메인별, 통제항목별, 세부통제항목별로 각각 별도의 그래프가 출력될 수 있다. 또한, 누적된 측정결과를 통해 조직의 보안수준 추이를 한눈에 파악하기 위한 추이별 그래프 또한 제공할 수 있다. 도 5는 분야별 보안수준 측정 결과를 그래프로 나타낸 대시보드의 예시 화면이다. 도 5에서 알 수 있듯이 대시보드 화면을 통해 분야별로 개별 점수를 확인할 수 있으며, 화면의 오른쪽 시계 모양의 그림은 분야별 점수의 평균, 즉 조직의 전체 보안수준 점수를 나타내는 것이다.
이와 같이, 본 발명의 실시예에서는 조직에 특화된 정보보호 관리 체계를 구현함으로써 통합된 통제 항목을 뽑아내는 것은 물론, 어떠한 관리 체계의 인증 심사를 할 때 그에 맞는 데이터를 적절히 추출할 수 있다. 또한, 비슷한 통제 항목을 통합할 때에는 각 관리 체계 통제 항목 내용을 평가 항목과 통제 목포에 추가하고 산출식을 통해서 새로운 통제 항목의 점수를 계산하고 그것을 사용하여 관리 체계의 인증을 수행할 수 있다. 따라서, 급변하는 조직의 보안수준을 실시간으로 측정하고 지수화 된 측정 결과를 통해 다양한 평가체계의 대비와 더불어 효율적인 보안관리를 수행할 수 있으며, 조직에 특화된 정보보호 관리 체계를 통해 해당 조직의 보안 관리를 위한 시간과 비용, 인력을 절감할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
410: 대시보드부
411: 수집 모듈
412: 계산 모듈
413: 데이터베이스
414: 대시보드 모듈
411: 수집 모듈
412: 계산 모듈
413: 데이터베이스
414: 대시보드 모듈
Claims (14)
- 조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 수집 단계;
상기 측정 데이터를 점수로 지수화 하는 지수화 단계; 및
상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드(dashboard) 화면을 제공하는 대시보드화 단계
를 포함하는 실시간 보안수준 측정 관리 방법. - 제1항에 있어서,
상기 보안관련 관리체계는 관리적 보안 관리체계, 기술적 보안 관리체계, 물리적 보안 관리체계, 및 개인정보보호 관리체계로 분류되며,
측정 대상인 세부 통제 항목이 상기 보안관련 관리체계에 따라 통합되어 관리되는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제2항에 있어서,
상기 수집 단계는,
상기 세부 통제 항목에 해당되는 로그 데이터를 단위 보안 시스템으로부터 입력 받는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제2항에 있어서,
상기 수집 단계는,
상기 세부 통제 항목에 해당되는 관련 데이터를 관리자로부터 입력 받는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제2항에 있어서,
상기 지수화 단계는,
상기 세부 통제 항목 별로 정의된 점수 산출식을 통해 상기 측정 데이터에 대한 점수를 계산하는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제2항에 있어서,
상기 대시보드화 단계는,
상기 대시보드 화면에 상기 세부 통제 항목 별로 상기 지수화 된 점수를 나타내는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제2항에 있어서,
상기 대시보드화 단계는,
상기 대시보드 화면에 상기 보안관련 관리체계 별로 상기 보안관련 관리체계에 해당되는 상기 세부 통제 항목의 평균 점수를 나타내는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제2항에 있어서,
상기 지수화 단계는,
상기 세부 통제 항목 별로 정의된 목표 보안수준 점수와 상기 지수화 된 점수를 비교하고,
상기 대시보드화 단계는,
상기 대시보드 화면에 상기 목표 보안수준 점수와의 비교 결과를 나타내는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 제1항에 있어서,
상기 대시보드화 단계는,
상기 대시보드 화면에 상기 지수화 된 점수가 일정 기간 동안 누적된 추이 그래프를 나타내는 것
을 특징으로 하는 실시간 보안수준 측정 관리 방법. - 조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 수집 모듈;
상기 측정 데이터를 점수로 지수화 하는 계산 모듈; 및
상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드 화면을 제공하는 대시보드 모듈
를 포함하는 실시간 보안수준 측정 관리 장치. - 조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 수집 모듈;
상기 측정 데이터를 점수로 지수화 하는 계산 모듈; 및
상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드 화면을 제공하는 대시보드 모듈
을 포함하고,
상기 보안관련 관리체계는 관리적 보안 관리체계, 기술적 보안 관리체계, 물리적 보안 관리체계, 및 개인정보보호 관리체계로 분류되며,
측정 대상인 세부 통제 항목이 상기 보안관련 관리체계에 따라 통합되어 관리되는 것
을 특징으로 하는 실시간 보안수준 측정 관리 장치. - 제11항에 있어서,
상기 수집 모듈은,
상기 세부 통제 항목에 해당되는 로그 데이터를 단위 보안 시스템으로부터 입력 받거나, 상기 세부 통제 항목에 해당되는 관련 데이터를 관리자로부터 입력 받는 것
을 특징으로 하는 실시간 보안수준 측정 관리 장치. - 제11항에 있어서,
상기 계산 모듈은,
상기 세부 통제 항목 별로 정의된 점수 산출식을 통해 상기 측정 데이터에 대한 점수를 계산하는 것
을 특징으로 하는 실시간 보안수준 측정 관리 장치. - 컴퓨터 시스템이 조직의 보안수준을 관리하도록 제어하는 명령(instruction)을 포함하는 컴퓨터 판독가능 매체로서,
상기 명령은,
조직에서 수행 중인 보안관련 관리체계의 보안 수준을 나타내는 측정 데이터를 수집하는 단계;
상기 측정 데이터를 점수로 지수화 하는 단계; 및
상기 보안관련 관리체계 별로 상기 지수화 된 점수를 나타내는 대시보드 화면을 제공하는 단계
을 포함하고,
상기 보안관련 관리체계는 관리적 보안 관리체계, 기술적 보안 관리체계, 물리적 보안 관리체계, 및 개인정보보호 관리체계로 분류되며,
측정 대상인 세부 통제 항목이 상기 보안관련 관리체계에 따라 통합되어 관리되는 것
을 특징으로 하는, 컴퓨터 판독 가능 매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120150396A KR20140081071A (ko) | 2012-12-21 | 2012-12-21 | 실시간 보안수준 측정 관리 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120150396A KR20140081071A (ko) | 2012-12-21 | 2012-12-21 | 실시간 보안수준 측정 관리 방법 및 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20140081071A true KR20140081071A (ko) | 2014-07-01 |
Family
ID=51732458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120150396A KR20140081071A (ko) | 2012-12-21 | 2012-12-21 | 실시간 보안수준 측정 관리 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20140081071A (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101616989B1 (ko) * | 2014-12-10 | 2016-04-29 | 고려대학교 산학협력단 | 정보 보안 통제 상태 평가 방법 및 장치 |
| KR102122702B1 (ko) * | 2020-04-03 | 2020-06-15 | 정경섭 | 정보보호 인증심사 관련 문서를 관리하는 서버 및 그 시스템 |
| WO2021015343A1 (ko) * | 2019-07-24 | 2021-01-28 | 주식회사 마이트 | 정보 보호를 위한 운영 관리 시스템 |
| KR102560483B1 (ko) * | 2022-08-29 | 2023-07-27 | 주식회사 세퍼드 | 메신저를 이용한 보안 서비스 제공 방법 및 장치 |
-
2012
- 2012-12-21 KR KR1020120150396A patent/KR20140081071A/ko active Search and Examination
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101616989B1 (ko) * | 2014-12-10 | 2016-04-29 | 고려대학교 산학협력단 | 정보 보안 통제 상태 평가 방법 및 장치 |
| WO2016093466A1 (ko) * | 2014-12-10 | 2016-06-16 | 고려대학교 산학협력단 | 정보 보안 통제 상태 평가 방법 및 장치 |
| US10452852B2 (en) | 2014-12-10 | 2019-10-22 | Korea University Research And Business Foundation | Method and apparatus for measurement of information-security-controlling status |
| WO2021015343A1 (ko) * | 2019-07-24 | 2021-01-28 | 주식회사 마이트 | 정보 보호를 위한 운영 관리 시스템 |
| KR102122702B1 (ko) * | 2020-04-03 | 2020-06-15 | 정경섭 | 정보보호 인증심사 관련 문서를 관리하는 서버 및 그 시스템 |
| KR102560483B1 (ko) * | 2022-08-29 | 2023-07-27 | 주식회사 세퍼드 | 메신저를 이용한 보안 서비스 제공 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | Detecting and resolving firewall policy anomalies | |
| US10021138B2 (en) | Policy/rule engine, multi-compliance framework and risk remediation | |
| US10019677B2 (en) | Active policy enforcement | |
| US8769412B2 (en) | Method and apparatus for risk visualization and remediation | |
| US20160267408A1 (en) | Systems, structures, and processes for interconnected devices and risk management | |
| US20140279641A1 (en) | Identity and asset risk score intelligence and threat mitigation | |
| US20090106843A1 (en) | Security risk evaluation method for effective threat management | |
| US9392013B1 (en) | Defending against a cyber attack via asset overlay mapping | |
| KR101292640B1 (ko) | 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법 | |
| CN113542279A (zh) | 一种网络安全风险评估方法、系统及装置 | |
| Mutemwa et al. | Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems | |
| KR20140081071A (ko) | 실시간 보안수준 측정 관리 방법 및 시스템 | |
| WO2022150513A1 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| CN112637215A (zh) | 网络安全检测方法、装置、电子设备及可读存储介质 | |
| KR101180092B1 (ko) | 보안이벤트 분석방법 및 분석시스템, 그 기록매체 | |
| Ahmed et al. | Aggregation of security metrics for decision making: a reference architecture | |
| Kaushik | A systematic approach to develop an advanced insider attacks detection module | |
| KR20180130630A (ko) | 자동화 진단도구를 이용한 정보시스템 취약점 진단 관리 시스템 및 방법 | |
| KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| Alharbi | A qualitative study on security operations centers in saudi arabia: challenges and research directions | |
| Lee et al. | A design on information security occupational classification for future convergence environment | |
| US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
| Kai et al. | Development of qualification of security status suitable for cloud computing system | |
| AU2022205946A1 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment |