KR20200036488A - 통합보안업무관리장치 및 통합보안업무관리방법 - Google Patents

통합보안업무관리장치 및 통합보안업무관리방법 Download PDF

Info

Publication number
KR20200036488A
KR20200036488A KR1020180116180A KR20180116180A KR20200036488A KR 20200036488 A KR20200036488 A KR 20200036488A KR 1020180116180 A KR1020180116180 A KR 1020180116180A KR 20180116180 A KR20180116180 A KR 20180116180A KR 20200036488 A KR20200036488 A KR 20200036488A
Authority
KR
South Korea
Prior art keywords
security
task
integrated
authentication
laws
Prior art date
Application number
KR1020180116180A
Other languages
English (en)
Other versions
KR102213465B1 (ko
Inventor
안희동
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020180116180A priority Critical patent/KR102213465B1/ko
Publication of KR20200036488A publication Critical patent/KR20200036488A/ko
Application granted granted Critical
Publication of KR102213465B1 publication Critical patent/KR102213465B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 출원은 통합보안업무관리장치 및 통합보안업무관리방법에 관한 것으로서, 본 발명의 일 실시예에 의한 통합보안업무관리장치는, 전사적 통합보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공하는 통합보안업무관리장치에 관한 것으로서, 법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하는 보안프로세스설정부; 업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하는 보안업무수행부; 상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면을 매칭한 마스터 파일(master file)을 저장하는 증적자료 수집부; 및 인증심사단말의 심사요청에 따라, 각각의 통제항목에 대응하는 보안업무의 처리결과를, 상기 증적화면으로 제공하는 인증부를 포함할 수 있다.

Description

통합보안업무관리장치 및 통합보안업무관리방법 {Apparatus and method for managing information security}
본 출원은 통합보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공할 수 있는 통합보안업무관리장치 및 통합보안업무관리방법에 관한 것이다.
정보보호 관리체계(Information Security Management System: 이하 ISMS라 함)는 정보통신망의 안정성 확보를 위하여 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도이다. 즉, ISMS는 관리적 관점의 정보보호체계로서, 조직의 운영에 있어 체계적인 관리의 틀을 마련하고 지속적인 정보보호 관리업무를 수행하고 이를 증명하기 위해 증적(evidence)을 관리하여야 주어지는 인증이다. 최근 개인정보보호법 발효와 대형보안사고 급증으로 인해 관리적 관점의 ISMS 인증이 권고사항에서 강제사항으로 변경되어 시행되고 있다.
ISMS 인증은 정보보호를 위한 통제요건들 각각에 대한 실천 통제항목들이 정보보호 컨설턴트의 컨설팅을 통해 생성되며, 이후 수많은 인력(정보보호 컨설턴트)들이 통제요건들 각각에 대한 실천 통제항목들이 지켜지고 있는가를 점검하고 이 점검결과를 증적으로 남기는 방식으로 이루어지고 있다.
이로 인해서 통제요건들 각각에 대한 실천 통제항목들의 생성이 정보보호 컨설턴트에 의해서 이루어지기 때문에 고비용이 소요되는 문제점이 발생한다. 또한, 수많은 인력들이 주기적으로 동일한 실천 통제항목들이 지켜지는지를 점검하고 이를 증적(증거 자료)으로 남기는 반복작업을 수행해야 하는 어려움을 가진다.
이외에도, ISMS 등의 보안인증기준이나 정보보안 관련 법령 등은 종류가 다양하고, 개정도 빈번하게 발생하므로, 개정여부를 주기적으로 모니터링해야 하는 어려움이 있으며, 개정 사실을 인지하더라도 이에 대한 신속한 대응이 어려운 문제점이 존재한다.
본 출원은, 통합보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공할 수 있는 통합보안업무관리장치 및 통합보안업무관리방법을 제공하고자 한다.
본 출원은, 보안업무들을 전산화한 보안업무 처리 시스템과, 보안인증을 위한 증적자료를 수집하는 정보보호 증적 관리 시스템을 통합한 통합보안업무관리장치 및 통합보안업무관리방법을 제공하고자 한다.
본 출원은, 법령이나 보안인증기준 등의 변경시 변경사항을 자동으로 업데이트할 수 있는 통합보안업무관리장치 및 통합보안업무관리방법을 제공하고자 한다.
본 발명의 일 실시예에 의한 통합보안업무관리장치는, 전사적 통합보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공하는 통합보안업무관리장치에 관한 것으로서, 법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하는 보안프로세스설정부; 업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하는 보안업무수행부; 상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면을 매칭한 마스터 파일(master file)을 저장하는 증적자료 수집부; 및 인증심사단말의 심사요청에 따라, 각각의 통제항목에 대응하는 보안업무의 처리결과를, 상기 증적화면으로 제공하는 인증부를 포함할 수 있다.
여기서, 상기 법령은 정보통신망법, 개인정보보호법 및 전자금융거래법 중 적어도 어느 하나를 포함하고, 상기 보안인증기준은 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System) 및 ISO 27001 중 적어도 어느 하나를 포함할 수 있다.
여기서 상기 마스터 파일은, 상기 통제항목과, 상기 증적화면에 대응하는 화면 식별자(identifier) 또는 상기 증적화면을 연결하는 URL(Uniform Resource Locator) 주소를 매칭하여 생성할 수 있다.
여기서 상기 보안업무수행부는, 업무수행의 빈도에 따라, 상기 보안업무를 상시적 보안업무와 정기적 보안업무로 구별할 수 있다.
여기서 상기 증적자료 수집부는, 상기 상시적 보안업무에 대응하여 상기 마스터 파일을 저장하고, 상기 정기적 보안업무에 대응하여 상기 업무 담당자 단말이 업로드하는 증적파일을 저장할 수 있다.
여기서 상기 인증부는, 상기 심사요청에 대응하여, 상기 상시적 보안업무의 처리결과로 상기 증적화면을 제공하고, 상기 정기적 보안업무의 처리결과로 상기 증적파일을 제공할 수 있다.
여기서, 본 발명의 일 실시예에 의한 통합보안업무관리장치는, 업데이트서버와의 통신을 통하여, 상기 법령 또는 보안인증기준을 업데이트하는 업데이트부를 더 포함할 수 있다.
여기서 상기 업데이트부는, 상기 법령 또는 보안인증기준의 변경시, 상기 업데이트서버로부터 상기 법령 또는 보안인증기준의 변경사항을 표시하는 신구매핑표를 수신할 수 있다.
여기서 상기 업데이트부는, 상기 업무 담당자 단말로부터 상기 신구매핑표에 대한 승인메시지를 수신하면, 상기 변경된 법령 또는 보안인증기준을 상기 업데이트서버로부터 마이그레이션(migration)할 수 있다.
본 발명의 다른 실시예에 의한 통합보안업무관리장치는, 프로세서; 및 상기 프로세서에 커플링된 메모리를 포함하는 것으로서, 상기 메모리는 상기 프로세서에 의하여 실행되도록 구성되는 하나 이상의 모듈을 포함하고, 상기 하나 이상의 모듈은, 법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하고; 업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하며; 상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면을 매칭한 마스터 파일(master file)을 저장하고; 인증심사단말의 심사요청에 따라, 각각의 통제항목에 대응하는 보안업무의 처리결과를, 상기 증적화면으로 제공하는, 명령어를 포함할 수 있다.
본 발명의 일 실시예에 의한 통합보안업무관리방법은, 전사적 통합 보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공하는 통합보안업무관리방법에 관한 것으로서, 법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하는 보안프로세스설정단계; 업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하는 보안업무수행단계; 및 인증심사단말의 심사요청에 따라, 상기 법령 또는 보안인증기준의 통제항목에 대응하는 각각의 보안업무의 처리결과를, 마스터 파일(master file)을 이용하여 증적화면으로 제공하는 인증단계를 포함할 수 있다.
여기서, 상기 법령은 정보통신망법, 개인정보보호법 및 전자금융거래법 중 적어도 어느 하나를 포함하고, 상기 보안인증기준은 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System) 및 ISO 27001 중 적어도 어느 하나를 포함할 수 있다.
여기서 상기 마스터 파일은, 상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면의 화면 식별자(identifier) 또는 URL(Uniform Resource Locator) 주소를 매칭하여 생성할 수 있다.
여기서 상기 보안업무수행단계는, 업무수행의 빈도에 따라, 상기 보안업무를 상시적 보안업무와 정기적 보안업무로 구별할 수 있다.
여기서 상기 인증단계는, 상기 심사요청에 대응하여, 상기 상시적 보안업무의 처리결과로 상기 마스터 파일을 이용하여 상기 증적화면을 제공하고, 상기 정기적 보안업무의 처리결과로 상기 업무 담당자 단말이 업로드한 증적파일을 제공할 수 있다.
여기서 본 발명의 일 실시예에 의한 통합보안업무관리방법은, 업데이트서버와의 통신을 통하여, 상기 법령 또는 보안인증기준을 업데이트하는 업데이트단계를 더 포함할 수 있다.
여기서 상기 업데이트단계는, 상기 법령 또는 보안인증기준의 변경시, 상기 업데이트서버로부터 상기 법령 또는 보안인증기준의 변경사항을 표시하는 신구매핑표를 수신할 수 있다.
여기서 상기 업데이트단계는, 상기 업무 담당자 단말로부터 상기 신구매핑표에 대한 승인메시지를 수신하면, 상기 변경된 법령 또는 보안인증기준을 상기 업데이트서버로부터 마이그레이션(migration)할 수 있다.
본 발명의 일 실시예에 의하면, 하드웨어와 결합되어 상술한 통합보안업무관리방법을 실행하기 위하여 매체에 저장된 컴퓨터 프로그램이 존재할 수 있다.
덧붙여 상기한 과제의 해결수단은, 본 발명의 특징을 모두 열거한 것이 아니다. 본 발명의 다양한 특징과 그에 따른 장점과 효과는 아래의 구체적인 실시형태를 참조하여 보다 상세하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 의한 통합보안업무관리장치 및 통합보안업무관리방법에 의하면, 보안업무들을 전산화한 보안업무 처리 시스템과, 보안인증을 위한 증적자료를 수집하는 정보보호 증적 관리 시스템을 통합하여, 전사적 통합보안관리서비스를 구현할 수 있다. 즉, 시스템에 의한 보안 프로세스의 처리와 함께 자동으로 증적자료를 수집할 수 있으므로, 효율적인 업무처리가 가능하다.
본 발명의 일 실시예에 의한 통합보안업무관리장치 및 통합보안업무관리방법에 의하면, 컴플라이언스(Compliance)에 따른 통제항목과 화면 식별자를 매핑하여 증적화면을 제공하는 것이 가능하다. 따라서, 보안인증을 위한 증적자료 업로드 등의 절차를 생략할 수 있다.
본 발명의 일 실시예에 의한 통합보안업무관리장치 및 통합보안업무관리방법에 의하면, 법령이나 보안인증기준 등의 변경시 변경사항을 자동으로 업데이트할 수 있다. 이 경우, 기존에 매핑된 각 데이터 항목이 모두 업데이트되므로, 변경사항을 통합보안업무관리장치에 용이하게 반영시킬 수 있다.
또한, 본 발명의 일 실시예에 의한 통합보안업무관리장치 및 통합보안업무관리방법에 의하면, 법령이나 보안인증기준 등의 변경시 변경사항에 대한 신구매핑표를 제공받을 수 있으며, 업무담당자는 신구매핑표를 통하여 업데이트항목 등을 선택할 수 있다. 즉, 업무 담당자들은 법령이나 보안인증기준 등의 변경사항을 신속하게 파악할 수 있으며, 대상기업에 필요한 업데이트 항목을 선택적으로 업데이트하는 것이 가능하다.
본 발명의 일 실시예에 의한 통합보안업무관리장치 및 통합보안업무관리방법에 의하면, 법령이나 보안인증기준 등의 인증관련 정보 이외에, 보안관련 업계동향이나 보안뉴스 등을 제공받을 수 있으며, 시스템 관리에 대한 지속적인 유지보수를 제공받을 수 있다.
도1은 본 발명의 일 실시예에 의한 통합보안업무관리시스템을 나타내는 개략도이다.
도2 및 도3은 본 발명의 일 실시예에 의한 통합보안업무관리장치를 나타내는 블록도이다.
도4는 본 발명의 일 실시예에 의한 통합보안업무관리장치에서 수행하는 보안프로세스를 나타내는 개략도이다.
도5는 본 발명의 일 실시예에 의한 통합보안업무관리장치의 마스터 파일 및 증적화면을 나타내는 개략도이다.
도6은 본 발명의 일 실시예에 의한 인증부의 동작을 나타내는 개략도이다.
도7은 본 발명의 일 실시예에 의한 컴플라이언스 마이그레이션 테이블과 관리체계 그룹테이블을 나타내는 개략도이다.
도8은 본 발명의 일 실시예에 의한 업데이트된 법령 또는 보안인증기준을 제공하는 화면을 나타내는 개략도이다.
도9는 본 발명의 일 실시예에 의한 마스터파일의 업데이트를 나타내는 개략도이다.
도10은 본 발명의 일 실시예에 의한 설정페이지를 나타내는 개략도이다.
도11은 본 발명의 일 실시예에 의한 통합보안업무관리방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다. 또한, 명세서에 기재된 "~부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
도1은 본 발명의 일 실시예에 의한 통합보안업무관리시스템을 나타내는 블록도이다.
도1을 참조하면 본 발명의 일 실시예에 의한 통합보안업무관리시스템은 통합보안업무관리장치(100) 및 업데이트 서버(200)를 포함할 수 있다.
이하, 도1을 참조하여 본 발명의 일 실시예에 의한 통합보안업무관리시스템을 설명한다.
통합보안업무관리장치(100)는 대상 기업에 대한 전사적 통합보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공할 수 있다. 여기서, 전사적 통합보안관리서비스는 전사적 자원관리(ERP: Enterprise Resource Planning)에 정보보안(information security)을 적용한 것으로, 통합보안업무관리장치(100)는 보안업무들을 전산화한 보안업무 처리 시스템과, 보안인증을 위한 증적자료를 수집하는 정보보호 증적 관리 시스템을 통합하여, 전사적 통합보안관리서비스를 구현할 수 있다.
구체적으로, 통합보안업무관리장치(100)는 대상 기업에 요구되는 컴플라이언스(Compliance)에 따라 정보보안을 위한 보안 프로세스를 설정할 수 있으며, 보안 프로세스에 따른 보안업무 수행시, 수행하는 보안업무들에 대한 증적자료(evidence)들을 자동으로 수집할 수 있다. 여기서, 정보보안 등과 관련하여 대상 기업에 요구되는 컴플라이언스에는 정보통신망법, 개인정보보호법, 전자금융거래법, 신용거래법, 의료법 등의 법령이나 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System), ISO 27001, FISMA(Federal Information Security Management Act of 2002), KISA-ISMS G-ISMS(Government-Information Security Management System), PCI-DSS(Payment Card Industry-Data Security Standard), EU GDPR(European Union General Data Protection Regulation) 등의 보안인증기준 등이 포함될 수 있다.
업데이트 서버(200)는 통합보안업무관리장치(100)와 통신을 수행할 수 있으며, 법령이나 보안인증기준 등의 컴플라이언스에 관한 정보를 제공하여 통합보안업무관리장치(100)를 업데이트할 수 있다. 즉, 통합보안업무관리장치(100)에 적용 중인 법령이나 보안인증기준 등의 개정 여부를 확인한 후, 개정된 법령이나 보안인증기준 등이 존재하는 경우에는 통합보안업무관리장치(100)로 제공할 수 있다. 개정이 빈번하게 발생하는 법령의 경우, 대상기업의 보안 담당자가 법령의 개정여부를 즉각적으로 인지하여 반영하는 것이 어려울 수 있다. 따라서, 업데이트 서버(200)를 통해 법령이나 보안인증기준 등의 개정사항을 자동으로 업데이트함으로써, 효율적인 보안업무를 수행하도록 할 수 있다.
실시예에 따라서는, 업데이트 서버(200)가 법령이나 보안인증기준 등의 인증관련 정보 이외에, 보안관련 업계동향이나 보안뉴스 등을 수집하여 제공하는 것도 가능하다. 즉, 다양한 보안뉴스 등을 수집한 후, 대상 기업과 관련된 보안뉴스 등을 선별하여 제공하는 서비스 등을 제공할 수 있다.
추가적으로, 업데이트 서버(200)는 통합보안업무관리장치(100)를 대상 기업 내에 구축한 서비스 제공자가 운영할 수 있으며, 서비스 제공자는 통합보안업무관리장치(100)에 대한 하자보수 등과 함께 법령이나 보안인증기준, 보안뉴스 등에 대한 업데이트 서비스를 제공할 수 있다..
도2는 본 발명의 일 실시예에 의한 통합보안업무관리장치를 나타내는 블록도이다.
도2를 참조하면, 본 발명의 일 실시예에 의한 통합보안업무관리장치(100)는 보안프로세스설정부(110), 보안업무수행부(120), 증적자료 수집부(130), 인증부(140) 및 업데이트부(150)를 포함할 수 있다.
이하, 도2를 참조하여 본 발명의 일 실시예에 의한 통합보안업무관리장치를 설명한다.
보안프로세스설정부(110)는 법령이나 보안인증기준 등 정보보안과 관련하여 요구되는 컴플라이언스에 따라, 대상 기업의 보안프로세스를 설정할 수 있다. 대상 기업에 구축된 정보보호 관리체계의 신뢰도나 안전성 등을 보증받기 위해서는, 공인된 보안인증기준이나 법령 등에 대한 컴플라이언스를 인증받을 필요가 있다. 이를 위하여, 보안프로세스설정부(110)는 대상기업이 인증받고자 하는 법령이나 보안인증기준에 대응하도록 보안프로세스를 설정하고 관리할 수 있다. 이때, 보안프로세스설정부(110)는 PDCA(Plan, Do, Check, Action)에 따라 지속적으로 보안프로세스를 관리할 수 있다. 보안프로세스설정부(110)는 보안 담당자가 자신의 업무 담당자단말(a)을 통하여 인가하는 입력에 따라, 각각의 보안프로세스들을 설정하고 관리할 수 있다.
여기서, 법령에는 정보통신망법, 개인정보보호법, 전자금융거래법, 신용거래법, 의료법 등이 포함될 수 있으며, 보안인증기준에는 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System), ISO 27001, FISMA(Federal Information Security Management Act of 2002), KISA-ISMS G-ISMS(Government-Information Security Management System), PCI-DSS(Payment Card Industry-Data Security Standard), EU GDPR(European Union General Data Protection Regulation) 등이 포함될 수 있다.
구체적으로, 도4에 도시한 바와 같이, 보안프로세스설정부(110)는 퇴직자에 대한 보안프로세스를 설정할 수 있다. 여기서, 도4의 보안프로세스는 ISMS 6.2.1에 규정된 보안인증기준에 따라 설정될 수 있다. ISMS 6.2.1은 "퇴직 및 직무변경관리"에 관한 통제항목으로, "퇴직 및 직무변경시 인사부서와 정보보호 및 시스템 운영부서 등 관련 부서에서 이행해야할 자산반납, 접근권한 회수, 조정 결과 확인 등의 절차를 수립하여야 한다"는 것이다.
따라서, ISMS 6.2.1에 대응하여, 도4와 같이 "퇴직자 업무절차 시작 -> 팀장면담(담당: 부서팀장) -> 비밀유지서약서 작성(담당: 인사부) -> 재산 반납(담당: 재무부서) -> 출입증 회수 및 출입권한 삭제(담당: 경비부서) -> 정보시스템 및 중요정보에 대한 접근권한 조정(담당: 보안부서) -> 퇴직자 인사공고(담당: 인사부서) -> 퇴직자 업무절차 종료"를 수행하도록 ISMS 6.2.1에 대응하는 보안 프로세스를 생성할 수 있다.
다만, 도4에 예시된 보안프로세스는 일 실시예로서, ISMS 6.2.1에 대응하는 퇴직 및 직무변경관리의 보안프로세스는, 각각의 대상 기업체마다 상이하게 설정될 수 있으며, PDCA에 의하여 다양하게 변형가능하다. 이외에도, 보안프로세스설정부(110)는 각각의 컴플라이언스에 대응하는 다양한 보안프로세스들을 생성할 수 있다.
보안업무수행부(120)는 업무 담당자 단말(a)로부터 수신하는 입력에 대응하여, 보안프로세스에 따른 보안업무를 수행할 수 있다.
예를들어, 도4의 "비밀유지 서약서 작성"의 경우, 인사부 업무 담당자는 퇴직자에게 비밀유지 서약서에 대한 전자서명을 요청할 수 있으며, 퇴직자는 이에 대응하여 전자서명을 완료할 수 있다. 여기서, 보안업무수행부(120)는 인사부 업무 담당자와 퇴직자로부터 수신하는 입력에 따라, "비밀유지 서약서 작성"에 대응하는 전자서명 요청과 전자서명 완료 등의 보안업무를 수행될 수 있다.
또한, "비밀유지 서약서 작성"이 완료되면, 보안업무수행부(120)는 보안 프로세스에 따라 다음 보안업무인 "자산반납"을 수행하도록 재무부서의 업무 담당자에게 요청할 수 있다. 이후, 재무부서의 업무 담당자는 퇴직자에게 지급된 자산반납을 위한 절차를 보안업무수행부(120)를 통하여 수행할 수 있으며, 자산반납 완료 등을 입력하여 다음 보안 프로세스로 진행하도록 할 수 있다.
여기서, 보안프로세스 내의 각각의 보안업무들은 이전 보안업무가 완료된 이후에 수행되도록 제한될 수 있다. 즉, 각각의 보안업무를 수행하기 전에, 이전 보안업무에 대한 수행완료여부를 확인할 수 있으며, 이전 보안업무의 수행완료가 확인된 경우에 한하여 다음 보안업무를 수행하도록 할 수 있다.
한편, 보안업무수행부(120)는 업무수행의 빈도에 따라, 보안업무를 상시적 보안업무와 정기적 보안업무로 구별하여 처리할 수 있다. 예를들어, 퇴직자 관리나 신규자산 입고 등에 따른 자산관리 등은, 매번 발생할 때마다 대응하는 보안업무를 수행해야하므로, 상시적 보안업무에 해당하는 것으로 볼 수 있다. 반면에, 매년 수행하는 취약점 진단 등의 위험관리와 같이 정기적으로 수행되는 보안업무는 정기적 보안업무로 설정할 수 있다. 또한, 정기적으로 수행되는 보안업무는 아니지만 업무빈도가 낮은 보안업무도 정기적 보안업무로 설정하여 관리할 수 있다. 다만 업무빈도에 따라 상시적 보안업무와 정기적 보안업무로 구별하기 용이하지 않은 경우도 있을 수 있으며, 이 경우 업무 담당자가 임의로 상시적 보안업무와 정기적 보안업무를 구분하여 설정할 수 있다.
증적자료 수집부(130)는, 법령 또는 보안인증기준의 통제항목에 대응하는 각각의 보안업무에 대한 증적자료를 수집할 수 있다. 여기서, 증적자료 수집부(130)는 업무 담당자로부터 직접 증적자료를 업로드받아 저장하는 등의 방식으로 증적자료를 수집할 수 있다. 다만, 이 경우 업무 담당자가 매번 증적자료를 생성하여 업로드해야하므로, 업무처리에 있어서 비효율적이고 과도한 업무부담이 발생할 수 있다.
이를 해결하기 위하여, 각각의 법령 또는 보안인증기준의 통제항목과, 각각의 통제항목에 대응하는 증적화면을 매칭한 마스터 파일(master file)을 활용할 수 있다. 여기서 증적화면은 통제항목에 대응하는 각각의 보안업무의 처리결과가 표시되는 화면일 수 있다.
구체적으로, 도5(a)에 도시한 바와 같이, 마스터 파일에는 각각의 컴플라이언스별로 버전정보, 통제항목, 화면 식별자(화면ID) 및 화면설명이 매핑되어 있을 수 있다. 따라서, 마스터 파일을 이용하면, 특정 버전(예를들어, 2013년 버전)에서의 컴플라이언스의 통제항목(예를들어, ISMS 6.2.1)에 대응하는 화면ID(예를들어, 0012)를 도출할 수 있으며, 화면ID를 통하여 해당보안업무의 처리결과에 해당하는 증적화면을 출력할 수 있다. 여기서, 통합보안업무관리장치(100)를 설계할 때, 통합보안업무관리장치(100)가 제공하는 각각의 화면들에 대한 화면ID들이 미리 설정되어 있을 수 있다. 따라서, 보안업무에 대한 처리결과를 제공하는 화면ID를 특정할 수 있으며, 이를 각각의 통제항목에 대응시킬 수 있다. 즉, 각각의 화면ID와, 각각의 컴플라이언스에 대한 통제항목들을 매칭시킬 수 있으므로, 마스터 파일을 미리 생성하여 저장하는 것이 가능하다. 여기서, 각각의 통제항목과 화면ID는 일대일로 매칭되지 않을 수 있으며, 실시예에 따라서는 M:N의 다대다 대응으로 매칭될 수 있다.
한편, 실시예에 따라서는, 증적화면에 대응하는 화면 식별자(identifier) 대신에, 증적화면을 연결하는 URL(Uniform Resource Locator) 주소를 매칭하여 마스터 파일을 생성하는 것도 가능하다. 즉, 증적화면이 통합보안업무관리장치(100) 내에 설정된 화면이 아니라 외부 시스템 등의 화면인 경우에는, 화면 식별자 대신에 URL 주소를 이용하여 매칭시킬 수 있다.
추가적으로, 상시적 보안업무의 경우, 업무 담당자는 해당 보안업무를 빈번하게 수행하므로, 처리결과를 제공하는 화면ID와 대응하는 통제항목을 매칭하여 마스터 파일로 미리 저장해둘 수 있다. 따라서, 상시적 보안업무의 경우, 업무 담당자가 별도의 증적자료 저장을 위한 동작을 수행할 필요가 없으며, 마스터 파일에 의하여 자동으로 증적자료가 수집되도록 할 수 있다.
반면에, 정기적 보안업무의 경우에는, 업무빈도가 낮으므로, 보안업무에 대한 처리결과를 제공하는 화면 ID와 통제항목을 서로 매칭하는 등의 과정이 비효율적일 수 있다. 따라서, 정기적 보안업무의 경우에는 마스터 파일의 생성을 생략하고, 정기적 보안업무를 수행할 때마다 업무 담당자가 직접 증적파일을 업로드하도록 할 수 있다. 이 경우, 증적자료수집부(130)는 업로드받은 증적파일을 저장하여 보관할 수 있다.
또한, 실시예에 따라서는 정기적 보안업무와 상시적 보안업무를 구별하지 않고, 업무 담당자가 각각의 보안업무에 대해 증적자료를 수집하는 방식을 선택하도록 하는 것도 가능하다. 즉, 업무 담당자는 선호도에 따라, 각각의 보안업무에 대하여 마스터 파일을 이용하여 자동으로 증적자료를 수집하도록 하거나, 또는 직접 증적파일을 업로드하도록 선택할 수 있다.
인증부(140)는 인증심사단말(b)의 심사요청에 따라, 각각의 통제항목에 대응하는 보안업무의 처리결과를 제공할 수 있다. 도6에 도시한 바와 같이, 인증부(140)는 보안업무의 처리결과로 증적화면 또는 증적파일을 제공할 수 있으며, 실시예에 따라서는 상시적 보안업무의 처리결과로 증적화면을 제공하고, 정기적 보안업무의 처리결과로 증적파일을 제공할 수 있다.
인증심사단말(b)은 대상 기업에 대한 ISMS, PIMS, ISO 27001 등의 보안인증기준이나, 정보통신망법, 개인정보보호법, 전자금융거래법 등의 법령에 대한 컴플라이언스를 확인하기 위하여, 인증부(140)로 각각의 보안인증기준 또는 법령별로 통제항목에 대응하는 보안업무의 처리결과를 요청할 수 있다. 이 경우, 인증심사단말(b)은 인증부(140)로부터 제공받은 증적화면과 증적파일을 통하여, 각각의 통제항목에 대응한 보안업무의 수행여부를 확인할 수 있으며, 확인결과로부터 해당 대상기업의 보안인증을 승인하거나 승인취소할 수 있다.
한편, 인증부(140)는 인증심사단말(b)의 요청에 대응하여 자동으로 증적화면 또는 증적파일을 제공할 수 있다. 즉, 업무 담당자는 증적자료 제출을 위한 별도의 동작을 수행할 필요가 없으므로, 편리하게 보안인증기준이나 법령에 대한 컴플라이언스(compliance)를 확인받을 수 있다.
업데이트부(150)는 업데이트서버(200)와 통신을 수행할 수 있으며, 업데이트서버(200)로부터 법령 또는 보안인증기준 등의 변경사항을 업데이트받을 수 있다. 구체적으로, 법령 또는 보안인증기준의 변경시, 업데이트서버(200)로부터 법령 또는 보안인증기준의 변경사항을 표시하는 신구매핑표를 수신할 수 있으며, 보안업무 담당자는 신구매핑표로부터 법령 또는 보안인증기준의 변경사항을 확인할 수 있다. 이후, 업데이트부(150)는 업무 담당자 단말(a)로부터 신구매핑표에 대한 승인메시지를 수신하면, 변경된 법령 또는 보안인증기준을 업데이트서버(200)로부터 마이그레이션(migration)할 수 있다. 즉, 보안 업무 담당자로부터 변경사항에 대한 확인을 받은 이후에 업데이트를 진행할 수 있다.
구체적으로, 업데이트 서버(200)는 법령 또는 보안인증기준의 변경시, 신구매핑표를 제작하여 업데이트부(150)로 제공할 수 있으며, 도7에 도시한 바와 같이, 업데이트 서버(200)가 제공하는 신구매핑표에는 컴플라이언스 마이그레이션 테이블(t1)과 관리체계 그룹테이블(t2)이 포함될 수 있다. 여기서, 컴플라이언스 마이그레이션 테이블(t1)은 통합보안업무관리장치(100)에 적용가능한 컴플라이언스들의 목록을 나타내는 표이고, 관리체계 그룹테이블(t2)은 통합보안업무관리장치(100)에서 수행하는 보안업무별로 적용가능한 각각의 컴플라이언스들을 나타내는 표이다.
도7(a)는 컴플라이언스 마이그레이션 테이블(t1)의 업데이트를 나타내는 것으로, 도7(a)에 도시한 바와 같이 ISMS-P의 2018년 버전이 새롭게 추가되고, 정보통신망법이 개정된 경우, 업데이트 서버(200)는 컴플라이언스 마이그레이션 테이블(t1) 상에 ISMS-P의 2018년 버전과 개정 정보통신망법을 추가할 수 있다. 즉, 업데이트 서버(200)는 ISMS-P의 2018년 버전 중에서 변경된 통제항목인 6.2.1과, 개정된 정보통신망법 중에서 변경된 제1항제5조를 업데이트할 수 있다. 법령의 경우 버전정보로 법령의 개정일 또는 시행일을 표시할 수 있다.
또한, 도7(b)는 관리체계 그룹 테이블(t2)의 업데이트를 나타내는 것으로, 도7(b)에 도시한 바와 같이 "퇴사자 관리"에 적용되는 컴플라이언스 중에서, ISMS의 2018 버전이 추가되고, 개인정보법이 개정된 경우, 업데이트 서버(200)는 관리체계 그룹 테이블(t2) 상에 ISMS의 2018 버전과, 개정된 개인정보법을 추가할 수 있다. 여기서, ISMS의 2018 버전 중에서 "퇴사자관리"와 관련된 통제항목은 6.2.7이고, 개정된 개인정보법 중에서 "퇴사자관리"와 관련된 밥조항은 1항3조일 수 있다.
여기서, 관리체계 그룹 테이블(t2)에 포함된 "통제그룹" 항목은 통합보안업무관리장치(100)에서 수행하는 보안업무를 나타내는 것으로, 도7(b)에서는 "퇴사자관리"에 해당한다. 또한, "통제ID" 항목은 각각의 통제그룹을 나타내는 식별자로, 여기서는 "G1"이 "퇴사자관리"에 대응하는 통제ID에 해당한다. 이외에도, "종류" 항목은 각각의 컴플라이언스가 보안인증에 관한 것인지 아니면 법령에 관한 것인지를 나타내는 것으로, 보안인증에 관한 것은 "인증"으로 표시하고, 법령에 관한 것은 "시행령", "시행규칙" 또는 "법률"로 각각 구별하여 표시할 수 있다.
한편, 업데이트부(150)는 업데이트 서버(200)로부터 컴플라이언스 마이그레이션 테이블(t1)과 관리체계 그룹 테이블(t2)을 수신할 수 있으며, 수신한 컴플라이언스 마이그레이션 테이블(t1)과 관리체계 그룹 테이블(t2)을 이용하여, 업데이트된 법령 또는 보안인증기준의 적용여부를 선택할 수 있다.
구체적으로, 도8(a)에 도시한 바와 같이, 업데이트부(150)는 대상 기업 보안 담당자에게 업데이트 확인을 위한 화면을 제공할 수 있으며, 보안 담당자는 개정된 법령이나 보안인증기준 등을 확인하기 위해, "업데이트 서버 연결(S1)"을 클릭할 수 있다. 이 경우, 최근 업데이트된 법령 또는 보안인증기준 등이 팝업창 등을 통하여 표시될 수 있으며, 최근에 업데이트된 항목부터 위에서 아래로 순차적으로 정렬될 수 있다. 이때 컴플라이언스 마이그레이션 테이블(t1)이 활용될 수 있으며, 도8(a)에 도시한 바와 같이, 보안 담당자는 이를 통하여 현재 개정된 법령 또는 보안인증기준 등을 확인할 수 있다. 여기서, 개정된 법령명과 해당 업데이트 내용의 등록일이 표시될 수 있으며, 개정된 법령들의 경우 시행일 등이 표시될 수 있다. 또한, 법령의 구체적인 내용을 확인할 수 있도록, 개정된 법령에 대한 다운로드 기능을 제공할 수 있으며, 주요 개정내용을 함께 표시하여 사용자 편의성을 증진시킬 수 있다.
이후, 보안 담당자가 현재 적용중인 법령 및 보안인증기준과 개정된 법령 및 보안인증기준을 비교하고자 하는 경우, "신구 비교(S2)"를 클릭할 수 있다. 이 경우 도8(b)에 도시한 바와 같이, 신구비교표가 표시될 수 있다. 이를 통하여, 보안 담당자는 개정된 법령 또는 보안인증기준의 내용을 용이하게 비교할 수 있으며, 이를 통하여 업데이트된 내용을 적용할 것인지 여부를 선택할 수 있다. 여기서, 업데이트 내역이 복수인 경우에는, 보안 담당자가 선택한 일부 업데이트 내역만을 업데이트하는 것도 가능하다. 즉, 보안 담당자가 업데이트하고자 하는 업데이트 내역을 선택한 후 "적용(S3)"을 클릭하면, 해당 법령 또는 컴플라이언스에 대응하는 항목이 통합보안업무관리장치(100)로 업데이트될 수 있다. 이 경우 도9에 도시한 바와 같이, 마스터 파일이 업데이트될 수 있다. 즉, 추가된 ISMS 2017 버전의 통제항목6.2.7에 대한 증적은, 화면ID 0012에 표시하도록 업데이트할 수 있다. 이와 같이, 보안인증기준이나 법령 등이 업데이트되면, 대응하는 화면ID 등도 함께 업데이트하여 매핑되도록 할 수 있다.
추가적으로, 보안 담당자는 업데이트부(150)를 이용하여 자동으로 각각의 보안업무에 대한 컴플라이언스 등을 업데이트할 수 있으나, 실시예에 따라서는 보안 담당자가 수동으로 보안업무에 대한 컴플라이언스 등을 업데이트하는 것도 가능하다.
구체적으로, 보안 담당자는 도10에 도시한 설정페이지를 이용하여, 각각의 보안업무에 적용되는 컴플라이언스 항목들과, 해당 보안업무에 대응하는 증적을 제공하는 증적화면 등을 설정할 수 있다. 도10를 참조하면, 보안 담당자는 "퇴사자관리"에 대한 보안업무를 설정할 수 있으며, 현재 통합보안업무관리장치(100)에는 "퇴사자관리"와 관련하여 "ISMS 2017 2.1.1", "ISMS 2013 6.2.2", "PIMS 2015 7.2.3"과 "개인정보보호법(2017-10-19)", "개인정보보호법(2015-05-15)", "정보통신망법(2013-04-06)"에 대한 컴플라이언스를 유지하도록 보안업무가 설정되어 있을 수 있다. 여기서, "퇴사자관리"와 관련된 보안인증기준은 "분류체계"항목에 표시될 수 있으며, 법령 등은 "법규/지침분류" 항목에 표시될 수 있다. "분류체계" 항목 및 "법규/지침분류"는 업데이트부(150)에서 업데이트를 수행하면 자동으로 업데이트될 수 있으나, 설정페이지에서 이를 수동으로 설정하는 것도 가능하다. 여기서, "분류체계" 항목에 포함된 "검색" 버튼을 클릭하면, 관리체계 그룹 테이블(t2) 중에서 보안인증기준과 관련된 부분만이 표시될 수 있다. 즉, "종류" 항목이 "인증"으로 표시된 부분만을 표시할 수 있다. 이 경우 보안 담당자는 표시된 관리체계 그룹 테이블(t2) 중에서 "퇴사자 관리"와 관련하여 적용할 보안인증기준과 그 통제항목을 선택하여 적용할 수 있다.
또한, "법규/지침분류" 항목에 포함된 "검색" 버튼을 클릭하면, 관리체계 그룹 테이블(t2) 중에서 법령과 관련된 부분만이 표시될 수 있다. 즉, "종류" 항목이 "법령", "시행령" 또는 "시행규칙"으로 표시된 부분만을 표시할 수 있다. 이 경우 보안 담당자는 표시된 관리체계 그룹 테이블(t2) 중에서 "퇴사자 관리"와 관련하여 적용할 법령과 그 통제항목을 선택하여 적용할 수 있다.
여기서, 업데이트부(150)는 업데이트서버(200)로부터 관리체계 그룹 테이블(t2)을 수신하여 업데이트할 수 있으며, 보안 담당자는 이를 이용하여 통합보안업무관리장치(100)에 적용하는 컴플라이언스 설정시 업데이트된 보안인증기준 또는 법령을 기준으로 설정하는 것이 가능하다. 따라서, 보안 담당자는 보안업무에 적용하는 컴플라이언스들의 업데이트 여부를 일일이 확인할 필요가 없으며, 업데이트 서버(200)와 업데이트부(150) 사이의 통신을 통하여 지속적으로 업데이트할 수 있다.
일반적으로 법령의 경우, 잦은 개정이 발생하므로, 대상기업의 보안담당자들은 이러한 법령 개정 등을 즉각 인지하여 업무에 반영하는 것이 어려울 수 있다. 따라서, 업데이트부(150)를 통하여 업데이트서버(200)로부터 법령 또는 컴플라이언스의 변경여부를 확인할 수 있으며, 이를 통하여 대상기업의 보안업무 처리시 각각의 법령이나 컴플라이언스의 업데이트 사항을 반영할 수 있다. 이때, 마스터 파일에 매핑된 각각의 컴플라이언스에 대응하는 통제항목들에 대한 화면 식별자 등도 모두 업데이트될 수 있다. 이를 통하여 대상기업의 보안 담당자는 용이하게 법령 또는 컴플라이언스의 변경사항을 업데이트할 수 있다.
한편, 도3에 도시한 바와 같이, 본 발명의 일 실시예에 의한 통합보안업무관리장치(100)는, 프로세서(10), 메모리(40) 등의 물리적인 구성을 포함할 수 있으며, 메모리(40) 내에는 프로세서(10)에 의하여 실행되도록 구성되는 하나 이상의 모듈이 포함될 수 있다. 구체적으로, 하나 이상의 모듈에는, 보안프로세스설정모듈, 보안업무수행모듈, 증적자료 수집모듈, 인증모듈 및 업데이트모듈 등이 포함될 수 있다.
프로세서(10)는, 다양한 소프트웨어 프로그램과, 메모리(40)에 저장되어 있는 명령어 집합을 실행하여 여러 기능을 수행하고 데이터를 처리하는 기능을 수행할 수 있다. 주변인터페이스부(30)는, 컴퓨터 장치의 입출력 주변 장치를 프로세서(10), 메모리(40)에 연결할 수 있으며, 메모리 제어기(20)는 프로세서(10)나 컴퓨터 장치의 구성요소가 메모리(40)에 접근하는 경우에, 메모리 액세스를 제어하는 기능을 수행할 수 있다. 실시예에 따라서는, 프로세서(10), 메모리 제어기(20) 및 주변인터페이스부(30)를 단일 칩 상에 구현하거나, 별개의 칩으로 구현할 수 있다.
메모리(40)는 고속 랜덤 액세스 메모리, 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리 등을 포함할 수 있다. 또한, 메모리(40)는 프로세서(10)로부터 떨어져 위치하는 저장장치나, 인터넷 등의 통신 네트워크를 통하여 엑세스되는 네트워크 부착형 저장장치 등을 더 포함할 수 있다.
여기서, 도3에 도시한 바와 같이, 본 발명의 일 실시예에 의한 통합보안업무관리장치(100)는, 메모리(40)에 운영체제를 비롯하여, 응용프로그램에 해당하는 보안프로세스설정모듈, 보안업무수행모듈, 증적자료 수집모듈, 인증모듈 및 업데이트모듈 등을 포함할 수 있다. 여기서, 각각의 모듈들은 상술한 기능을 수행하기 위한 명령어의 집합으로, 메모리(40)에 저장될 수 있다.
따라서, 본 발명의 일 실시예에 의한 단말장치(100)는, 프로세서(10)가 메모리(40)에 액세스하여 각각의 모듈에 대응하는 명령어를 실행할 수 있다. 다만, 보안프로세스설정모듈, 보안업무수행모듈, 증적자료 수집모듈, 인증모듈 및 업데이트모듈은 상술한 보안프로세스설정부(110), 보안업무수행부(120), 증적자료 수집부(130), 인증부(140) 및 업데이트부(150)에 각각 대응하므로 여기서는 자세한 설명을 생략한다.
도11은 본 발명의 일 실시예에 의한 통합보안업무관리방법을 나타내는 순서도이다.
도11을 참조하면 본 발명의 일 실시예에 의한 보안프로세스설정단계(S10), 보안업무수행단계(S20), 인증단계(S30) 및 업데이트단계(S40)를 포함할 수 있다.
이하, 도11을 참조하여 본 발명의 일 실시예에 의한 통합보안업무관리방법을 설명한다.
보안프로세스설정단계(S10)에서는, 법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정할 수 있다. 대상 기업에 구축된 정보보호 관리체계 의 신뢰도나 안전성 등을 보증받기 위해서는, 공인된 보안인증기준 등을 충족하는 것으로 인증받을 필요가 있다. 이를 위하여, 보안프로세스설정단계(S10)에서는, 대상기업이 인증받고자 하는 법령이나 보안인증기준에 대응하도록 보안프로세스를 설정할 수 있다. 실시예에 따라서는, 보안 담당자가 자신의 업무 담당자단말을 통하여 인가하는 입력에 따라, 각각의 보안프로세스들을 설정하고 관리할 수 있다.
여기서, 법령에는 정보통신망법, 개인정보보호법, 전자금융거래법, 신용거래법, 의료법 등이 포함될 수 있으며, 보안인증기준에는 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System), ISO 27001, FISMA(Federal Information Security Management Act of 2002), G-ISMS(Government-Information Security Management System), PCI-DSS(Payment Card Industry-Data Security Standard), EU GDPR(European Union General Data Protection Regulation) 등이 포함될 수 있다.
보안업무수생단계(S20)에서는, 업무 담당자 단말로부터 수신하는 입력에 대응하여, 보안프로세스에 따른 보안업무를 수행할 수 있다. 즉, 통합보안업무관리장치는 보안업무 수행을 위한 구체적인 전산시스템 등을 제공할 수 있으며, 업무 담당자는 이를 활용하여 보안업무를 수행할 수 있다.
한편, 실시예에 따라서는, 업무수행의 빈도에 따라, 보안업무를 상시적 보안업무와 정기적 보안업무로 구별할 수 있다. 예를들어, 퇴직자 관리나 신규자산 입고 등에 따른 자산관리 등은, 매번 발생할 때마다 대응하는 보안업무를 수행해야하므로, 상시적 보안업무에 해당하는 것으로 볼 수 있다. 반면에, 매년 수행하는 취약점 진단 등의 위험관리와 같이 정기적으로 수행되는 보안업무는 정기적 보안업무로 설정할 수 있다. 이외에도, 정기적으로 수행되는 보안업무는 아니지만 업무빈도가 낮은 보안업무도 정기적 보안업무로 설정하여 관리할 수 있다.
인증단계(S30)에서는, 인증심사단말의 심사요청에 따라, 법령 또는 보안인증기준의 통제항목에 대응하는 각각의 보안업무의 처리결과를 제공할 수 있다. 실시예에 따라서는, 마스터 파일(master file)로부터 도출한 증적화면이나, 업무 담당자 단말로부터 업로드받은 증적파일을 보안업무의 처리결과로 제공할 수 있다. 여기서 마스터 파일은, 법령 또는 보안인증기준의 통제항목에 대응하는 각각의 보안업무와, 보안업무에 대한 처리결과가 표시되는 증적화면의 화면 식별자(identifier) 또는 URL(Uniform Resource Locator) 주소를 매칭하여 생성한 것일 수 있다. 실시예에 따라서는, 상시적 보안업무의 처리결과로 마스터 파일을 이용하여 증적화면을 제공하고, 정기적 보안업무의 처리결과로 업무 담당자 단말이 업로드한 증적파일을 제공하는 것도 가능하다.
업데이트단계(S40)에서는, 업데이트서버와의 통신을 통하여, 법령 또는 보안인증기준을 업데이트할 수 있다. 여기서 법령 또는 보안인증기준의 변경시, 업데이트서버로부터 법령 또는 보안인증기준의 변경사항을 표시하는 신구매핑표를 수신할 수 있으며, 보안업무 담당자는 신구매핑표로부터 법령 또는 보안인증기준의 변경사항을 확인할 수 있다. 이후, 업무 담당자 단말로부터 신구매핑표에 대한 승인메시지를 수신하면, 변경된 법령 또는 보안인증기준을 업데이트서버로부터 마이그레이션(migration)할 수 있다. 즉, 보안 업무 담당자로부터 변경사항에 대한 확인을 받은 이후에 업데이트를 진행할 수 있다.
개정이 빈번하게 발생하는 법령 등의 경우, 대상기업의 보안 담당자가 법령의 개정여부를 즉각적으로 인지하여 반영하는 것이 어려울 수 있다. 따라서, 업데이트단계(S40)를 수행하여 업데이트 서버로부터 법령이나 보안인증기준 등의 개정사항을 자동으로 업데이트하도록 할 수 있다. 이를 통하여, 신속하게 개정사항을 반영하여 효율적인 보안업무를 수행하는 것이 가능하다.
한편, 실시예에 따라서는, 업데이트단계(S40)에서 보안관련 업계동향이나 보안뉴스 등을 제공받는 것도 가능하다. 즉, 업데이트 서버는 다양한 보안뉴스들 중에서, 대상 기업과 관련된 보안뉴스 등을 선별할 수 있으며, 업데이트 단계(S40)를 통하여 선별된 보안뉴스 등을 제공받을 수 있다. 따라서, 보안 담당자 등은 보안과 관련한 최신 뉴스 등을 용이하게 확인할 수 있으며, 이를 업무 등에 반영할 수 있다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.
100: 통합보안업무관리장치 110: 보안프로세스 설정부
120: 보안업무수행부 130: 증적자료수집부
140: 인증부 150: 업데이트부
200: 업데이트 서버
S10: 보안프로세스 설정단계 S20: 보안업무수행단계
S30: 인증단계 S40: 업데이트단계

Claims (19)

  1. 전사적 통합보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공하는 통합보안업무관리장치에 있어서,
    법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하는 보안프로세스설정부;
    업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하는 보안업무수행부;
    상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면을 매칭한 마스터 파일(master file)을 저장하는 증적자료 수집부; 및
    인증심사단말의 심사요청에 따라, 각각의 통제항목에 대응하는 보안업무의 처리결과를, 상기 증적화면으로 제공하는 인증부를 포함하는 통합보안업무관리장치.
  2. 제1항에 있어서,
    상기 법령은 정보통신망법, 개인정보보호법, 전자금융거래법, 신용거래법 및 의료법 중 적어도 어느 하나를 포함하고,
    상기 보안인증기준은 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System), ISO 27001, FISMA(Federal Information Security Management Act of 2002), PCI-DSS(Payment Card Industry-Data Security Standard) 및 EU GDPR(European Union General Data Protection Regulation) 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 통합보안업무관리장치.
  3. 제1항에 있어서, 상기 마스터 파일은
    상기 통제항목과, 상기 증적화면에 대응하는 화면 식별자(identifier) 또는 상기 증적화면을 연결하는 URL(Uniform Resource Locator) 주소를 매칭하여 생성한 것을 특징으로 하는 통합보안업무관리장치.
  4. 제1항에 있어서, 상기 보안업무수행부는
    업무수행의 빈도에 따라, 상기 보안업무를 상시적 보안업무와 정기적 보안업무로 구별하는 것을 특징으로 하는 통합보안업무관리장치.
  5. 제4항에 있어서, 상기 증적자료 수집부는
    상기 상시적 보안업무에 대응하여 상기 마스터 파일을 저장하고, 상기 정기적 보안업무에 대응하여 상기 업무 담당자 단말이 업로드하는 증적파일을 저장하는 것을 특징으로 하는 통합보안업무관리장치.
  6. 제5항에 있어서, 상기 인증부는
    상기 심사요청에 대응하여, 상기 상시적 보안업무의 처리결과로 상기 증적화면을 제공하고, 상기 정기적 보안업무의 처리결과로 상기 증적파일을 제공하는 것을 특징으로 하는 통합보안업무관리장치.
  7. 제1항에 있어서,
    업데이트서버와의 통신을 통하여, 상기 법령 또는 보안인증기준을 업데이트하는 업데이트부를 더 포함하는 것을 특징으로 하는 통합보안업무관리장치.
  8. 제7항에 있어서, 상기 업데이트부는
    상기 법령 또는 보안인증기준의 변경시, 상기 업데이트서버로부터 상기 법령 또는 보안인증기준의 변경사항을 표시하는 신구매핑표를 수신하는 것을 특징으로 하는 통합보안업무관리장치.
  9. 제8항에 있어서, 상기 업데이트부는
    상기 업무 담당자 단말로부터 상기 신구매핑표에 대한 승인메시지를 수신하면, 상기 변경된 법령 또는 보안인증기준을 상기 업데이트서버로부터 마이그레이션(migration)하는 것을 특징으로 하는 통합보안업무관리장치.
  10. 프로세서; 및
    상기 프로세서에 커플링된 메모리를 포함하는 것으로서,
    상기 메모리는 상기 프로세서에 의하여 실행되도록 구성되는 하나 이상의 모듈을 포함하고,
    상기 하나 이상의 모듈은,
    법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하고;
    업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하며;
    상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면을 매칭한 마스터 파일(master file)을 저장하고;
    인증심사단말의 심사요청에 따라, 각각의 통제항목에 대응하는 보안업무의 처리결과를, 상기 증적화면으로 제공하는,
    명령어를 포함하는 통합보안업무관리장치.
  11. 전사적 통합 보안관리서비스(ESRP: Enterprise Security Resource Planning)를 제공하는 통합보안업무관리방법에 있어서,
    법령 또는 보안인증기준에 따라, 대상 기업의 보안프로세스를 설정하는 보안프로세스설정단계;
    업무 담당자 단말로부터 수신하는 입력에 대응하여, 상기 보안프로세스에 따른 보안업무를 수행하는 보안업무수행단계; 및
    인증심사단말의 심사요청에 따라, 상기 법령 또는 보안인증기준의 통제항목에 대응하는 각각의 보안업무의 처리결과를, 마스터 파일(master file)을 이용하여 증적화면으로 제공하는 인증단계를 포함하는 통합보안업무관리방법.
  12. 제11항에 있어서,
    상기 법령은 정보통신망법, 개인정보보호법, 전자금융거래법, 신용거래법 및 의료법 중 적어도 어느 하나를 포함하고,
    상기 보안인증기준은 정보보호 관리체계(ISMS: Information Security Management System), 개인정보보호 관리체계(PIMS: Personal Information Management System), ISO 27001, FISMA(Federal Information Security Management Act of 2002), PCI-DSS(Payment Card Industry-Data Security Standard) 및 EU GDPR(European Union General Data Protection Regulation) 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 통합보안업무관리방법.
  13. 제11항에 있어서, 상기 마스터 파일은
    상기 법령 또는 보안인증기준의 통제항목과, 상기 통제항목에 대응하는 각각의 보안업무에 대한 처리결과가 표시되는 증적화면의 화면 식별자(identifier) 또는 URL(Uniform Resource Locator) 주소를 매칭하여 생성하는 것을 특징으로 하는 통합보안업무관리방법.
  14. 제11항에 있어서, 상기 보안업무수행단계는
    업무수행의 빈도에 따라, 상기 보안업무를 상시적 보안업무와 정기적 보안업무로 구별하는 것을 특징으로 하는 통합보안업무관리방법.
  15. 제14항에 있어서, 상기 인증단계는
    상기 심사요청에 대응하여, 상기 상시적 보안업무의 처리결과로 상기 마스터 파일을 이용하여 상기 증적화면을 제공하고, 상기 정기적 보안업무의 처리결과로 상기 업무 담당자 단말이 업로드한 증적파일을 제공하는 것을 특징으로 하는 통합보안업무관리방법.
  16. 제11항에 있어서,
    업데이트서버와의 통신을 통하여, 상기 법령 또는 보안인증기준을 업데이트하는 업데이트단계를 더 포함하는 것을 특징으로 하는 통합보안업무관리방법.
  17. 제16항에 있어서, 상기 업데이트단계는
    상기 법령 또는 보안인증기준의 변경시, 상기 업데이트서버로부터 상기 법령 또는 보안인증기준의 변경사항을 표시하는 신구매핑표를 수신하는 것을 특징으로 하는 통합보안업무관리방법.
  18. 제17항에 있어서, 상기 업데이트단계는
    상기 업무 담당자 단말로부터 상기 신구매핑표에 대한 승인메시지를 수신하면, 상기 변경된 법령 또는 보안인증기준을 상기 업데이트서버로부터 마이그레이션(migration)하는 것을 특징으로 하는 통합보안업무관리방법.
  19. 하드웨어와 결합되어 제11항 내지 제18항 중 어느 한 항의 통합보안업무관리방법을 실행하기 위하여 매체에 저장된 컴퓨터 프로그램.
KR1020180116180A 2018-09-28 2018-09-28 통합보안업무관리장치 및 통합보안업무관리방법 KR102213465B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180116180A KR102213465B1 (ko) 2018-09-28 2018-09-28 통합보안업무관리장치 및 통합보안업무관리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180116180A KR102213465B1 (ko) 2018-09-28 2018-09-28 통합보안업무관리장치 및 통합보안업무관리방법

Publications (2)

Publication Number Publication Date
KR20200036488A true KR20200036488A (ko) 2020-04-07
KR102213465B1 KR102213465B1 (ko) 2021-02-09

Family

ID=70291212

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180116180A KR102213465B1 (ko) 2018-09-28 2018-09-28 통합보안업무관리장치 및 통합보안업무관리방법

Country Status (1)

Country Link
KR (1) KR102213465B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102325533B1 (ko) * 2020-06-11 2021-11-15 (주)신화메디 문서 관리 장치, 문서 관리 방법 및 이를 기록한 컴퓨터 판독 가능 기록매체
KR20220030076A (ko) * 2020-09-02 2022-03-10 (주)시큐리티캠프 통제평가관리시스템
KR20220070958A (ko) * 2020-11-23 2022-05-31 한국전력공사 보안 규제 준수 자동화 장치
WO2023080705A1 (ko) * 2021-11-05 2023-05-11 주식회사 신화소프트랩 문서 관리 장치, 문서 관리 방법 및 이를 기록한 컴퓨터 판독 가능 기록매체

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230060835A (ko) * 2021-10-28 2023-05-08 (주)시큐리티캠프 업무항목 제안 및 보상 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101259579B1 (ko) * 2012-11-08 2013-04-30 (주)유와이즈원 정보보호업무 운영시스템 및 방법
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
KR20180069971A (ko) * 2016-12-15 2018-06-26 주식회사 진앤현시큐리티서비스 통합보안업무 관리시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101259579B1 (ko) * 2012-11-08 2013-04-30 (주)유와이즈원 정보보호업무 운영시스템 및 방법
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
KR20180069971A (ko) * 2016-12-15 2018-06-26 주식회사 진앤현시큐리티서비스 통합보안업무 관리시스템

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102325533B1 (ko) * 2020-06-11 2021-11-15 (주)신화메디 문서 관리 장치, 문서 관리 방법 및 이를 기록한 컴퓨터 판독 가능 기록매체
KR20220030076A (ko) * 2020-09-02 2022-03-10 (주)시큐리티캠프 통제평가관리시스템
WO2022050486A1 (ko) * 2020-09-02 2022-03-10 (주)시큐리티캠프 통제평가관리시스템
KR20220070958A (ko) * 2020-11-23 2022-05-31 한국전력공사 보안 규제 준수 자동화 장치
KR20220116410A (ko) * 2020-11-23 2022-08-23 한국전력공사 보안 규제 준수 자동화 장치
KR20220117187A (ko) * 2020-11-23 2022-08-23 한국전력공사 보안 규제 준수 자동화 장치
KR20220117188A (ko) * 2020-11-23 2022-08-23 한국전력공사 보안 규제 준수 자동화 장치
KR20220117189A (ko) * 2020-11-23 2022-08-23 한국전력공사 보안 규제 준수 자동화 장치
KR20220117865A (ko) * 2020-11-23 2022-08-24 한국전력공사 보안 규제 준수 자동화 장치
KR20220117866A (ko) * 2020-11-23 2022-08-24 한국전력공사 보안 규제 준수 자동화 장치
WO2023080705A1 (ko) * 2021-11-05 2023-05-11 주식회사 신화소프트랩 문서 관리 장치, 문서 관리 방법 및 이를 기록한 컴퓨터 판독 가능 기록매체

Also Published As

Publication number Publication date
KR102213465B1 (ko) 2021-02-09

Similar Documents

Publication Publication Date Title
US10885476B2 (en) Evaluating business components in an enterprise
US20220159041A1 (en) Data processing and scanning systems for generating and populating a data inventory
KR102213465B1 (ko) 통합보안업무관리장치 및 통합보안업무관리방법
US7197466B1 (en) Web-based system for managing software assets
US7899693B2 (en) Audit management workbench
US8005709B2 (en) Continuous audit process control objectives
US7941353B2 (en) Impacted financial statements
US6996601B1 (en) Process for managing change within an enterprise
US20100121651A1 (en) Systems and Methods for Evaluating Information to Identify, and Act Upon, Intellectual Property Issues
US8555333B2 (en) Identifying and resolving separation of duties conflicts in a multi-application environment
US8296167B2 (en) Process certification management
US20060247965A1 (en) Method of defining and monitoring processes
US20050138031A1 (en) Systems and methods for assigning task-oriented roles to users
US20040260591A1 (en) Business process change administration
US20080282320A1 (en) Security Compliance Methodology and Tool
US20090265209A1 (en) System and Method for Governance, Risk, and Compliance Management
US20040260628A1 (en) Hosted audit service
US20070078701A1 (en) Systems and methods for managing internal controls with import interface for external test results
US10387816B2 (en) Automating a governance process of optimizing a portfolio of services in a governed SOA
US20080228815A1 (en) Methods and systems for managing risk
US20140324508A1 (en) Business service management system
Mead Identifying security requirements using the security quality requirements engineering (SQUARE) method
US20100064358A1 (en) Apparatus and method for managing information
US20090164280A1 (en) Franchise Administration System With Automatic Compliance Monitoring and Reporting Features
US20070156472A1 (en) Systems and methods for testing internal control effectiveness

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant