최근 정보보호의 패러다임 변화로 정보보호 거버넌스를 통한 최고 경영층의 참여와 지지를 이끌어 내어 정보보호를 전략적 차원에서 접근하는 것은 물론이고 전사적 차원의 위험관리 노력의 일환으로 여겨지는 것뿐만 아니라 정보보호 전략이 비즈니스 목표와 연계되어야 함을 강조 하고 있다.
또한 최근 주요 관심이 되고 있는 정보보호 아키텍처는 정보기술 관점을 바탕으로 전사적 아키텍처의 기술참조모델(Technical ...
최근 정보보호의 패러다임 변화로 정보보호 거버넌스를 통한 최고 경영층의 참여와 지지를 이끌어 내어 정보보호를 전략적 차원에서 접근하는 것은 물론이고 전사적 차원의 위험관리 노력의 일환으로 여겨지는 것뿐만 아니라 정보보호 전략이 비즈니스 목표와 연계되어야 함을 강조 하고 있다.
또한 최근 주요 관심이 되고 있는 정보보호 아키텍처는 정보기술 관점을 바탕으로 전사적 아키텍처의 기술참조모델(Technical Reference Model)의 일부분으로 포함시켜 구축하여 정보보호영역의 또 다른 영역인 관리적ㆍ물리적 영역은 소홀히 하였다.
그리고 기존의 정보보호는 NIST SP 800-53에서 제시한 관리적ㆍ운영적ㆍ물리적 정보보호 통제 대책을 기준으로 하여 세 가지 정보보호영역으로 구분하여 운영하도록 되어 있다. 따라서 하나의 지배구조 아래 있지만 서로 다른 구분하여 운영되어 있어 물리적 정보보호, 기술적 정보보호, 관리적 정보보호등과 같은 통제 대책을 융합해 정책 수립부터 애플리케이션 개발, 시스템 운영까지 기존의 접근법으로는 통합적, 체계적으로 관리하기가 힘들다.
따라서 본 논문에서는 이러한 패러다임과 문제를 해결하기 위해 현 정보보호 체계의 리스크를 최소화하고 효율성을 보장할 수 있는 전사적 차원의 체계인 정보보호 대책 구축을 위해 전사적 통합 정보보호 아키텍처 프레임워크를 개발하였다. 본 논문에서 제시한 프레임워크는 거버넌스 계층, 프로세스 계층, 통제 계층 등 3개 계층으로 구성되어 있으며, 거버넌스 계층은 최근 부각되고 있는 정보보호 거버넌스를 수행을 기본으로 하기 위해 정보보호 거버넌스 목표를 기초로 하여 핵심 활동을 도출 해 아키텍처 수행에 바탕이 되도록 하였고, 프로세스 계층은 정보보호의 일반적 관리 기준인 "계획-구현-평가-개선"이라는 관리 프로세스를 통해 관리하도록 하였다. 마지막으로 통제 계층을 두어 기존의 물리적 ․ 기술적 ․ 관리적 통제 대책이 나누어 관리 되어 있는 것을 조직 ․ 프로세스 ․ 기술 측면에서 기존의 통제 대책을 통합한 아키텍처 프레임워크를 제시하였다.
마지막으로 전문가 그룹 설문을 통해 전사적 통합 정보보호 아키텍처 프레임워크에 관해 완전성, 간결성, 유용성 등 3가지 측면항목을 도출하여 제시한 프레임워크의 타당성을 검증하였다. 설문결과는 설문에 나타난 척도의 평균 80%이상이 긍정으로 답했을 경우 프레임워크가 타당하다고 판단한 결과 3가지 측정항목에 대해 응답자 중 80%이상 긍정으로 답했다. 따라서 본 논문이 제시한 프레임워크는 타당하다고 판단하였다.
그러나 본 논문은 전문가 그룹 인터뷰에서 지적되었던 전사적 아키텍처와의 연계방안(EA),통제 계층에서의 통합 대상의 우선순위여부, 프레임워크에의 계층의 적절성 여부와 같은 사항을 향후에 지속적으로 연구해야 한다.
최근 정보보호의 패러다임 변화로 정보보호 거버넌스를 통한 최고 경영층의 참여와 지지를 이끌어 내어 정보보호를 전략적 차원에서 접근하는 것은 물론이고 전사적 차원의 위험관리 노력의 일환으로 여겨지는 것뿐만 아니라 정보보호 전략이 비즈니스 목표와 연계되어야 함을 강조 하고 있다.
또한 최근 주요 관심이 되고 있는 정보보호 아키텍처는 정보기술 관점을 바탕으로 전사적 아키텍처의 기술참조모델(Technical Reference Model)의 일부분으로 포함시켜 구축하여 정보보호영역의 또 다른 영역인 관리적ㆍ물리적 영역은 소홀히 하였다.
그리고 기존의 정보보호는 NIST SP 800-53에서 제시한 관리적ㆍ운영적ㆍ물리적 정보보호 통제 대책을 기준으로 하여 세 가지 정보보호영역으로 구분하여 운영하도록 되어 있다. 따라서 하나의 지배구조 아래 있지만 서로 다른 구분하여 운영되어 있어 물리적 정보보호, 기술적 정보보호, 관리적 정보보호등과 같은 통제 대책을 융합해 정책 수립부터 애플리케이션 개발, 시스템 운영까지 기존의 접근법으로는 통합적, 체계적으로 관리하기가 힘들다.
따라서 본 논문에서는 이러한 패러다임과 문제를 해결하기 위해 현 정보보호 체계의 리스크를 최소화하고 효율성을 보장할 수 있는 전사적 차원의 체계인 정보보호 대책 구축을 위해 전사적 통합 정보보호 아키텍처 프레임워크를 개발하였다. 본 논문에서 제시한 프레임워크는 거버넌스 계층, 프로세스 계층, 통제 계층 등 3개 계층으로 구성되어 있으며, 거버넌스 계층은 최근 부각되고 있는 정보보호 거버넌스를 수행을 기본으로 하기 위해 정보보호 거버넌스 목표를 기초로 하여 핵심 활동을 도출 해 아키텍처 수행에 바탕이 되도록 하였고, 프로세스 계층은 정보보호의 일반적 관리 기준인 "계획-구현-평가-개선"이라는 관리 프로세스를 통해 관리하도록 하였다. 마지막으로 통제 계층을 두어 기존의 물리적 ․ 기술적 ․ 관리적 통제 대책이 나누어 관리 되어 있는 것을 조직 ․ 프로세스 ․ 기술 측면에서 기존의 통제 대책을 통합한 아키텍처 프레임워크를 제시하였다.
마지막으로 전문가 그룹 설문을 통해 전사적 통합 정보보호 아키텍처 프레임워크에 관해 완전성, 간결성, 유용성 등 3가지 측면항목을 도출하여 제시한 프레임워크의 타당성을 검증하였다. 설문결과는 설문에 나타난 척도의 평균 80%이상이 긍정으로 답했을 경우 프레임워크가 타당하다고 판단한 결과 3가지 측정항목에 대해 응답자 중 80%이상 긍정으로 답했다. 따라서 본 논문이 제시한 프레임워크는 타당하다고 판단하였다.
그러나 본 논문은 전문가 그룹 인터뷰에서 지적되었던 전사적 아키텍처와의 연계방안(EA),통제 계층에서의 통합 대상의 우선순위여부, 프레임워크에의 계층의 적절성 여부와 같은 사항을 향후에 지속적으로 연구해야 한다.
Recent changes in the information security paradigm has emphasized information security governance. This involvement and support of top management taking the lead in security and strategic approaches. Enterprise risk management is considered as part of efforts as well as information security strateg...
Recent changes in the information security paradigm has emphasized information security governance. This involvement and support of top management taking the lead in security and strategic approaches. Enterprise risk management is considered as part of efforts as well as information security strategy should be linked to business goals is emphasized.
Also information security architecture is focused on information technology side and it includes as part of Enterprise Architecture Technical Reference Model and another of the security area, administrative and physical areas were neglected.
In existing information security, information security controls proposed by NIST SP 800-53 protection were divided into three area(administrative, operational, physical area)and operated. Although information security controls are under one governance structure, it is operated and separated differently. so in a existing approach, three controls are integrated and difficult to manage systematically
So in this study, it is applied to these paradigm and to solve the problem. Minimize risk and ensure the effectiveness of enterprise integrated security architecture framework was developed
In study, the propose framework is consist of three layers(governance layer, process layer, control layer).
Recent changes in the information security paradigm has emphasized information security governance. This involvement and support of top management taking the lead in security and strategic approaches. Enterprise risk management is considered as part of efforts as well as information security strategy should be linked to business goals is emphasized.
Also information security architecture is focused on information technology side and it includes as part of Enterprise Architecture Technical Reference Model and another of the security area, administrative and physical areas were neglected.
In existing information security, information security controls proposed by NIST SP 800-53 protection were divided into three area(administrative, operational, physical area)and operated. Although information security controls are under one governance structure, it is operated and separated differently. so in a existing approach, three controls are integrated and difficult to manage systematically
So in this study, it is applied to these paradigm and to solve the problem. Minimize risk and ensure the effectiveness of enterprise integrated security architecture framework was developed
In study, the propose framework is consist of three layers(governance layer, process layer, control layer).
※ AI-Helper는 부적절한 답변을 할 수 있습니다.