최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 이러한 위협에 따라 조직은 정보를 중요자산의 하나로 인식하여 정보보호수준평가 및 정보보호 성숙도 모델 적용 등의 활동으로 조직의 정보자산에 대한 위협을 완화시키기 위하여 노력하고 있다. 정보보호를 위한 기존의 정보보호수준평가는 정보보호를 위한 관리체계를 수립하는데 도움을 주지만 관리체계 수립 후 지속적 개선에 대한 측면에서는 한계점을 가지고 있다. 또한 정보보호 성숙도 모델들 또한 주로 프로세스 중심으로 조직의 성숙도를 평가하는 것이 일반적이다. 하지만 기술적 솔루션에 기반을 두어 보안을 기술적 이슈에 중점을 두는 현재 국내의 정보보호 수준을 고려하였을 때 주로 프로세스 측면 집중의 기존 성숙도 모델의 적용에는 한계가 있다. 본 논문에서는 정보보호관리 수준제고를 위한 ...
최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 이러한 위협에 따라 조직은 정보를 중요자산의 하나로 인식하여 정보보호수준평가 및 정보보호 성숙도 모델 적용 등의 활동으로 조직의 정보자산에 대한 위협을 완화시키기 위하여 노력하고 있다. 정보보호를 위한 기존의 정보보호수준평가는 정보보호를 위한 관리체계를 수립하는데 도움을 주지만 관리체계 수립 후 지속적 개선에 대한 측면에서는 한계점을 가지고 있다. 또한 정보보호 성숙도 모델들 또한 주로 프로세스 중심으로 조직의 성숙도를 평가하는 것이 일반적이다. 하지만 기술적 솔루션에 기반을 두어 보안을 기술적 이슈에 중점을 두는 현재 국내의 정보보호 수준을 고려하였을 때 주로 프로세스 측면 집중의 기존 성숙도 모델의 적용에는 한계가 있다. 본 논문에서는 정보보호관리 수준제고를 위한 프레임워크 개발을 위해 P.P.T 모델을 사용하여 수준제고를 위한 프레임워크의 영역을 인력, 프로세스, 기술의 3가지 영역으로 구분하였다. 이 3영역은 각각 관련 모델을 적용하여 총 13개의 세부영역을 도출하였으며, 지속적인 수준제고를 위하여 이를 우수, 최우수의 2단계로 구분하였다. 도출된 프레임워크와 단계별 기준은 포커스 그룹 연구를 통하여 타당성에 대한 검토를 수행하였다. 포커스 그룹은 정보보호 개선활동을 위한 방안을 제공하는 공급자와 개선활동을 수행하여야 할 수요자 측면으로 구성하였다. 검토 결과 프레임워크 구성요소의 완전성에 대하여 전반적으로 좋은 평가를 받았다. 또한, 구성요소의 단계별 특성에 대한 의미 명확성 및 개선 가능성 측면에서는 평균 이상의 평가와 함께 본 연구에 도움이 될 수 있는 의견이 제시되었다. 이러한 내용은 본 논문의 결론에 포함하였다.
최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 이러한 위협에 따라 조직은 정보를 중요자산의 하나로 인식하여 정보보호수준평가 및 정보보호 성숙도 모델 적용 등의 활동으로 조직의 정보자산에 대한 위협을 완화시키기 위하여 노력하고 있다. 정보보호를 위한 기존의 정보보호수준평가는 정보보호를 위한 관리체계를 수립하는데 도움을 주지만 관리체계 수립 후 지속적 개선에 대한 측면에서는 한계점을 가지고 있다. 또한 정보보호 성숙도 모델들 또한 주로 프로세스 중심으로 조직의 성숙도를 평가하는 것이 일반적이다. 하지만 기술적 솔루션에 기반을 두어 보안을 기술적 이슈에 중점을 두는 현재 국내의 정보보호 수준을 고려하였을 때 주로 프로세스 측면 집중의 기존 성숙도 모델의 적용에는 한계가 있다. 본 논문에서는 정보보호관리 수준제고를 위한 프레임워크 개발을 위해 P.P.T 모델을 사용하여 수준제고를 위한 프레임워크의 영역을 인력, 프로세스, 기술의 3가지 영역으로 구분하였다. 이 3영역은 각각 관련 모델을 적용하여 총 13개의 세부영역을 도출하였으며, 지속적인 수준제고를 위하여 이를 우수, 최우수의 2단계로 구분하였다. 도출된 프레임워크와 단계별 기준은 포커스 그룹 연구를 통하여 타당성에 대한 검토를 수행하였다. 포커스 그룹은 정보보호 개선활동을 위한 방안을 제공하는 공급자와 개선활동을 수행하여야 할 수요자 측면으로 구성하였다. 검토 결과 프레임워크 구성요소의 완전성에 대하여 전반적으로 좋은 평가를 받았다. 또한, 구성요소의 단계별 특성에 대한 의미 명확성 및 개선 가능성 측면에서는 평균 이상의 평가와 함께 본 연구에 도움이 될 수 있는 의견이 제시되었다. 이러한 내용은 본 논문의 결론에 포함하였다.
The danger of information invasion such as the leakage and falsification of information has been highly increased due to the development of the Internet and organizations’ high dependency on information infrastructure. Many organizations in Korea have lost their money and image as a result of breach...
The danger of information invasion such as the leakage and falsification of information has been highly increased due to the development of the Internet and organizations’ high dependency on information infrastructure. Many organizations in Korea have lost their money and image as a result of breaches of information security. Because of these threats, organizations have started to think of information as a valuable asset and have made a great effort to keep information safe. However the existing assessment schemes which are used in evaluating the level of security are often based on the process-oriented approaches. This study suggests a framework for improving the level of information security management. The framework consists of 3 basic components (people, process and technology)and 3 relation components (governance, education/culture, and security management systems). These components are further specified and resulted in 13 assessment domains (organization, governance, information security culture, information security requirement management, asset and operation management, incident and disaster management, compliance management, performance management, technical security solutions, vulnerability prevention system, security monitoring system, incident analysis system, IT disaster recovery system). Also the framework proposes two high grades of information security management, since it is based on the presumption of implementation of ISMS, which are equal to the 3rd maturity level in CMMi. Based on the framework, evaluation criteria are developed for each assessment domains. The framework and the evaluation criteria are reviewed through focus group interviews for validity purpose. Focus group which consists of 10 security management professionals perform the review in terms of appropriateness of the framework and the feasibility of the evaluation criteria. The result of focus group study shows that appropriateness of the framework and feasibility of the evaluation criteria are generally accepted. Also the group suggest a few additional comments (e.g., case study), which needs to be handled in the future research.
The danger of information invasion such as the leakage and falsification of information has been highly increased due to the development of the Internet and organizations’ high dependency on information infrastructure. Many organizations in Korea have lost their money and image as a result of breaches of information security. Because of these threats, organizations have started to think of information as a valuable asset and have made a great effort to keep information safe. However the existing assessment schemes which are used in evaluating the level of security are often based on the process-oriented approaches. This study suggests a framework for improving the level of information security management. The framework consists of 3 basic components (people, process and technology)and 3 relation components (governance, education/culture, and security management systems). These components are further specified and resulted in 13 assessment domains (organization, governance, information security culture, information security requirement management, asset and operation management, incident and disaster management, compliance management, performance management, technical security solutions, vulnerability prevention system, security monitoring system, incident analysis system, IT disaster recovery system). Also the framework proposes two high grades of information security management, since it is based on the presumption of implementation of ISMS, which are equal to the 3rd maturity level in CMMi. Based on the framework, evaluation criteria are developed for each assessment domains. The framework and the evaluation criteria are reviewed through focus group interviews for validity purpose. Focus group which consists of 10 security management professionals perform the review in terms of appropriateness of the framework and the feasibility of the evaluation criteria. The result of focus group study shows that appropriateness of the framework and feasibility of the evaluation criteria are generally accepted. Also the group suggest a few additional comments (e.g., case study), which needs to be handled in the future research.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.