최근 ICBM(IoT, Cloud, Big data, Mobile) 등 기술의 급속한 발전에 따라, 보안 위협은 더욱 다양해지고 복잡해지고 있다. 이러한 상황에서 보안 위협에 효과적으로 대응하기 위해서는, 보호해야할 정보자산을 명확히 식별하고 자산의 상태 별로 적절한 보안대책이 적용되어야 할 것이다. 즉 자산 관리 관점에서 정보자산이 생성·운영·폐기되는 상태 별로 적재적소에 정보보호 활동이 수행되어야 한다. 그러나 조직의 정보보호 활동은 자산 관리 활동과 독립된 프로세스로 수행되는 경우가 많아 서로의 연계가 미흡하다. 이로 인하여 자산 식별의 누락, 정보자산에 대한 체계적인 관리 미흡, 정보자산에 대한 보안활동 미흡 등의 문제점이 있어, 보안 위협에 적절히 대응하지 못하는 경우가 발생할 수 있다. 따라서 본 연구는 다음과 같이 3단계로 구성하여 보안 관점에서 정보자산 관리 프로세스를 제안하였다. 첫째, ...
최근 ICBM(IoT, Cloud, Big data, Mobile) 등 기술의 급속한 발전에 따라, 보안 위협은 더욱 다양해지고 복잡해지고 있다. 이러한 상황에서 보안 위협에 효과적으로 대응하기 위해서는, 보호해야할 정보자산을 명확히 식별하고 자산의 상태 별로 적절한 보안대책이 적용되어야 할 것이다. 즉 자산 관리 관점에서 정보자산이 생성·운영·폐기되는 상태 별로 적재적소에 정보보호 활동이 수행되어야 한다. 그러나 조직의 정보보호 활동은 자산 관리 활동과 독립된 프로세스로 수행되는 경우가 많아 서로의 연계가 미흡하다. 이로 인하여 자산 식별의 누락, 정보자산에 대한 체계적인 관리 미흡, 정보자산에 대한 보안활동 미흡 등의 문제점이 있어, 보안 위협에 적절히 대응하지 못하는 경우가 발생할 수 있다. 따라서 본 연구는 다음과 같이 3단계로 구성하여 보안 관점에서 정보자산 관리 프로세스를 제안하였다. 첫째, 포커스 그룹 인터뷰를 활용하여 기존 정보자산 관리 프로세스를 탐색하고 관련된 보안 문제점을 도출하였다. 자료 분석 결과, 49개의 관리 활동으로 구성된 9개의 관리프로세스와 19개의 보안 문제점이 도출되었다. 둘째, 본 연구는 문제점을 해결하기 위하여, 정보자산 관리 프로세스를 PPT(People, Procedure and Tool) 관점에서 재설계하였으며, 19개의 개선·신규 관리 활동을 도출하였다. 셋째, 포커스 그룹 인터뷰를 통해, 중요성과 실현가능성 측면에서 제안하는 정보자산 관리 프로세스의 타당성을 검토하였다. 본 논문에서 도출한 문제점 및 개선사항을 바탕으로 다음과 같이 시사점을 도출하였다. 첫째, 정보자산 관리 프로세스 내 정보보호 활동이 미흡하다. 예를 들어 보안 활동이 미흡하여 보안 요건에 부합하지 않는 자산을 도입하거나, 중요도 평가가 미흡하여 효과적인 대책 수립이 어려울 수 있다. 따라서 관련된 정보보호 활동을 식별하고 이를 생명주기 별 관리 프로세스에 포함할 필요가 있다. 둘째, 불명확한 이해관계자 역할과 책임으로 인하여 다양한 위험이 발생한다. 예를 들어 자산 도입 시 관련 정보가 보안 조직에 전달되지 않는다면 자산 식별에 어려움이 있을 것이다. 또한 관리활동 별 이해관계자의 역할과 책임이 명확하지 않아 업무를 진행함에 있어 진척이 더디거나 연기되는 상황이 발생할 수 있다. 따라서 각 관리 활동 별 이해관계자의 역할과 책임을 명확히 하는 것이 필요하다. 셋째, 관리 정책의 미흡으로 인하여 다양한 위험이 발생할 수 있다. 예를 들어 자산 관리에 대한 정책이 명확하지 않아, 자산을 등록하는 방법이 담당자마다 상이할 수 있으며, 자산 실물과 장부가 불일치하는 문제가 발생한다. 이러한 경우 해당 정책을 명확히 하여 자산 등록을 하거나 폐기 시 혼선이 없도록 노력을 기해야 할 것이다.
최근 ICBM(IoT, Cloud, Big data, Mobile) 등 기술의 급속한 발전에 따라, 보안 위협은 더욱 다양해지고 복잡해지고 있다. 이러한 상황에서 보안 위협에 효과적으로 대응하기 위해서는, 보호해야할 정보자산을 명확히 식별하고 자산의 상태 별로 적절한 보안대책이 적용되어야 할 것이다. 즉 자산 관리 관점에서 정보자산이 생성·운영·폐기되는 상태 별로 적재적소에 정보보호 활동이 수행되어야 한다. 그러나 조직의 정보보호 활동은 자산 관리 활동과 독립된 프로세스로 수행되는 경우가 많아 서로의 연계가 미흡하다. 이로 인하여 자산 식별의 누락, 정보자산에 대한 체계적인 관리 미흡, 정보자산에 대한 보안활동 미흡 등의 문제점이 있어, 보안 위협에 적절히 대응하지 못하는 경우가 발생할 수 있다. 따라서 본 연구는 다음과 같이 3단계로 구성하여 보안 관점에서 정보자산 관리 프로세스를 제안하였다. 첫째, 포커스 그룹 인터뷰를 활용하여 기존 정보자산 관리 프로세스를 탐색하고 관련된 보안 문제점을 도출하였다. 자료 분석 결과, 49개의 관리 활동으로 구성된 9개의 관리프로세스와 19개의 보안 문제점이 도출되었다. 둘째, 본 연구는 문제점을 해결하기 위하여, 정보자산 관리 프로세스를 PPT(People, Procedure and Tool) 관점에서 재설계하였으며, 19개의 개선·신규 관리 활동을 도출하였다. 셋째, 포커스 그룹 인터뷰를 통해, 중요성과 실현가능성 측면에서 제안하는 정보자산 관리 프로세스의 타당성을 검토하였다. 본 논문에서 도출한 문제점 및 개선사항을 바탕으로 다음과 같이 시사점을 도출하였다. 첫째, 정보자산 관리 프로세스 내 정보보호 활동이 미흡하다. 예를 들어 보안 활동이 미흡하여 보안 요건에 부합하지 않는 자산을 도입하거나, 중요도 평가가 미흡하여 효과적인 대책 수립이 어려울 수 있다. 따라서 관련된 정보보호 활동을 식별하고 이를 생명주기 별 관리 프로세스에 포함할 필요가 있다. 둘째, 불명확한 이해관계자 역할과 책임으로 인하여 다양한 위험이 발생한다. 예를 들어 자산 도입 시 관련 정보가 보안 조직에 전달되지 않는다면 자산 식별에 어려움이 있을 것이다. 또한 관리활동 별 이해관계자의 역할과 책임이 명확하지 않아 업무를 진행함에 있어 진척이 더디거나 연기되는 상황이 발생할 수 있다. 따라서 각 관리 활동 별 이해관계자의 역할과 책임을 명확히 하는 것이 필요하다. 셋째, 관리 정책의 미흡으로 인하여 다양한 위험이 발생할 수 있다. 예를 들어 자산 관리에 대한 정책이 명확하지 않아, 자산을 등록하는 방법이 담당자마다 상이할 수 있으며, 자산 실물과 장부가 불일치하는 문제가 발생한다. 이러한 경우 해당 정책을 명확히 하여 자산 등록을 하거나 폐기 시 혼선이 없도록 노력을 기해야 할 것이다.
Recently, with the rapid development of technologies such as ICBM (IoT, Cloud, Big data and Mobile), security threats are becoming more various and complex. In this situation, it is necessary to clearly identify the information assets and to apply appropriate security measures to the status of the a...
Recently, with the rapid development of technologies such as ICBM (IoT, Cloud, Big data and Mobile), security threats are becoming more various and complex. In this situation, it is necessary to clearly identify the information assets and to apply appropriate security measures to the status of the assets in order to effectively respond to security threats. In other words, from the asset management point of view, information security activities should be performed according to the life cycle of information asset. However, the information security activities of the organization are often carried out independently from the information asset management activities, and thus the linkages between them are insufficient. Therefore, this study proposes the information asset management process from security perspective with the following three steps. First, this study explored the traditional information asset management process and derived related security problems using focus group interviews. As a result of data analysis, 9 information asset management processes composed of 49 management activities and 19 security problems were derived. Secondly, this study redesigned the information asset management process using PPT(People, Procedure and Tool) model to solve the security problem. As a result of the redesign, 19 new management activities were derived. Finally, the proposed management process has reviewed by focus group interview in terms of materiality and feasibility The implication have been derived from this paper are as follows. First, lack of linkage between information asset management processes and security activities. For example, assets that do not meet security requirements are acquired because security activities are insufficient. Therefore, It is necessary to identify relevant security activities and include them in the information asset management process. Second, a variety of risks has been arisen from unclear stakeholder roles and responsibilities. For example, the R&R of stakeholder are unclear, so progress can be delayed. Thus it is necessary to clarify the R&R of stakeholder for each management activity. Third, various risks might occur due to insufficient management policies. For instance, the policy on asset management is unclear, so the method of registering the asset might be different for each person in charge. In such a case, there is a problem that the asset and the book do not match. Thus it is important to try to avoid confusion when registering or disposing of assets by clarifying the policy
Recently, with the rapid development of technologies such as ICBM (IoT, Cloud, Big data and Mobile), security threats are becoming more various and complex. In this situation, it is necessary to clearly identify the information assets and to apply appropriate security measures to the status of the assets in order to effectively respond to security threats. In other words, from the asset management point of view, information security activities should be performed according to the life cycle of information asset. However, the information security activities of the organization are often carried out independently from the information asset management activities, and thus the linkages between them are insufficient. Therefore, this study proposes the information asset management process from security perspective with the following three steps. First, this study explored the traditional information asset management process and derived related security problems using focus group interviews. As a result of data analysis, 9 information asset management processes composed of 49 management activities and 19 security problems were derived. Secondly, this study redesigned the information asset management process using PPT(People, Procedure and Tool) model to solve the security problem. As a result of the redesign, 19 new management activities were derived. Finally, the proposed management process has reviewed by focus group interview in terms of materiality and feasibility The implication have been derived from this paper are as follows. First, lack of linkage between information asset management processes and security activities. For example, assets that do not meet security requirements are acquired because security activities are insufficient. Therefore, It is necessary to identify relevant security activities and include them in the information asset management process. Second, a variety of risks has been arisen from unclear stakeholder roles and responsibilities. For example, the R&R of stakeholder are unclear, so progress can be delayed. Thus it is necessary to clarify the R&R of stakeholder for each management activity. Third, various risks might occur due to insufficient management policies. For instance, the policy on asset management is unclear, so the method of registering the asset might be different for each person in charge. In such a case, there is a problem that the asset and the book do not match. Thus it is important to try to avoid confusion when registering or disposing of assets by clarifying the policy
※ AI-Helper는 부적절한 답변을 할 수 있습니다.