지식정보화 사회를 넘어 4차 산업혁명에 이른 지금 클라우드 컴퓨팅이 활성화되면서 기업이 보유한 정보자산의 수는 급격하게 증가하고 각 자산에 가해지는 위협은 나날이 증대되고 있다. 기업의 정보보안 담당자는 자사의 정보자산이 보안 위험에 노출되었을 경우의 대응 전략을 마련하기 위해 정보자산의 중요도를 정확하게 파악하고 정보보안 전략의 방향성을 결정하여야 한다. 이를 위해 대다수의 기업들은 일반적으로 기밀성(Confidentiality), ...
지식정보화 사회를 넘어 4차 산업혁명에 이른 지금 클라우드 컴퓨팅이 활성화되면서 기업이 보유한 정보자산의 수는 급격하게 증가하고 각 자산에 가해지는 위협은 나날이 증대되고 있다. 기업의 정보보안 담당자는 자사의 정보자산이 보안 위험에 노출되었을 경우의 대응 전략을 마련하기 위해 정보자산의 중요도를 정확하게 파악하고 정보보안 전략의 방향성을 결정하여야 한다. 이를 위해 대다수의 기업들은 일반적으로 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 기반의 측정방식을 사용하고 있지만 보편적으로 상중하 또는 1등급, 2등급, 3등급에 해당하는 단순지표만을 사용하고 있어 자산의 중요도를 명확하게 평가하기 어려운 것이 사실이다. 따라서 해당 평가방법을 개선하기 위해 중요도 평가 지표를 세분화하여 자산의 중요도를 보다 정확하게 분석할 수 있는 방안을 제시하고자 하였다. 각 지표별로 기밀성 부분에서는 자산이 적절한 수준의 기밀성을 유지하면서 공개되지 않아야 하는 자산인지를 평가하는 지표를 6가지로 세분화 하였고, 자산의 고유의 성질이 인가되지 않은 내부 또는 외부로부터 변경 또는 변조되지 않고 정확성과 완전성을 유지하여야 하는 지를 평가하는 무결성 또한 4가지로 세분화 하였다. 자산을 이용하고자 할 때 해당 자산을 이용 가능한 필요성이 어느 정도인지를 평가하는 가용성 부분에는 6가지의 세분화 한 평가지표를 제시하고자 한다. 개선된 평가방법의 검증을 위해 정보보안 전문가 그룹을 통해 기존의 평가지표와 개선된 평가지표를 이용하여 동일한 자산을 분석하게 하고 이를 비교하여 보다 정밀하게 자산의 중요도를 분석할 수 있는지 확인해 보았다. 결론적으로 전문가가 수행한 기존 주관적 평가지표 결과값에서 크게 벗어나지 않으면서 더 용이하게 그리고 더 객관적으로 해당 자산이 왜 해당 수준의 중요도를 지니는지를 알 수 있음을 확인할 수 있었다. 본 논문에서 세분화 한 정보자산 중요도 평가지표를 통해 모든 정보자산을 평가하는데 있어 전문가가 각 자산을 세밀하게 분석하지 않고도 자산 관리자 또는 이용자에게 자산에 대한 평가를 수행하도록 하여 해당 정보자산의 중요도를 객관적이고 용이하게 평가할 수 있기를 바란다.
지식정보화 사회를 넘어 4차 산업혁명에 이른 지금 클라우드 컴퓨팅이 활성화되면서 기업이 보유한 정보자산의 수는 급격하게 증가하고 각 자산에 가해지는 위협은 나날이 증대되고 있다. 기업의 정보보안 담당자는 자사의 정보자산이 보안 위험에 노출되었을 경우의 대응 전략을 마련하기 위해 정보자산의 중요도를 정확하게 파악하고 정보보안 전략의 방향성을 결정하여야 한다. 이를 위해 대다수의 기업들은 일반적으로 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 기반의 측정방식을 사용하고 있지만 보편적으로 상중하 또는 1등급, 2등급, 3등급에 해당하는 단순지표만을 사용하고 있어 자산의 중요도를 명확하게 평가하기 어려운 것이 사실이다. 따라서 해당 평가방법을 개선하기 위해 중요도 평가 지표를 세분화하여 자산의 중요도를 보다 정확하게 분석할 수 있는 방안을 제시하고자 하였다. 각 지표별로 기밀성 부분에서는 자산이 적절한 수준의 기밀성을 유지하면서 공개되지 않아야 하는 자산인지를 평가하는 지표를 6가지로 세분화 하였고, 자산의 고유의 성질이 인가되지 않은 내부 또는 외부로부터 변경 또는 변조되지 않고 정확성과 완전성을 유지하여야 하는 지를 평가하는 무결성 또한 4가지로 세분화 하였다. 자산을 이용하고자 할 때 해당 자산을 이용 가능한 필요성이 어느 정도인지를 평가하는 가용성 부분에는 6가지의 세분화 한 평가지표를 제시하고자 한다. 개선된 평가방법의 검증을 위해 정보보안 전문가 그룹을 통해 기존의 평가지표와 개선된 평가지표를 이용하여 동일한 자산을 분석하게 하고 이를 비교하여 보다 정밀하게 자산의 중요도를 분석할 수 있는지 확인해 보았다. 결론적으로 전문가가 수행한 기존 주관적 평가지표 결과값에서 크게 벗어나지 않으면서 더 용이하게 그리고 더 객관적으로 해당 자산이 왜 해당 수준의 중요도를 지니는지를 알 수 있음을 확인할 수 있었다. 본 논문에서 세분화 한 정보자산 중요도 평가지표를 통해 모든 정보자산을 평가하는데 있어 전문가가 각 자산을 세밀하게 분석하지 않고도 자산 관리자 또는 이용자에게 자산에 대한 평가를 수행하도록 하여 해당 정보자산의 중요도를 객관적이고 용이하게 평가할 수 있기를 바란다.
With the activation of cloud computing now, beyond the knowledge information service society, the number of information assets held by companies is rapidly increasing and the threat posed to each asset is increasing day by day. An entity's information security officer should accurately understand th...
With the activation of cloud computing now, beyond the knowledge information service society, the number of information assets held by companies is rapidly increasing and the threat posed to each asset is increasing day by day. An entity's information security officer should accurately understand the importance of its information assets and determine the direction of its information security strategy in order to prepare a strategy for responding to exposure to security risks. To this end, it is true that most companies typically use a confidence, integrity, and availability-based measurement method, but typically only up and down or down simple indicators, making it difficult to clearly assess the importance of assets. Therefore, to improve the assessment method, the entity sought to refine the materiality assessment indicators to provide a more accurate analysis of the materiality of the asset. For each indicator, there were six indicators for assessing whether an asset should not be disclosed while maintaining an appropriate level of confidentiality, and four for the integrity of assessing whether the asset's inherent nature should remain accurate and complete without alteration or modulation from unauthorized internal or external sources. Six disaggregated assessment indicators are presented in the usability section that assesses the extent to which an asset is available when it is intended to be used. For the verification of improved evaluation methods, a group of information security experts were performed to analyze the same asset using existing and improved evaluation indicators and compare them to see if they could be analyzed more precisely. In conclusion, it was confirmed that segmented method is easier and more objectively to see why the asset had that level of importance without deviating significantly from the existing subjective evaluation index results conducted by experts. In this paper, I hope that the disaggregated information asset materiality assessment can be objectively and easily assessed by having the asset manager or user perform an assessment of the asset without the need for a detailed analysis of each asset.
With the activation of cloud computing now, beyond the knowledge information service society, the number of information assets held by companies is rapidly increasing and the threat posed to each asset is increasing day by day. An entity's information security officer should accurately understand the importance of its information assets and determine the direction of its information security strategy in order to prepare a strategy for responding to exposure to security risks. To this end, it is true that most companies typically use a confidence, integrity, and availability-based measurement method, but typically only up and down or down simple indicators, making it difficult to clearly assess the importance of assets. Therefore, to improve the assessment method, the entity sought to refine the materiality assessment indicators to provide a more accurate analysis of the materiality of the asset. For each indicator, there were six indicators for assessing whether an asset should not be disclosed while maintaining an appropriate level of confidentiality, and four for the integrity of assessing whether the asset's inherent nature should remain accurate and complete without alteration or modulation from unauthorized internal or external sources. Six disaggregated assessment indicators are presented in the usability section that assesses the extent to which an asset is available when it is intended to be used. For the verification of improved evaluation methods, a group of information security experts were performed to analyze the same asset using existing and improved evaluation indicators and compare them to see if they could be analyzed more precisely. In conclusion, it was confirmed that segmented method is easier and more objectively to see why the asset had that level of importance without deviating significantly from the existing subjective evaluation index results conducted by experts. In this paper, I hope that the disaggregated information asset materiality assessment can be objectively and easily assessed by having the asset manager or user perform an assessment of the asset without the need for a detailed analysis of each asset.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.