우리나라 전자정부는 UN 전자정부 참여지수 2위, 미국 브루킹스연구소(전 브라운대학) 평가에서 3년 연속 1위를 차지할 정도로 잘 구축되어 있으나, 반면에 세계경제포럼(WEF)에서 2007년 조사한 정보보호 순위는 51위로서 인터넷 이용자수와 서비스 환경에 비해서 상대적으로 열악한 수준이다. 2008년 한 해 동안에만 옥션 정보유출, GS 칼텍스 정보 유출 등 크고 작은 보안 사고들이 끊임없이 발생하여 국민들이 사이버위협에 노출되고 주요 정보들이 유출되자 점차 정보보안, 개인정보보호의 필요성과 중요성에 눈을 뜨게 되어 정보보호에 대한 요구가 점차 늘어나고 있는 추세이다. 본고에서는 주요 국가들의 전자정부 서비스 수준과 정보보호를 위한 투자 제도 정책 등을 벤치마킹하여, 우리나라에서 이를 효율적으로 활용할 수 있는 방안을 찾아보고, 중앙행정기관 및 지방자치단체에서 제공하고 있는 전자정부 서비스의 안전성과 보안성을 향상시킬 수 있도록 국제적으로 표준화된 정보보호 관리체계인 ISO 27001 ISMS를 적용할 수 있는 정책을 발굴하여 국가 정보보호 수준을 더욱 높이고자 한다.
우리나라 전자정부는 UN 전자정부 참여지수 2위, 미국 브루킹스연구소(전 브라운대학) 평가에서 3년 연속 1위를 차지할 정도로 잘 구축되어 있으나, 반면에 세계경제포럼(WEF)에서 2007년 조사한 정보보호 순위는 51위로서 인터넷 이용자수와 서비스 환경에 비해서 상대적으로 열악한 수준이다. 2008년 한 해 동안에만 옥션 정보유출, GS 칼텍스 정보 유출 등 크고 작은 보안 사고들이 끊임없이 발생하여 국민들이 사이버위협에 노출되고 주요 정보들이 유출되자 점차 정보보안, 개인정보보호의 필요성과 중요성에 눈을 뜨게 되어 정보보호에 대한 요구가 점차 늘어나고 있는 추세이다. 본고에서는 주요 국가들의 전자정부 서비스 수준과 정보보호를 위한 투자 제도 정책 등을 벤치마킹하여, 우리나라에서 이를 효율적으로 활용할 수 있는 방안을 찾아보고, 중앙행정기관 및 지방자치단체에서 제공하고 있는 전자정부 서비스의 안전성과 보안성을 향상시킬 수 있도록 국제적으로 표준화된 정보보호 관리체계인 ISO 27001 ISMS를 적용할 수 있는 정책을 발굴하여 국가 정보보호 수준을 더욱 높이고자 한다.
Korea ranked 2nd in the UN Global e-Participation Index and ranked number one as the leader in e-Government for the third consecutive year. However, Korea ranked 51 in the level of information security published by WEF(World Economic Forum), relatively a low level comparing with its great number of ...
Korea ranked 2nd in the UN Global e-Participation Index and ranked number one as the leader in e-Government for the third consecutive year. However, Korea ranked 51 in the level of information security published by WEF(World Economic Forum), relatively a low level comparing with its great number of users and excellent environments for the Internet service. A series of critical hacking accidents such as the information leak at Auction and GS Caltex emerged consecutively in 2008 year, resulting in the leak of personal & critical information. This led to a strong interest in the necessity and importance of information security and personal information so that demand for IT security is growing fast. In this paper, we survey to benchmark information security in the perspective of service level, system, investment and policy about major foreign countries. Then we research on an effective way to make the most of the benchmark result to Korea e-Government. In addition, the purpose of this paper is to improve national information security index by developing a policy for ISO 27001 ISMS, an international standard for Information Security Management System, and elevate safety and security of the e-Government serviced by central administrative organizations and local authorities.
Korea ranked 2nd in the UN Global e-Participation Index and ranked number one as the leader in e-Government for the third consecutive year. However, Korea ranked 51 in the level of information security published by WEF(World Economic Forum), relatively a low level comparing with its great number of users and excellent environments for the Internet service. A series of critical hacking accidents such as the information leak at Auction and GS Caltex emerged consecutively in 2008 year, resulting in the leak of personal & critical information. This led to a strong interest in the necessity and importance of information security and personal information so that demand for IT security is growing fast. In this paper, we survey to benchmark information security in the perspective of service level, system, investment and policy about major foreign countries. Then we research on an effective way to make the most of the benchmark result to Korea e-Government. In addition, the purpose of this paper is to improve national information security index by developing a policy for ISO 27001 ISMS, an international standard for Information Security Management System, and elevate safety and security of the e-Government serviced by central administrative organizations and local authorities.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
기업의 품질향상을 위해서 제품을 생산하는 단위마다 표준화를 적용하여 사람과 조직 모두가 엄격한 품질관리를 시행할 수 있도록 국제표준 품질인증 제도인 ISO 9001 을 활용하듯이 , 잦은 인사이동에도 불구하고 조직 내부에 정보보호에 대한 노하우가.쌓이고 정착될 수 있도록, 정부 업무 수행 조직 내부에 표준화된 국제표준 정보보호관리체계인 ISO 27001 ISMS 를 우리나라 전자정부 대민서비스 환경 에 알맞도록 수정.
앞에서 제안한 여러가지 문제점과 개선 방안들을 잘 운용할 수 있도록 우리나라 전자정부서비스 환경에 알맞게 통제항목을 선정하여 적용하고자.한 것으로, 이를 행정조직에 잘 응용하여 실용적으로 수행할 수 있게 하는 것이 작금의 숙제로 남아 있는데 , 표준화된 정보보호 관리체계를 행정기관에서 잘만.
앞장에서 살펴 본 행정기관의 정보화 및 정보보호 업무 정책상 문제점들에 대해서 이를 개선할 방안에 대해서 제안한다.
인 ISO 27001 ISMS (Information Security Management System)〔4, 5〕를 국내 전자정부 환경에 적용할 수 있는 통합 방안을 도출하여 , 전자정부 서비스에 대한 보안수준을 향상시킬 수 있도록 실용적인 활용방안을 제안하고자 한다.
분석하여 우리나라 전자정부 정보보호 환경에 도입. 적용할방안을 찾고자 한다. 안전한 유비쿼터스 사회를 구현하기 위하여 국가마다 다양한 정책들이 추진되고 있으며 , 미국, 일본, EU 등 주요 국가의 정보보호 정책을 비교.
분석하여 우리나라 전자정부 정보보호 환경에 도입. 적용할방안을 찾고자 한다. 안전한 유비쿼터스 사회를 구현하기 위하여 국가마다 다양한 정책들이 추진되고 있으며 , 미국, 일본, EU 등 주요 국가의 정보보호 정책을 비교.
제안 방법
O 행정안전부의 개인정보E호 수준진단 지표 : 공공기관의 개인정보보호에 관한 법률에 기초하여 18개 분야 85개 항목에 대하여 만족 여부를 점검한다. 법적 요구사항이므로 반드시 만족해야 하는 사항들이다.
서울시. 경기도, 대전시 등의 11개 주요 서비스어대해서 설문과 현장방문(2008. 9. 4 - 2008. 9. 17)을 병행하여 핵심 정보보호관리 현황 8개 영역 25 개 항목을 중심2로 정보보호관리체계 실태 및 애로사항을 파악하고 개선방안을 도출하여 인증기준 모델을제안한다〔12, 19-21〕.
높다. 따라서 정보시스템 담당자와 외주용역업체가 맡은 바 업무를 적확하게 수행하고 있는'지, 표준과 절차에 따라서 수행하고 있는 지 등등을 효율적으로 관리할 수 있는 프로세스, 제도, 방법론 등을 쳬계적으로 마련하는 것이 필요하며, 이를 위해 ISO 27001 ISMS를 전자정부 환경에 알맞도록 응용하여 행정기관 정보보호 관리체계 (G-ISMS)를 개발.적용할 것을 제안한다.
추진하였다. 또한, 개인정보보호를 위해 개인정보보호법 (2005. 4)을 통한 개인정보의 유출방지와 부정 액세스행위 금지에 관한 법률(1999. 8)에 의한 해킹, 바이러스 등의 사이버침해를 방지하도록 규정하였다.
문서화는 3개 요건에 대하여 12개 점검항목을 제시하였다. 통제항목은 일반적인 정보보호 대책을 나열한 것으로서 ISO 27001과 같이 11개 분야로 나누어 135개 통제항목, 즉 정보보호 대책을 제공하였다.
비교.분석하여 우리나라 전자정부 정보보호 환경에 도입. 적용할방안을 찾고자 한다.
셋째, 정보보호 업무 담당 부서 근무를 권장하기 위해서 , 정보보호 분야의 교육 훈련을 정해진 기간 이상 받았을 경우 정보보호 부서 배치에 우선권을 부여하고, 정보보호 업무를 일정 기간(수년간) 이상 담당하였을 때 타 부서 이동시 우선적인 선택권을 제공하는 방안을 제안한다.
조직 내부에 정보보호에 대한 노하우가.쌓이고 정착될 수 있도록, 정부 업무 수행 조직 내부에 표준화된 국제표준 정보보호관리체계인 ISO 27001 ISMS 를 우리나라 전자정부 대민서비스 환경 에 알맞도록 수정. 적용하여 업무가 지속적이고 효율적으로 관리될 수 있도록 하고, 사람이 바뀌더라도 각각의 단위 조직 (총.
적용할방안을 찾고자 한다. 안전한 유비쿼터스 사회를 구현하기 위하여 국가마다 다양한 정책들이 추진되고 있으며 , 미국, 일본, EU 등 주요 국가의 정보보호 정책을 비교.분석하여 우리나라 전자정부 정보보호 환경에 도입.
인사제도에서 발생하는 것을 조직 혹은 제도에 의해서 보충하는 방안을 제안한다.
쌓이고 정착될 수 있도록, 정부 업무 수행 조직 내부에 표준화된 국제표준 정보보호관리체계인 ISO 27001 ISMS 를 우리나라 전자정부 대민서비스 환경 에 알맞도록 수정. 적용하여 업무가 지속적이고 효율적으로 관리될 수 있도록 하고, 사람이 바뀌더라도 각각의 단위 조직 (총. -T-. 인사, 예산, 행정, 정책 등)에서 표준화된 정보보' 호 절차 및 프로세스를 자연스럽게 수행하여 정보보. 호 업무가 물 흐르듯 수행되도록 시스템화하는 방안을 제안한다.
전자정부의 정보보호 수준을 근본적으로 제고하기 위하여 사전 예방 및 지속적인 정보보호수준 관리방안으로써 각급 행정기관에서 국제표준인 ISO 27001 ISMS를 기반으로 한 행정기관 정보보호관리체계(GTSMS) 인증제도의 도입을 제안한다.
즉, 초기에는 전자정부서비스와 중앙행정기관의 서비스 중 국민- 생활에 밀접한 대국민 서비스를 중심으로 인증을 받도록 하고 차차.정보보호관리체계의 신뢰도 및 인지도를 높여가면서 인증 대상이 되는 서비스 범위를 확장하고, 최종적으로는 기관전체에 대한 인증을 목표로 확산하며, 소속기관 및 신:하기관으로 확산, 연계하는 방식을 제안한다.
주요 국가의 정보보호 추진 정책을〔표 4〕와 같이 요약 비교하였다.
2)하여 정부, 주요 인프라, 민간 대상 정보보호 기본계획을 수립.추진하였으며, 경제산업성에서 정보보호 선진국 실현, 정보보호 정책의 글로벌화, 국내외 변화에 대응하는 메커니즘 확립 등을 위한 글로벌 정보보호 전략('07)을 수립 .추진하였다.
통제항목 즉, 정보보호 대책의 수립 여부를 점검하기 위한 355개의 점검항목을 제시하였다. 이 점검항목에는 행정안전부의 개인정보보호 수준진단 지표 84 개 항목을 포함하고 있다.
통제항목은 일반적인 정보보호 대책을 나열한 것으로서 ISO 27001과 같이 11개 분야로 나누어 135개 통제항목, 즉 정보보호 대책을 제공하였다. 이 통제항목들은 모두 구현해야 하는 것은 아니며 관리과정에서 위험분석을 통해 해당 기관에 필요한 대책을 선정하여 구현하여야 한다.
행정기관 G-ISMS 인증기준은 기존 ISO 27001 ISMS와 같이 관리과정, 문서화, 통제항목(정보보호 대책)의 3개 부문으로 나누어 구성하였다.
인사, 예산, 행정, 정책 등)에서 표준화된 정보보' 호 절차 및 프로세스를 자연스럽게 수행하여 정보보. 호 업무가 물 흐르듯 수행되도록 시스템화하는 방안을 제안한다.
안전한 유비쿼터스 사회를 구현하기 위하여 국가마다 다양한 정책들이 추진되고 있으며, 미국, 일본, EU 등 주요 국가의 정보보호 정책〔6〕을 비교.분석하여 우리나라 전자정부 정보보호 환경에 도입.
이론/모형
최종적으로 관리과정은 ISO의 PDCA 사이클 (Plan-Do-Check-Act, 겨〕획-실행-검토-개선)에 따라 4개 관리과정에 대하여 15개 요구사항을 구성하였으며 , 이 요구사항의 달성 여부를 점검하기 위한 39개 점검항목을 제시하였다.
성능/효과
넷째, 정부와 행정서비스의 정보화는 세계 각국의 추세로서 모든 정부 업무가 전산화되고 있는 환경으로 전산 담당자가 더욱 필요한 상태이다. 대개의 경우, 전산 담당자 혹은 통신 담당자 중에서 정보보호 담당자를 선임하고 있는 환경 이나 반면에 정보화를 담당하는 전산.
다섯째, 인력과 전문가의 부족에 따라 전자정부에서 사용하는 정보시스템은 거의 대부분 민간 전문업 체에 외주 의뢰하여 개발하고 있고 개발 후 운영할 때에도 정보시스템 전체를 아웃소싱하여 관리하는 상황이어서 외주용역 개발 및 운영업체에 대한 관리를 효율적으로 수행해야 할 필요가 있다. 개발 과정중에서 프로그램이 오류나 결함이 없이 잘 만들어졌는지.
다섯째, 전자정부에서 사용하는 정보시스템은 거의대부분 외주용역에 의해서 개발되고 있고 개발 후 운영할 때에도 정보시스템 관리 전체를 아웃소싱하는 상황이어서, 자칫하면 보안에 허점이 발생할 우려가 높다. 따라서 정보시스템 담당자와 외주용역업체가 맡은 바 업무를 적확하게 수행하고 있는'지, 표준과 절차에 따라서 수행하고 있는 지 등등을 효율적으로 관리할 수 있는 프로세스, 제도, 방법론 등을 쳬계적으로 마련하는 것이 필요하며, 이를 위해 ISO 27001 ISMS를 전자정부 환경에 알맞도록 응용하여 행정기관 정보보호 관리체계 (G-ISMS)를 개발.
둘째, 매년 정보화 분야 인력 충원의 기회가 있을 때마다 정보보호 분야에 우선적으로 인력을 배치하도록 독려하고 있으나에서 보듯이 전담 조직조차 설치하지 못하고.
셋째, 개인정보보호를 포함한 정보보호 업무를 담당하는 부서에 배치되는 것을 꺼려한다는 것이다. 자발적으로 원해서 보안업무를 담당하는 사례는 많지 않고.
후속연구
둘째 , 전자정 부서비스가 활성 화될수록 정 보 보호 분야 전문가의 확보가 중요한 과제이므로 인력 확보 방안으로, 개인정보보호를 포함한 정보보호 분야의 연간 필수이수 학점을 부여하여 최소한 일정시간 이상 의무적으로 교육을 이수하게 하고, 국내외 정보보호 분야 전문자격을 취득할 경우 승진 가산점을 부여하고, 우선적으로 정보보호 업무를 담당케 하는 것이 필요하다.
바람직하다고. 생각하며, 행정기관에서 이를 적극 수용할 수 있도록 다양한 인센티브를 제공하는 방안이 필요할 것이다.
따라서 정보시스템 담당자와 외주용역업체가 맡은 바 업무를 적확하게 수행하고 있는'지, 표준과 절차에 따라서 수행하고 있는 지 등등을 효율적으로 관리할 수 있는 프로세스, 제도, 방법론 등을 쳬계적으로 마련하는 것이 필요하며, 이를 위해 ISO 27001 ISMS를 전자정부 환경에 알맞도록 응용하여 행정기관 정보보호 관리체계 (G-ISMS)를 개발.적용할 것을 제안한다.
첫째, 순환근무제도에 의한 잦은 인사이동에 대해서는 문제점도 있지만 나름대로 장점(다양한 직무 경험으로 관리능력 향상, 중앙-지방간 인사교류, 유착관계 형성 차단, 부정 발생소지 사전 제거 등)도 있기 때문에 이를 무조건적으로 폐지하는 것보다 문제점을 다소나마 줄일 수 있는 방안으로 해결책을 찾는, 것이 필요하다. 인사제도에서 발생하는 것을 조직 혹은 제도에 의해서 보충하는 방안을 제안한다.
가이드 등에 대한 추가 연구가 필요하고. 현장에서 적극적으로 수용할 수 있도록 다양한 인센티브제도가 뒷받침된다면 활성화에 많은 도움이 될 것이다.
참고문헌 (21)
방송통신위원회, '유.무선 통신서비스 가업자 현황 (2009.5월말),' pp. 5-6, 2009년 7월
서재철, 조찬형, 김주영, 안인회, 나은아, 박수미, '2008 인터넷이용실태조사,' 방송통신위원회, 한국인터넷진흥원, 2008년 11월
행정안전부, '정보보호 중기 종합계획,' 국무회의 보고자료, pp. 11-14, 2008년 8월
ISO/IEC 27001, 'standard for the establishment, implementation, control and improvement of the Information Security Management System,' ISO, Oct. 2005
ISO/IEC 27002, 'code of practice providing good practice advice on ISMS,' ISO, Oct. 2005
행정안전부, '주요국가 정보보호 정책 및 예산,' 2008년 4월
국가보안기술연구소. '미국 연방정보보안관리법 체계 및 동향,' pp. 15-24, 2005년 10월
한국정보보호진흥원, '전자정부 대민서비스 보안 수준 실태조사 및 개선방안 연구,' 2008년 12월
차광승, '지방자치단체의 정보보호 관리체계 구축 방안,' 석사학위논문, 경원대학교 소프트웨어대학원, 2007년 8월
국가정보원, 방송통신위원회, '2009 국가정보보호백서,' 2009년 4월
J. Pescatore, R. Mogull, E. Ouellet, J. Girard, R. Wagner, J. Heiser, P.E. Proctor, A. Litan, V. Wheatman, A. Hallawell, M. Nicolett, N. MacDonald, P. Firstbrook, Joseph, Feiman, and G. Young, 'Hype Cycle for Data and Application Security,' Gartner Group, Dec. 2006
오경희, 김정덕, 박태완, 권헌영, 김지연, 한근희, '정보보호관리체계 인증제도 도입방안 연구,' 한국정보보호학회, 2008년 12월
서동현, 'A기업의 정보보호와 '정보보호인증제도의 발전방향'에 관한 연구,' 석사학위논문, 동국대학교 국제정보대학원, 2007년 2월
신영수, '중.소 기업 정보보호 수준 향상을 위한 모텔 제안 및 적용,' 석사학위논문, 건국대학교 정보통신대학원, 2006년 2월
한국정보보호진흥원, 'ISMS 인증제도 소개,' pp. 6-19, 2007년 8월
이강신, 이병욱, 이재로, 김종원, 이재호, '정보보호관리체계 인증준비 가이드,' 한국정보보호진흥원, 2002년 9월
오경희, 검호진, 김기홍, 이준택, 윤명훈, 박의원, '개인정보보호 등을 위한 ISMS 모델 및 보호대책 개발,' 한국정보보호진흥원, 2007년 11월
오경희, 김정덕, 박태완, 김지연, 한근희, '전자정부 대민서비스 정보보호관리체계 구축가이드,' 한국정보보호진흥원, 2009년 6월
고규만, 김재성, 장상수, '정보보호관리체계(ISMS) 구축 시 일반적으로 나타나는 결함사례에 관한분석,' 정보보호학회논문지, 17(4), pp. 34-41. 2007년 8월
전용준, 조기환, 김원규, '공공기관의 정보보호관리체계 감사시스템의 설계 및 구현,' 인터넷정보학회논문지, 7(5), pp. 81-93, 2006년 10월
※ AI-Helper는 부적절한 답변을 할 수 있습니다.