정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다. 본 연구과제에서는 이들 기존연구를 근간으로 기술적 관점에서 정보보호수준 성숙단계를 정의하고자 한다. 연구방법은 정보보호취약점 진단, 기술보안체계 검증, 기술보안 이행실태 진단으로 구성한다. 제안하는 방법론은 업무현장에서의 범위와 수준에서 정보시스템의 현재 상태, 취약점 실태, 정보보호 기능 이행과 기능만족도 수준을 평가한다. 제안된 방법에 의한 평가결과는 정보보호 개선대책 권고모델 수립 근거로 활용하여 정보보호 개선의 활용을 목표로 하고 있다.
정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다. 본 연구과제에서는 이들 기존연구를 근간으로 기술적 관점에서 정보보호수준 성숙단계를 정의하고자 한다. 연구방법은 정보보호취약점 진단, 기술보안체계 검증, 기술보안 이행실태 진단으로 구성한다. 제안하는 방법론은 업무현장에서의 범위와 수준에서 정보시스템의 현재 상태, 취약점 실태, 정보보호 기능 이행과 기능만족도 수준을 평가한다. 제안된 방법에 의한 평가결과는 정보보호 개선대책 권고모델 수립 근거로 활용하여 정보보호 개선의 활용을 목표로 하고 있다.
The SSE-CMM model is how to verify the level of information protection as a process-centric information security products, systems and services to develop the ability to assess the organization's development. The CMM is a model for software developers the ability to assess the development of the ent...
The SSE-CMM model is how to verify the level of information protection as a process-centric information security products, systems and services to develop the ability to assess the organization's development. The CMM is a model for software developers the ability to assess the development of the entire organization, improving the model's maturity level measuring. However, this method of security engineering process improvement and the ability to asses s the individual rather than organizational level to evaluate the ability of the processes are stopped. In this research project based on their existing research information from the technical point of view is to define the maturity level of protection. How to diagnose an information security vulnerabilities, technical security system, verification, and implementation of technical security shall consist of diagnostic status. The proposed methodology, the scope of the work place and the current state of information systems at the level of vulnerability, status, information protection are implemented to assess the level of satisfaction and function. It is possible that measures to improve information security evaluation based on established reference model as a basis for improving information security by utilizing leverage.
The SSE-CMM model is how to verify the level of information protection as a process-centric information security products, systems and services to develop the ability to assess the organization's development. The CMM is a model for software developers the ability to assess the development of the entire organization, improving the model's maturity level measuring. However, this method of security engineering process improvement and the ability to asses s the individual rather than organizational level to evaluate the ability of the processes are stopped. In this research project based on their existing research information from the technical point of view is to define the maturity level of protection. How to diagnose an information security vulnerabilities, technical security system, verification, and implementation of technical security shall consist of diagnostic status. The proposed methodology, the scope of the work place and the current state of information systems at the level of vulnerability, status, information protection are implemented to assess the level of satisfaction and function. It is possible that measures to improve information security evaluation based on established reference model as a basis for improving information security by utilizing leverage.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
목표는 기존 방법론 적용 시 어려움을 해소 할 수 있는 기업 자체 진단의 성숙도수준 측정 방법론을 개발한다. 그 내용은 기술적 보안 측면에서 실무 현장에서 접근 가능한 방법론 개발이며 정보시스템의 정보보호 취약점 진단 방법론 도출, 기술보안 이행실태를 분야별로 진단이다.
본 연구과제는 이들 기존 연구를 근간으로 기술적 분야 정보보호수준 ‘성숙단계’ 측정 모델을 개발하고자 한다.
가설 설정
Humphrey가 소프트웨어 개발능력이 우수한 업체를 선정할 기준을 연구 했다. 품질은 제품을 생산하는 프로세스가 우수하면 양질의 제품이 나올 수 있다는 가정을 소프트웨어 개발에 적용한 것이다. CMM은 SW-CMM(software CMM), P-CMM(people -CMM), SE-CMM(system engineering CMM) SA-CMM(software acquisition CMM), SSE- CMM(software security CMM) 모델로 계속 진화가 진행되고 있다.
제안 방법
국내에서 발생하였거나 향후 발생가능성이 예상 되는 사고유형을 유형별로 모형화 하고 각각의 코드를 부여한다. 사고모형 코드설계는 시스템 구축 시 활용 가능 토록 10진 분류방식의 코드체계로 구성하되 4단계 계층구조로 설계 한다.
이 방법은 보안 엔지니어링 프로세스의 개선과 능력을 평가 하는데 조직 차원이 아닌 개별 프로세스의 능력수준을 평가한다. 본 연구는 이들 기존연구를 근간으로 조직차원 기술적 분야를 대상으로 정보보호 수준 ‘성숙단계’를 제안 했다. 본 연구가 실무 현장에서 참고 모델로 활용되기를 기대한다.
그 내용은 기술적 보안 측면에서 실무 현장에서 접근 가능한 방법론 개발이며 정보시스템의 정보보호 취약점 진단 방법론 도출, 기술보안 이행실태를 분야별로 진단이다. 이 취지에 부합 하는 범위와 수준에서 시스템의 현재 취약점 실태 및 정보보호기능 이행과 기능만족도 수준을 평가 한다. 그 결과는 정보보호 성숙 수준으로 평가 되며 평가결과는 정보보호개선 대책 권고모델 수립 근거로 활용 한다.
본 연구에서는 연구절차를 근간으로 기술적 관점에서 정보보호수준 ‘성숙단계’를 정의한다. 제시하는 정보보호수준 성숙단계 구도는 SSE-CMM과 비교하여 다섯단계 레벨로 구성된다. 산출된 정보보호 지수를 활용하여 정보보호수준 단계를 정의한다.
측정대상 분야는 기술적 보안 측면을 중점으로 하며 물리적 보안, 관리적 보안 분야는 기술적 보안 연관분야를 포함한다. 측정영역은 정보보호 전체영역 중 가능한 핵심요소 측정방법을 도출하여 적용한다. 절차적, 기술적 측면의 핵심요소 측정 방법론 이며 핵심 프로세스로 부터 긴급개선 요구사항을 도출한다.
대상 데이터
정보보호 수준평가 는 평가체계와 절차, 수행 내용, 실용화된 국내 기술의 종류 및 사용방법을 통해 평가지표를 선정하고, 평가지표를 작성한다. 측정대상 분야는 기술적 보안 측면을 중점으로 하며 물리적 보안, 관리적 보안 분야는 기술적 보안 연관분야를 포함한다. 측정영역은 정보보호 전체영역 중 가능한 핵심요소 측정방법을 도출하여 적용한다.
후속연구
본 연구는 이들 기존연구를 근간으로 조직차원 기술적 분야를 대상으로 정보보호 수준 ‘성숙단계’를 제안 했다. 본 연구가 실무 현장에서 참고 모델로 활용되기를 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
정보보호수준 검증방법으로 무엇이 있는가?
정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다.
CMM은 어떤 모델인가?
정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다.
CMM 모델의 한계점은 무엇인가?
CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다. 본 연구과제에서는 이들 기존연구를 근간으로 기술적 관점에서 정보보호수준 성숙단계를 정의하고자 한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.