국내·외 정보보호 관리체계기반의 인적보안의 이론적 비교연구 A Theoretical Comparative Study of Human Resource Security Based on Korean and Int'l Information Security Management Systems원문보기
ICBM(IoT, Cloud, Bigdata, Mobile)의 다양한 융합적 환경에서 IT기술의 발전이 진화되어 기존에 없던 다양한 새로운 정보보안의 위협이 생기고 있다. 또한 주요 금융권과 정부 공공기관을 대상으로 대형 정보유출 사고가 급증하면서 인적 보안의 중요성을 강조하고 있다. 이에 체계적인 정보보호 관리체계 구축은 해킹 및 보안 침해사고가 발생하는 경우 신속하게 대응하여, 피해 규모를 최소화 한다. 본 논문에서는 ISO27001, NIST 800-53, K-ISMS, COBIT, Cyber Security Framework등 주요 정보보호 관리체계에 나타난 인적보안 통제항목의 이론적 비교, 분석을 수행함으로써 보안사고의 주요 원인인 인적보안 문제에 관하여 효과적인 통제 방안과 시사점을 제시하였다.
ICBM(IoT, Cloud, Bigdata, Mobile)의 다양한 융합적 환경에서 IT기술의 발전이 진화되어 기존에 없던 다양한 새로운 정보보안의 위협이 생기고 있다. 또한 주요 금융권과 정부 공공기관을 대상으로 대형 정보유출 사고가 급증하면서 인적 보안의 중요성을 강조하고 있다. 이에 체계적인 정보보호 관리체계 구축은 해킹 및 보안 침해사고가 발생하는 경우 신속하게 대응하여, 피해 규모를 최소화 한다. 본 논문에서는 ISO27001, NIST 800-53, K-ISMS, COBIT, Cyber Security Framework등 주요 정보보호 관리체계에 나타난 인적보안 통제항목의 이론적 비교, 분석을 수행함으로써 보안사고의 주요 원인인 인적보안 문제에 관하여 효과적인 통제 방안과 시사점을 제시하였다.
In various ICBM (IoT, Bigdata, Cloud, Mobile) IT convergence environments, IT technologies have been evolved, new information security threats have been occurred. As information security incidents in major public agencies, financial institutions and companies occurred, it was emphasized that the imp...
In various ICBM (IoT, Bigdata, Cloud, Mobile) IT convergence environments, IT technologies have been evolved, new information security threats have been occurred. As information security incidents in major public agencies, financial institutions and companies occurred, it was emphasized that the importance of human security was disclosed. Thus, implementing of information security management system could protect hacks and security breaches and respond quickly to accidents so it minimized the sized of loss. In this paper, comparison of human security controls shown in ISO27001, COBIT, NIST 800-53, K-ISMS, Cyber Security Framework such as the main information security management systems was analyzed, and proposed of the security implications about effective controls of human resources security issues.
In various ICBM (IoT, Bigdata, Cloud, Mobile) IT convergence environments, IT technologies have been evolved, new information security threats have been occurred. As information security incidents in major public agencies, financial institutions and companies occurred, it was emphasized that the importance of human security was disclosed. Thus, implementing of information security management system could protect hacks and security breaches and respond quickly to accidents so it minimized the sized of loss. In this paper, comparison of human security controls shown in ISO27001, COBIT, NIST 800-53, K-ISMS, Cyber Security Framework such as the main information security management systems was analyzed, and proposed of the security implications about effective controls of human resources security issues.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
국내 ISMS의 인적 보안 통제내용은 내부 사용자, 조직구성원 및 정보시스템을 취급하는 제3자, 외주인원의 실수, 사기, 도난, 오용의 위험을 제거하거나 최소화하는 내용을 포함한다. 또한 정보보호의 위협과 취약점에 대해 관련자들이 해당 내용을 반영하고, 업무 이행 시 조직의 정보보호 정책을 준수하도록 한다.
공통적인 부분은 경영진의 정보보안에 대한 적극적인 참여와 인식으로 중요 정보자산의 접근통제나 직원들을 위한 꾸준한 교육이 시행되어야 한다. 본 논문에서는 날로 중요해지는 기업의 인적보안 통제 지침이나 관리 방안을 연구하기 위해 국내, 외 정보보호 관리체계, ISO27001, COBIT5, NIST 800-53, Cyber Security Framework, K-ISMS 속에 기술된 인적 보안 통제 관리지침을 비교, 분석해 보았다. 기존 연구가 ISO27001 중심으로 이루어졌으나 본 논문에서는 K-ISMS를 기준으로 세계 주요 5가지의 정보 보호 관리체계를 모두 다루어 이에 나타난 인적보안 통제항목을 비교 분석하였다.
본 논문에서는 이와 관련한 이론적 배경으로 국내, 외 정보보호 관리체계에 나타난 인적보안 요소를 살펴보고, 각 표준에 나타난 인적보안 지침을 비교, 분석함으로써 효율적인 인적 보안 통제에 관한 제언을 제시 하고자 한다.
사람으로 인한 보안의 사고위협을 최소화하고 기업의 생산성 증대를 위한 인적보안을 유지위한 주요한 5가지 방안을 기술하고자 한다.
제안 방법
5가지 정보보호 관리체계의 인적보안 통제사항 중 3가지 이상에서 기술된 공통통제항목을 도출하였으며, 각각의 인적보안 체계에 대한 분석을 실시하고 효율적인 인적보안 통제를 위한 제언을 하였다. 특히 빅데이터의 도입과 활용 등 데이터의 거버넌스에 많은 관심을 기울이는 트렌드에 비추어 각 기관별 민감 데이터의 구별, 등급과 보관 등 정보 관리 책임자의 지정과 역할 분담도중요한 이슈로 남는다.
프레임워크는 크게 주요기능을 5가지로 첫째, 인식(Identify) 둘째, 보호(Protect) 셋째, 탐지(Detect) 넷째, 대응 (Respond) 마지막으로 복구 (Recover)로 분류한다. 각 기능에 포함된 사이버 보안 결과물들을 프로그램 수요 및 특정 활동에 따라 그룹화한 범주를 나누었다. 하위분류(subcategories) 는 범주를 보다 더 구체적으로, 전문화된 활동을 명시하였다.
각각의 특징과 고유 철학을 담고 있지만 인적보안의 구체적 내용 분석을 위하여 국내, 외 주요한 정보보호 관리체계의 인적보안 조항을 비교하였다. Table 1은 5가지의 정보보호 관리체계에 포함된 인적보안 통제항목을 K-ISMS를 기준으로 서로 비교하여 정리한 내용을 나타내고 있다.
본 논문에서는 날로 중요해지는 기업의 인적보안 통제 지침이나 관리 방안을 연구하기 위해 국내, 외 정보보호 관리체계, ISO27001, COBIT5, NIST 800-53, Cyber Security Framework, K-ISMS 속에 기술된 인적 보안 통제 관리지침을 비교, 분석해 보았다. 기존 연구가 ISO27001 중심으로 이루어졌으나 본 논문에서는 K-ISMS를 기준으로 세계 주요 5가지의 정보 보호 관리체계를 모두 다루어 이에 나타난 인적보안 통제항목을 비교 분석하였다.
셋째, 보안서약서의 중요성을 환기시키고 퇴사 시 기밀을 준수할 것과 이에 대한 불이행시 조치가 있음을 주지시킨다. 넷째, 보안사항에 대한 일일 점검, 주간 점검, 월별 점검 및 연 1회의 주기적인 감사를 통해 현황 파악 및 개선 사항 그리고 문제점이 조치되었는지를 파악한다. 다섯째, 출입 통제를 다루는 물리적 보안과 이동식 저장매체 관리 등 중요 정보자산에 접근 제어 및 물리 봉인을 실시한다.
위에서 언급한 국내·외 주요한 정보보안 프레임워크 5가지, IS0/IEC27001, 27002, COBIT, NIST800-53, 미국 Cyber Security Framework, K-ISMS와 김성용의 ‘정보 보호 관리체계를 활용한 인적보안 통제 모델 연구’[13]의 논문을 참조하여, 여기서 제외된 NIST 800-53과 Cyber Security Framework내용을 추가적으로 더한 후 공통된 주요항목을 도출하였다.
하위분류(subcategories) 는 범주를 보다 더 구체적으로, 전문화된 활동을 명시하였다. 참조내용(reference)을 통해 주요 기반시설 부문에서 일반적으로 사용되는 구체적인 표준, 가이드라인, 시행방식 등을 제시했다. Cyber Security Framework는 인적보안 통제로 내부직원 및 외부 협력사, 파트너의 정보보안 역할과 의무, 보안교육 인적보안 세부실천사항을 포함한다.
후속연구
통제항목 간의 비교분석을 통해 도출된 항목들은 국내외 관련 표준 관리방안의 내용을 개선하고, 조직의 정보보호 관리체계의 수준을 높이는데 도움이 될 수 있다. 이 논문은 이론적 연구이므로 이에 대한 설문과 증명을 위한 실증적 후행연구가 한계점으로 남는다.
질의응답
핵심어
질문
논문에서 추출한 답변
인적보안이란 무엇인가?
인적보안이란 조직의 구성원이 조직의 보안정책에 따라 충실히 보안업무를 수행하고 있는가의 개인적 관점으로, 최소한의 공개 원칙, 보안인증의 지침과 절차를 준수 하여 인원으로부터 보안 문제가 발생하는 것을 미연에 방지하기 위한 활동을 통칭한다[4]. 물리적, 기술적 관리 수단과는 다르게 인적보안 관리는 정보를 소지하고 취급 하는 직원이 보호 활동의 주체이자 객체이며 보호수단이 기도 한다[5].
NIST800-53은 정보보안을 위해 어떤 단계를 거쳐 통제를 진행하는가?
NIST800-53은 정보시스템에 대한 정보보안 계획수립, 문서화 이행에 관한 내용을 다룬다. 이 프레임워크에서는 ①정보시스템 분류, ②정보보안 통제 (대책) 선택, ③정보보안 통제 실행, ④정보보안 통제 평가, ⑤정보시스템 보안 인정, ⑥정보보안 통제의 모니터링의 단계를 순환 반복하여 개선할 것과 정보보안 통제 항목으로 18개 분야 256개 항목을 자세하게 정의해 제시했다[11].
ISO/IEC 27001은 ISMS과 관련해 어떤 단계를 거쳐 업무를 수행하는가?
ISO/IEC 27001은 정보보호 관리체계에 관한 국제표준이며, PDCA(Plan-Do-Check-Act) 모델에 근거해 ISMS를 수립하고 구현 및 운영하며 모니터링과 검토 그리고 관리 개선의 4단계로 나눌 수 있다[6]. ISMS수립 단계에서는 보안 정책을 확립하고, 이와 관련한 정보보호 관리체계의 구현 범위를 설정한 후, 해당하는 정보 자산을 구별한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.