기업은 기업의 비즈니스 정보를 보호하기 위해 정보보호 관리체계 구축, 정보보호 시스템 구축 및 운영, 취약점 점검, 보안 관제 등 다양한 정보보호 활동을 하고 있다. 기업 비즈니스를 위한 다양한 정보보호 활동들을 체계화한 것이 기업 정보보호 거버넌스라고 할 수 있으며, 이를 효과적으로 운영하기 위해서는 시스템화할 필요성이 있다. 본 연구에서는 기업 정보보호 거버넌스를 시스템화하기 위해 기존의 기업 정보 포털(EIP) 모델에 대해 알아보고, 이에 기반한 기업 정보보호 포털(EISP) 모델을 제시하고자 한다. 기업 정보보호 포털(EISP) 모델은 기업의 다양한 정보보호 활동인 기업 정보보호 거버넌스를 시스템화하여 정보보호부서의 활동을 지원하고 기업의 정보보호 활동이 정보보호부서만의 활동이 아닌 최고경영자부터 임직원까지 직접 참여할 수 있도록 통합된 환경을 제시한다.
기업은 기업의 비즈니스 정보를 보호하기 위해 정보보호 관리체계 구축, 정보보호 시스템 구축 및 운영, 취약점 점검, 보안 관제 등 다양한 정보보호 활동을 하고 있다. 기업 비즈니스를 위한 다양한 정보보호 활동들을 체계화한 것이 기업 정보보호 거버넌스라고 할 수 있으며, 이를 효과적으로 운영하기 위해서는 시스템화할 필요성이 있다. 본 연구에서는 기업 정보보호 거버넌스를 시스템화하기 위해 기존의 기업 정보 포털(EIP) 모델에 대해 알아보고, 이에 기반한 기업 정보보호 포털(EISP) 모델을 제시하고자 한다. 기업 정보보호 포털(EISP) 모델은 기업의 다양한 정보보호 활동인 기업 정보보호 거버넌스를 시스템화하여 정보보호부서의 활동을 지원하고 기업의 정보보호 활동이 정보보호부서만의 활동이 아닌 최고경영자부터 임직원까지 직접 참여할 수 있도록 통합된 환경을 제시한다.
In order to protect the business information of the enterprise, the company is engaged in various information security activities, such as establishing an information security management system, establishing and operating an information security system, checking vulnerabilities and security controls...
In order to protect the business information of the enterprise, the company is engaged in various information security activities, such as establishing an information security management system, establishing and operating an information security system, checking vulnerabilities and security controls. It is an enterprise information security governance that organizes various information security activities for enterprise business, and it needs to be systematized to operate them effectively. In this study, to systematize the enterprise information security governance, we would like to explore the existing Enterprise Information Portal(EIP) model and propose an Enterprise Information Security Portal(EISP) model based on it. The Enterprise Information Security Portal(EISP) model provides an integrated environment for supporting the activities of the information security departments by systemizing the enterprise information security governance, which is a variety of information security activities of the enterprises, so that the information security activities of the enterprises can participate directly from CEO to executives and employees, not just from the information security departments.
In order to protect the business information of the enterprise, the company is engaged in various information security activities, such as establishing an information security management system, establishing and operating an information security system, checking vulnerabilities and security controls. It is an enterprise information security governance that organizes various information security activities for enterprise business, and it needs to be systematized to operate them effectively. In this study, to systematize the enterprise information security governance, we would like to explore the existing Enterprise Information Portal(EIP) model and propose an Enterprise Information Security Portal(EISP) model based on it. The Enterprise Information Security Portal(EISP) model provides an integrated environment for supporting the activities of the information security departments by systemizing the enterprise information security governance, which is a variety of information security activities of the enterprises, so that the information security activities of the enterprises can participate directly from CEO to executives and employees, not just from the information security departments.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 기업 정보보호 거버넌스를 기반으로 한 기업 정보보호 포털 모델을 제시한다.
본 논문에서는 기업이 정보보호 거버넌스를 시스템화하여 운영할 수 있도록 기업 정보 보털(EIP)에 기반한 기업 정보보호 포털(EISP) 모델을 제안하였다. 제안한 모델은 기업 정보보호 거버넌스를 실질적으로 활용할 수 있도록 한다.
본 연구에서는 최고경영자 및 임직원이 기업 정보보호 거버넌스에 따라 정보보호 활동에 적극 참여하고 수행 할 수 있는 정보보호 포털 모델을 제시하고자 한다. 제2장 관련 연구에서는 정보보호 거버너스 및 기업 정보 포털(EIP)에 대해 살펴보고, 제3장에서는 기업을 위한 기업 정보보호 포털 모델을 제시한다.
제안 방법
본 모델에서 제시하는 기업 정보보호 거버넌스기반의 기업 정보보호 포털(EISP) 모델은 정보보호최고책임자(CISO) 및 최고경영자(CEO)가 기업 전체의 정보보호 현황을 통합적으로 볼 수 있도록 하므로써 최고경영진이 정보보호가 기업경영의 하나로 인식하고 정보보호 활동에 적극 참여할 수 있도록 한다. 또한 정보보호최고책임자(CISO)는 비즈니스 목표에 맞는 정보보호 목표를 수립할 수 있고 운영함으로써 기업의 입장에서는 실질적이고 현실적인 정보보호 활동을 수행할 수 있다.
본 논문에서는 기업이 정보보호 거버넌스를 시스템화하여 운영할 수 있도록 기업 정보 보털(EIP)에 기반한 기업 정보보호 포털(EISP) 모델을 제안하였다. 제안한 모델은 기업 정보보호 거버넌스를 실질적으로 활용할 수 있도록 한다. 보안기획, 보안운영, 보안신청 관리, 정보보안 교육 및 훈련, 취약점 관리, 외부인력 관리, 개인정보보호 등 정보보호의 모든 활동을 각 정보보호 업무 담당자가 정보보호 포털을 통해 운영하고, 정보보호최고책임자(CISO) 및 최고경영자(CEO)는 정보보호 포털 통합 대시보드를 통해 기업 전체의 정보보호 현황을 볼 수 있다.
성능/효과
<표3>과 같이 기업 정보보호 거버넌스와 기업 정보보호 포털 맵팽 정보를 보면 기업 정보보호 포털을 통해 기업 정보보호 거버넌스를 시스템화 할 수 있음을 확인할 수 있다.
후속연구
본 논문에서 제안하는 모델을 실질적으로 시스템화하기 위해서는 세부적인 시스템 구성에서부터 기업 정보보호 포털(EISP) 모델의 세부적인 설계 및 구현이 필요하다. 기업의 산업군에 따라 시스템의 세부 설계가 상이 할 수 있을 것이다.
기업의 산업군에 따라 시스템의 세부 설계가 상이 할 수 있을 것이다. 본 모델을 기반으로 특정 산업군에 맞는 정보보호 포털(EISP) 시스템을 설계 및 구현할 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
정보보호 거버넌스란?
정보보호 거버넌스란 위험관리 노력의 일환으로, 정보보호 전략이 비즈니스 목표와 연계되고 이의 달성을 지원하며, 정책과 내부통제를 통해 관련 법규와 규정을 준수하는 것을 보장하고, 책임을 할당하기 위한 프레임워크와 이를 위한 경영 구조 및 프로세스를 수립하는 과정이다.[2]
EIP의 구성 요소의 3가지는?
첫 번째는 기업 내 정보의 통합이다. 기존의 기업에서 데이터베이스 형태로 저장되어 온 정형 데이터와 각종 사내 문서, 보고서, 도면, 웹 검색 자료 등 비정형 자료까지 포함하는 개념이다.
두 번째는 기존의 시스템과의 통합이다. 기업 내 정보를 하나로 통합하기 위한 필수적인 작업으로 기존의 데이터베이스와의 연계 및 ERP, CRM, SCM 등 이미 도입했던 시스템과의 통합 작업이 필요하다.
세 번째는 이용자가 활용할 수 있는 툴의 개발이다. EIP 구축을 통해 통합된 정보 중에서 이용자에게 필요한 정보만을 선택할 수 있는 기능과 통합된 시스템에 접근할 수 있는 단일 접점, 즉 싱글사인온(Single Sign On)의 구현, 그리고 이용자의 업무 특성과 권한에 따른 접근 권한 등 보안 설정 등이다.
정보보호 거버넌스 활동에는 무슨 활동이 있는가?
기업들은 내·외부의 각종 보안 위협으로부터 기업 비즈니스 정보를 보호하기 위해 정보보호 거버넌스를 마련하여 활동하고 있다. 정보보호 거버넌스 활동에는 정보보호 계획 수립하고 정보보호 체계를 구축 및 운영하고 컴플라이언스 감사, 취약점 분석 및 리스크 관리 등 다양한 활동이 있다. 정보보호 거버넌스가 실질적인 효과를 얻기 위해서는 이를 시스템화할 필요가 있으며 Dashboard(대시보드:현황판) 형태의 정보보호 포털사이트를 통해 정보보호 목표, 정보보호 운영현황, 모니터링 결과, 정보보호 수준 등을 최고경영자 및 임직원에게 가시화하여 보여줌으로써 정보보호 활동을 강화하고 이를 기업경영에 반영할 수 있다.
참고문헌 (11)
김도형, "최고경영자를 위한 정보보호 거버넌스 모델에 관한 연구", 융합보안논문지, 제17권, 제1호, pp. 39-44, 2017
이성일, "정보보호 거버넌스 프레임워크에 관한 연구", 동국대학교 대학원 경영정보학과, 2011
이창훈, 하옥현, "기밀유출방지를 위한 융합보안 관리 체계", 융합보안논문지, 제10권, 제4호, pp. 61-67, 2010.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.