초록 ▼

본 위탁과제의 목표를 달성하기 위하여 다음과 같은 내용을 연구 개발하였다.
· 국내외 유사제도 동향파악
- 국내 IT 및 정보보호 평가 관련 제도 분석
- 미국, 유럽, 호주 등 주요 국가 유사제도 조사 분석 (NIST SP800-37, 53, 53A 등)
· 국내외 관련기관 평가 기준 및 절차 분석
- 국내 SI업체의 정보시스템 개발시 정보보호 평가기준 및 절차 분석
- 정보시스템 개발단계의 정보보호컨설팅 기준, 항목 및 절차 분석
- MS, IBM 등 국외 업체의 생명주기별 평가기준 및 절차

본 위탁과제의 목표를 달성하기 위하여 다음과 같은 내용을 연구 개발하였다.
· 국내외 유사제도 동향파악
- 국내 IT 및 정보보호 평가 관련 제도 분석
- 미국, 유럽, 호주 등 주요 국가 유사제도 조사 분석 (NIST SP800-37, 53, 53A 등)
· 국내외 관련기관 평가 기준 및 절차 분석
- 국내 SI업체의 정보시스템 개발시 정보보호 평가기준 및 절차 분석
- 정보시스템 개발단계의 정보보호컨설팅 기준, 항목 및 절차 분석
- MS, IBM 등 국외 업체의 생명주기별 평가기준 및 절차 분석
· ISP(정보전략계획) 및 SDLC(정보시스템 개발 생명주기)에 따른 정보보호 모델 개발
- ISP 및 SDLC 단계별 주요 개발 활동과 정보보호 요소를 연계한 정보보호 아키텍처 및 모델 개발
· 정보시스템 개발 생명주기에 따른 정보보호 평가 기준 및 항목 개발
- ISP 및 SDLC 단계별 정보보호 활동을 평가할 수 있는 점검 항목 개발
- 점검표 결과의 분석 방법 및 적합성 판정 기준 개발
· 정보시스템 개발 시 정보보호 반영을 위한 제도화 전략 및 절차 개발
- 제도화를 위한 핵심성공요인 분석
- 단계별 제도화 전략 및 절차 개발

Abstract ▼

This study examined the following subjects for developing checklists and a infosec assessment scheme:
· Analysis of infosec evaluation schemes in the context of IT projects
· Analysis of methodologies for infosec integration into IT projects
· Development of a infosec architecture and model

This study examined the following subjects for developing checklists and a infosec assessment scheme:
· Analysis of infosec evaluation schemes in the context of IT projects
· Analysis of methodologies for infosec integration into IT projects
· Development of a infosec architecture and models in the context of ISP and IT projects
· Development of infosec checklists, which can be used to assess the extent of integration level of infosec into ISP and system development life cycle activities.
· Proposition of infosec assessment methods and procedures.

목차 Contents

• 표지 ...1
• 제출문 ...2
• 요약문 ...3
• SUMMARY ...7
• 목차 ...10
• Contents ...13
• 그림 목차 ...16
• 표 목차 ...18
• 제1장 서론 ...19
• 제1절 연구의 필요성 ...19
• 제2절 연구과제의 목표 및 내용 ...21
• 1. 과제 목표 ...21
• 2. 내용 및 범위 ...22
• 3. 연구의 수행 전략 및 구성 ...23
• 제2장 국내외 정보보호 평가제도 및 기준 분석 ...25
• 제1절 국내 정보시스템의 정보보호 평가제도 분석 ...25
• 1. 국정원의 보안성 검토 ...25
• 2. 한국전산원 감리제도 ...26
• 3. 금감원의 IT 검사제도 ...27
• 제2절 국외 정보시스템의 정보보호 평가 및 승인 제도 분석 ...29
• 1. 미국의 정보시스템 정보보호 평가제도 ...29
• 2. 영국의 정보시스템 정보보호 평가제도 ...38
• 3. 호주의 정보시스템 정보보호 평가제도 ...40
• 4. 비교 및 시사점 ...42
• 제3장 국내외 정보보호 아키텍처 및 방법론 분석 ...44
• 제1절 IT 정보보호 아키텍처 ...45
• 1. 미 국방성의 정보보호 아키텍처 ...45
• 2. 미 에너지성의 정보보호 아키텍처 ...48
• 3. Arizona 주 정부의 정보보호 아키텍처 ...51
• 4. 시사점 ...55
• 제2절 정보시스템 개발과정에서 정보보호 구현 방법론 ...57
• 1. NIST의 SDLC 정보보호 프레임워크 ...57
• 2. MS의 정보보호 구현 방법론 ...63
• 3. IBM의 정보보호 구현 방법론 ...68
• 4. 국내 정보보호 구현 방법론 ...71
• 제4장 정보시스템 생명주기별 정보보호 반영을 위한 프레임워크 ...73
• 제1절 IT 정보보호 아키텍처 ...73
• 제2절 정보시스템 생명주기별 정보보호 모델 ...78
• 1. ISP 단계별 정보보호 모델 ...78
• 2. SDLC 단계별 정보보호 모델 ...87
• 제5장 정보시스템 생명주기별 정보보호 반영을 위한 점검 항목 ...100
• 제1절 ISP 단계별 정보보호 점검 항목 ...100
• 1. 계획 수립 및 준비 단계 ...100
• 2. 환경 분석 단계 ...101
• 3. 현황 분석 단계 ...103
• 4. 정보보호 전략 및 아키텍처 정의 단계 ...105
• 5. 실행계획 수립 단계 ...114
• 제2절 SDLC 단계별 정보보호 점검 항목 ...115
• 1. 프로젝트 시작 및 분석 단계 ...116
• 2. 설계 단계 ...118
• 3. 구축 단계 ...128
• 4. 테스트 및 이관 단계 ...129
• 제6장 정보보호 사전평가 방법 및 절차 ...131
• 제1절 정보보호 사전평가 결과에 대한 고려사항 ...131
• 1. 평가결과의 성격 ...131
• 2. 평가결과 분석 방법 ...132
• 3. 평가결과 표현 방식 ...133
• 제2절 정보보호 사전평가 방법 및 절차 ...134
• 1. 평가 시기 ...134
• 2. 평가 절차 및 평가팀 구성 ...134
• 3. 적합성 심사기준 ...135
• 제7장 정보보호 사전평가제도 도입 전략 ...137
• 제1절 정보보호 사전평가제도 도입을 위한 성공요인 ...137
• 1. 기존 유사 평가제도로부터의 교훈 ...137
• 2. 정보보호 사전평가제도 도입을 위한 핵심성공요인 및 전략 ...141
• 제2절 정보보호 사전평가제도 단계별 도입 전략 ...144
• 1. 시범사업기 ...144
• 2. 자율규제기 ...145
• 3. 의무적용기 ...147
• 참고 문헌 ...150
• 부록 1: ISP 단계별 정보보호 반영을 위한 점검 항목 ...153
• 부록 2: SDLC 단계별 정보보호 반영을 위한 점검 항목 ...160