The Journal of Society for e-Business Studies (한국전자거래학회지)

Society for e-Business Studies (한국전자거래학회)
권호 표지
DOI QR코드

DOI QR Code

Developing the Assessment Method for Information Security Levels

정보보호 수준평가 방법 개선에 관한 연구

  • Received : 2011.04.07
  • Accepted : 2011.05.23
  • Published : 2011.05.31
Download PDF
⟨ Previous Next ⟩

Abstract

In order for agencies and companies at the IT service industry to check as well as to upgrade the current status of their information security programs, this paper suggests the assessment method for information security levels. The study developed 12 assessment fields and 54 assessment items derived from domestic and foreign cases including SP800-26, SP800-53, ISMS, and ISO27001. It categorized 54 assessment items into 5 levels for determining information security levels. Also, the study presents 7 strategies for performing their efficient evaluations. The proposed method and process in this paper can be useful guidelines for improving the national information security level.

본 논문은 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보 보호 수준평가방법을 제안하였다. 이를 위해 SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 관련 전문가 회의를 통해 12개 평가분야와 SP800-26의 221개 항목, SP800-53의 17개 항목, ISMS의 137개 항목, ISO27001의 127개 항목을 분석하여 54개 평가항목을 도출하였다. 또한, 54개 평가항목에 대한 수준을 5단계로 구분된 지표에 따라 각각 평가하고, 각 평가분야별로 등급 을 결정할 수 있도록 하였다. 아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준평가의 효과적인 7가지 수행방안을 제시하였다. 본 논문에서 제안한 정보보호 수준평가 방법은 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.

Keywords

References

  1. 한국인터넷진흥원, 정보보호 수준평가 방법론 안내서, 2010. 3.
  2. 김진영, 정보보호수준 평가 방법론 개발에 관한 연구, 석사학위논문, 2003.
  3. 한근식, "정보보호 수준평가에서의 표본설계방법에 따른 허용오차", 정보보호 심포지움, 2009. 6.
  4. 이강신, "정보보호관리체계 인증가이드", 한국정보보호진흥원, 2002.
  5. 정경호, 민경식, "국가 정보보호수준 평가 모델 개발", 한국정보보호진흥원, 2001.
  6. Ross, R., "Guide for Assessing the Security Controls in Federal Information Systems:Building Effective Security Assessment Plans," NIST, Special Publications 800-53A, 2008.
  7. Swanson, M., "Security Self-Assessment Guide for Information Technology System," NIST, SP800-26, 2001.
  8. ISO/IEC, Information Security Management System Part 2:Specification for Information Security Management System, 2005.
  9. Carnegie Mellon University, "SSE-CMM Model Decripton Document," SSE-CMM, 2003.
  10. Carley, M., Social Measurement and Social Indicators, George Allen and Unwin, Ltd., London, 1981.
  11. Carnegie Mellon University, "The SSE-CMM Appraisal Method (SSAM)-Capability Maturity Model," 1999.
  12. 강신원, "국가정보화지수 측정을 위한 가중치 연구:RCSS를 중심으로", 정보통신정책연구, 제6권, 제2호, pp. 47-64, 1999.
  13. 황종성, "국가정보화종합지수 모델개발 연구", 한국전산원, 2005.

Cited by

  1. Development of the Information Security Methodology for Defense Organization vol.12, pp.4, 2013, https://doi.org/10.9716/KITS.2013.12.4.077
  2. 물리적 부하 균형(Load-balancing) 기반의 침해방지를 위한 통신라인 다중화에 관한 연구 vol.22, pp.1, 2012, https://doi.org/10.13089/jkiisc.2012.22.1.81
  3. Human-Centric Security Capability Enhancement in ICT Convergence Environment vol.20, pp.2, 2011, https://doi.org/10.9728/dcs.2019.20.2.431
  4. 대·중소기업 동반성장과 상생을 위한 중소 협력업체의 보안인증 제도 도입 방안 vol.61, pp.None, 2011, https://doi.org/10.36623/kssr.2019.61.9