• Review of KIISC
• /
• v.11 no.3
• /
• pp.16-23
• /
• 2001

위험관리는 정보기술 보안관리의 초석이라고 할 정도로 매우 중요하고 비용효과적인 보안대책을 구현, 운영하기 위해서는 반드시 실행되어야 하는 과정이다. 특히 최근의 보안관리체계 인증에 대한 수요가 점증되면서 위험관리의 중요성이 대두되고 있다. 본 고에서는 위험관리 과정에 대한 표준문서의 내용을 요약 정리하였고 새로운 위험관리 기법의 발전방향인 시나리오 기반의 위험관리에 대해 소개하며 기존의 대표적인 위험분석 자동화 도구에 대한 비교분석을 수행하였다.

• Information Systems Review
• /
• v.14 no.2
• /
• pp.21-46
• /
• 2012

Organizations that make widely use of information technologies can be more efficient. But, the dependence of information technologies leads to an increase in threat of security. This is the reason why organizations are investing in security risk management (SRM) which is designed to protect of information assets. Noting a lack of empirical research in SRM, we investigate the key factors having a direct effect on performance of SRM. Particularly, this study focused on identifying factors influencing awareness of SRM and Intention to develop SRM in Organization. Based on relevant literature review, six motivating factors, including Behavior for Security Management, Compliance with Security Policy, perceived Benefits, Perceived Sacrifice, Social Pressure, Experience of Security Risks, were initially identified. The results indicated that most perception factors were positively related to Organization's intention to develop SRM and awareness of SRM, which then had positive impact on performance of SRM. But Perceived Sacrifice was not significantly related to two variables which is Organization's intention to develop SRM and awareness of SRM.

• Proceedings of the Korea Society for Industrial Systems Conference
• /
• 2002.06a
• /
• pp.408-416
• /
• 2002

네트워크의 발달과 인터넷의 생활화로 컴퓨터 보안이 시대적인 중요문제로 부각하고 있다. 요즘 해킹으로 발생하는 재정적 손실은 특별하게 큰 사건이 아닌 경우에 언론에 보도되지 않을 정도로 만성적인 현상으로 인식되고 있으며 컴퓨터 범죄는 어느정도 사회현상의 하나로 여겨질 정도다. 그러나 컴퓨터 범죄를 퇴치하고 컴퓨터보안의 완벽성을 유지하고자 하는 기술적인 노력은 지속적으로 전개되고 있으나 컴퓨터 범죄는 오히려 늘어가고 있는 추세다. 이에따라 컴퓨터 범죄등 컴퓨터보안관리가 기술적인 수준에 머물지 않는 성격을 갖추고 있다는 인식이 최근들어 확산하고 있다고 할 수 있다. 이 논문은 이런 인식에서부터 출발해 새로운 개념으로 등장한 전사적 보안관리 (Enterprise Security Planning)와 컴퓨터 보안 위험 관리(Computer Security Risk Management)의 개념에 대한 이해를 중점적으로 제기했다. 또 컴퓨터 보안위험관리의 과정을 단계별로 검토해 컴퓨터 보안위험관리를 체계적으로 이해할수 있도록 제시했다. 마지막으로 본 논문은 전사적 보안관리와 컴퓨터 보안위험 관리차원에서 기업이 보안관리를 위해 갖춰야 할 새로운 흐름들, 예를 들어 보안관리자(Chief Security Officer) 제도와 보안보험 가입등 보안정책을 제시함으로써 컴퓨터범죄로부터 기업이 최대한의 안전성을 확보할 수 있는 경영전략의 틀을 제시했다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2008.06a
• /
• pp.69-77
• /
• 2008

정보보호를 효율적이고 효과적으로 실천하는 방법으로 정보자산을 기준으로 위험관리를 수행하는 GMITS(ISO 13335)과 정보보호 관리체계 수립을 위한 ISMS(ISO 27001), 정보보호 능력성숙도 모델을 제시하는 SSE-CMM 등의 국제 표준이 존재한다. 그러나 각 표준은 위험관리를 위한 절차를 제시하거나 관리체계 수립방안, 그리고 능력성숙 수준을 제시하는 등 관리, 기술, 운영의 종합적인 보안방안을 제시하지는 못하고 있다. 또한 현 보안문제를 최고 관리자 수준에서 판단할 수 있는 종합적인 방안을 제시하지 못하고 있다. 본 논문에서는 정보시스템 보안평가를 통해 보안 기술, 관리, 운영측면의 문제점을 종합하여 위험관리가 가능하도록 하는 방안을 제안하고, 또한 제안한 위험관리를 통해 도출된 문제점을 최고관리자 수준에서 직관적으로 판단 할 수 있는 방안을 제시하여 정보보호 예산과 연계할 수 있는 방법을 제안한다.

• Journal of the Korea Society of Computer and Information
• /
• v.24 no.11
• /
• pp.99-107
• /
• 2019

The "Risk management" and "Security monitoring" activities for cyber security are deeply correlated in that they prepare for future security threats and minimize security incidents. In addition, it is effective to apply a pattern model that visually demonstrates to an administrator the threat to that information asset in both the risk management and the security system areas. Validated pattern models have long-standing "control chart" models in the traditional quality control sector, but lack the use of information systems in cyber risk management and security systems. In this paper, a cyber Security Risk Monitoring (SRM) system that integrates risk management and a security system was designed. The SRM presents a strategy for applying 'security control' using the pattern of 'control charts'. The security measures were integrated with the existing set of standardized security measures, ISMS, NIST SP 800-53 and CC. Using this information, we analyzed the warning trends of the cyber crisis in Korea for four years from 2014 to 2018 and this enables us to establish more flexible security measures in the future.

• Journal of Digital Convergence
• /
• v.17 no.1
• /
• pp.141-148
• /
• 2019

The advancement of digital technology accelerates intelligence, convergence, and demands better change beyond traditional methods in all aspects of business models and technologies, infrastructure, processes, and platforms. Risk management is becoming more important because of various security risks, depending on the changing business environment and aligned to business goals is emerging from the existing information asset based risk management. For business aligned risk management, it is essential to understand the risk appetite for achieving business goals, which provides a basis for decision-making in subsequent risk management processes. In this paper, we propose a framework for analyzing the risk management framework, pre - existing risk analysis, and protection motivation theory that influences decisions on security risk management. To examine the practical feasibility of the developed risk appetite framework, we reviewed the applicability and significance of the proposed risk appetite framework through an advisory committee composed of security risk management specialists.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.544-547
• /
• 2002

최근 들어 인적 보안위험과 같이 단기간에 변화가 심한 위험이 증가하고 있어 이에 대한 관리가 요구되고 있다. 그러나, 기존 위험평가만으로는 이러한 보안위험에 대한 적절한 평가 및 관리가 어려우므로 이에 대한 보완이 필요하다. 이에 기존에 적용된 보안관리 도구에 의해 생성되는 온라인 데이터를 이용하여, 이러한 위험에 대한 평가를 지속적으로 실시할 수 있는 보안관리 체계를 제안한다. 이를 통해 조직내 보안위험 수준을 감내할 수 있는 수준으로 유지할 수 있도록 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1953-1956
• /
• 2003

현재 기관들은 정보통신기반시설에 대한 위험을 여러 가지 다른 방식으로 분석하고 있다. 또한, 각종 위험관리방법론, 지침 및 절차, 수준 측정 등에서 사용되는 기준들 사이에는 일관성이 없거나 서로 비교할 수가 없는 경우가 많다. 해당 기관의 보안 목표와는 상관없이 보안시스템이 설치 운영되고 있으며 그나마 없는 경우도 많다. 또한 당국에 보고하는 위험 분석 결과와 실제 기관 내에 위험 통제를 하기 위해 사용하는 위험 분석 결과도 서로 다른 경우가 흔하다. 기관 전체 차원에서의 일관성 있는 보안위험관리 방법의 부재로 말미암아 경제적으로 효율적인 위험 관리가 불가능하다고 할 수 있다. 본 논문에서는 이러한 문제점을 해결하기 위하여 정보통신기반시설에 대한 보안위험관리시스템을 제안하고 이에 대한 구현 방안을 제시한다.

• Journal of Information Technology and Architecture
• /
• v.10 no.4
• /
• pp.451-466
• /
• 2013

기업들은 정보기술 리스크(IT Risk)에 대하여 어떻게 대처하고 있을까? 금융기관이나 공공기관은 태생적으로 이미 위험관리를 적극적으로 수행하고 있다. 정보기술에 대한 위험관리도 지난 10년동안 전산망 마비, 해킹 사고, 디도스 공격, 고객정보 유출 등을 겪으면서 적극적으로 대응해 왔다. 특히 2011년 농협사태는 IT 성과보다는 IT 보안을 훨씬 중요하게 보는 계기가 되었다. IT 보안 인력과 예산이 대폭 강화되고 망분리 사업이 추진되는 것이 대표적인 사례이다. 하지만 그동안 IT 위험관리는 특정 기술에 대한 사전 대응 및 사후 대응 강화에 집중되었다. 현재 IT 위험관리는 단편적 관리에서 종합적 관리로 전환되고 있다. 최근에 많은 기업들이 전사 차원의 정보기술 리스크 거버넌스(IT Risk Governance) 체계를 구축하고 있거나 구축하는 계획을 갖고 있다. 하지만 아직도 IT보안은 전사적으로 통합되지 못하였으며, IT 위험관리 프로세스는 조직에 내재화 되지 못 하였고, IT 성과관리와 연계성은 고려하지 못하고 있다. 본 논문에서는 IT 관리와 기술을 효과적으로 연계하기 위하여, 그리고 IT 성과와 IT 위험을 균형되게 관리하기 위하여 엔터프라이즈아키텍처(EA: Enterprise Architecture) 활용을 제안하고자 한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1997.11a
• /
• pp.68-77
• /
• 1997

국내에서도 정보시스템 보안관리가 체계화되면서 보안컨설팅 분야가 중요한 분야로 대두되고 있다. 보안관리에서 핵심부문인 위험분석에 대한 연구는 진행되어 왔으나 국내환경에 적용하기 어려운 점이 많았다. 특히 정보시스템에 대한 분석기준과 정량화가 전무한 국내에서 외국산 위험분석 도구 등을 이용한 분석결과가 객관성을 갖기가 매우 어렵다. 따라서 위험분석 자동화 분석도구의 개발과 적용을 통하여 이러한 문제점을 고찰하고 국내 환경에서 위험분석을 실시할 수 있는 환경을 위하여 필요한 해결방안을 살펴보았다.