• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권9호
• /
• pp.301-310
• /
• 2014

정보의 가용성, 접근성, 안전성을 확보하기 위한 선제적인 정보보호 관리의 부재는 서비스 연속성을 훼손하여 고객에게 뿐만 아니라 조직의 성과와 경쟁력에 심각한 리스크를 가져다 줄 수 있다. 본 연구는 정보보호 성숙도가 조직성과에 미치는 영향을 분석하기 위하여 문헌 조사를 통해 조직성과, 위험 관리 프로세스 성숙도, 위험 평가 프로세스 성숙도, 정보보호 정책지표를 포함하는 연구모형을 만들고 설문을 통한 실증 분석을 하였다. 연구결과 위험 관리 및 위험 평가의 프로세스 성숙도와 조직성과 간에는 높은 인과 관계가 있는 것으로 나타났다. 하지만 정보보호 인력비율, 정보보호 예산비율에 따라 정보보호 성숙도가 조직성과에 미치는 영향은 차이가 없는 것으로 나타났다. 이는 정보보호 성숙도 수준은 조직성과에 영향을 미치나, 실효성이 검증되지 않은 정보보호 정책 및 규제는 정보보호 성숙도가 조직의 성과 향상의 촉매제로 활용하는데 한계가 있음을 시사하고 있다.

• 정보보호학회논문지
• /
• 제18권3호
• /
• pp.131-142
• /
• 2008

조직은 정보의 획득과 관리를 통하여 조직의 전략을 관철한다. 특히 기술과 같은 기업의 사활을 결정짓는 중요한 정보의 유출은 조직의 생존에도 영향을 미친다. 따라서 조직의 효과적인 정보보호관리를 위해서 정보보호관리체계 및 정보보호정책의 수립이 필요하다. 본 연구는 조직의 정보보호에 근간이 되는 정보보호정책의 성숙도에 영향을 미치는 요인을 문헌 연구를 통해서 분석하고, 정보보호정책의 성숙도에 영향을 미치는 요인을 검증한다. 본 연구는 정보보호정책의 수립과 정보보호수준 제고를 위한 연구의 이론적 토대를 제공한다. 본 연구의 결과는 국가 및 민간기관이 효과적으로 정보보호 정책의 수립을 위한 방향성을 제시하고 있다.

• 정보보호학회지
• /
• 제23권4호
• /
• pp.22-28
• /
• 2013

정보보호의 중요성으로 공공기관이나 일반 기업은 정보보호관리체계를 수립, 운영하고 있거나 정보보호 활동을 하고 있다. 하지만 정보보호관리체계나 정보보호 활동에 대한 성과측정이 불명확한 기준을 가지고 있거나 명확한 기준이 없는 것이 현실적인 문제점이다. 이러한 문제점으로 적절한 성과측정이 이루어지지 않기 때문에 현재의 정보보호 수준을 올바르게 측정할 수 없을 뿐만 아니라 그에 따른 성과개선을 하기에도 어려운 실정이다. COBIT 프레임워크의 정보보호 성숙도 모델을 활용하여 정보보호 거버넌스 관점과 연계함으로써 정보보호 성과에 대한 측정지표를 구체적으로 제시하고자 한다. 구체적인 정보보호 성과에 대한 측정지표를 활용함으로써 현재의 정보보호 수준을 파악하고 나아가서 정보보호 수준을 개선하고자 하는데 이 연구의 의미를 두고 있다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1585-1594
• /
• 2018

데이터 주도 시대가 형성되면서 경제적 활용가치가 높은 정보의 수집과 분석, 생산과 유통에 관한 안전성 확보를 위한 정보보호 관리의 중요성이 날로 높아지고 있다. 이러한 환경에서 기업은 정보보호 관리체계(ISMS) 인증을 통해 정보보안에 대한 신뢰를 보장받고 있으나 관리체계를 구성하는 세부영역에 대한 수준 평가와 활용은 제한적이다. 이에 반해 보안 성숙도 모델은 기업의 정보보호 수준을 단계적으로 진단할 수 있고 시급히 개선해야 할 영역을 판단할 수 있음은 물론 기업의 특성과 수준에 맞는 목표 설정을 지원하는 도구가 된다. 본 논문에서는 성숙도 모델을 바탕으로 정보보호 분야에 특화되어 개발, 활용되고 있는 보안 성숙도 모델의 사례인 C2M2를 국내 ISMS인증과 비교, 분석하여 정보보호 관리 수준을 점검하기 위한 모형을 벤치마크 하고 ISMS인증의 정보보호대책 세부영역을 구성하는 점검항목 간 우선순위를 도출하여 단계적으로 정보보호 관리수준을 점검하고 구축을 지원할 수 있는 방법을 살펴본다.

• 디지털콘텐츠학회 논문지
• /
• 제15권1호
• /
• pp.121-128
• /
• 2014

SSE-CMM은 보안엔지니어링을 공학, 보증, 위험 프로세스의 3가지 요소로 나누고 있으며 정보보호 성숙도 평가 모델과 수준을 제시하고 있다. 정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다. 안전성과 편리성을 확보하여 이용자들이 사이버 거래를 편리하게 이용할 수 있는 환경을 구축하는 것이 사이버 거래 활성화의 핵심이다. 특히 업무현장에서 정보보호 성숙도 측정을 통한 사이버뱅킹시스템의 안전성을 확보한다면 현장의 실무처리 결과로 많은 효과가 나타날 것으로 기대한다.

• 정보보호학회지
• /
• 제14권4호
• /
• pp.37-44
• /
• 2004

조직의 정보보호 목표를 효율적이고 효과적으로 달성하기 위해서는 조직의 정보보호 수준을 정확히 평가하고 이를 개선시킬 방향을 제시하는 기준이나 평가모델이 필요하다. 또한 이를 위해 부문별 정보보호 수준을 평가하고 개선할 수 있는 평가 지표나 기준이 필요하고 우리나라에서 적용 가능한 정보보호 시스템들의 평가방법론이 연구되어야한다. 따라서 본 연구에서는 정보보호와 관련된 기술적 요소와 관리적 요소, 물리적 요소를 기본으로 하는 정보보호 지표체계를 구성하고 정보보호수준을 종합적이고 체계적으로 평가하기 위한 정보보호 성숙 5단계 모형을 통해 서로 매핑 될 수 있는 정보보호수준 통합평가시스템을 개발하였다. 이러한 통합평가시스템은 기존연구와의 비교 및 사례적용을 통해 그 실효성을 검증하였다.

• 정보보호학회지
• /
• 제23권4호
• /
• pp.34-40
• /
• 2013

의료부분 정보보호의 중요성이 높아감에 따라 의료정보보호 관리와 관련된 체계적인 방안이 필요하게 되었다. 이러한 체계적인 방안을 일반기업의 정보보호 관리체계(ISMS)와 역량성숙도모델통합(CMMI)을 통해 의료정보보호관리 기준, 의료정보보호관리 프로세스, 의료정보보호관리 프로세스 성숙수준으로 구성된 의료정보보호 관리체계를 제시하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2023년도 추계학술발표대회
• /
• pp.165-167
• /
• 2023

정부에서는 내·외부 사이버 보안 위협 고도화에 대한 실질적이고 효과적인 대응을 위해 정보보호관리체계(Information Security Management; 이하 ISMS) 인증에 대한 법령을 시행하고 있다. ISMS 인증은 컨설팅과 인증심사를 분리하여 독립성을 확보하였으며, 현장심사 비중을 높여 기존 문서심사에 치중되었던 인증·평가제도와의 차별화를 통해 실효성을 증진시켰다. 그러나 최근 ISMS 인증을 받은 대상자임에도 불구하고 개인정보 정보유출 사고, 대규모 서비스 장애가 유발됨으로써, 다시금 ISMS 인증의 실효성 문제가 제기되고 있다. 현재 제기되고 있는 문제의 요인은 인증기준에 적합한 최소한의 요구사항만 심사·심의하는 ISMS 인증의 한계점에 기인한다. 본 논문에서는 이와 같은 ISMS 인증의 실효적 한계점을 개선하고 인증취득 대상자의 실질적 보안역량 강화시키기 위하여 성숙도 평가모델에 기반한 ISMS 인증제도 운영 방안을 제언한다.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.25-31
• /
• 2012

정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다. 본 연구과제에서는 이들 기존연구를 근간으로 기술적 관점에서 정보보호수준 성숙단계를 정의하고자 한다. 연구방법은 정보보호취약점 진단, 기술보안체계 검증, 기술보안 이행실태 진단으로 구성한다. 제안하는 방법론은 업무현장에서의 범위와 수준에서 정보시스템의 현재 상태, 취약점 실태, 정보보호 기능 이행과 기능만족도 수준을 평가한다. 제안된 방법에 의한 평가결과는 정보보호 개선대책 권고모델 수립 근거로 활용하여 정보보호 개선의 활용을 목표로 하고 있다.

• 정보보호학회지
• /
• 제26권1호
• /
• pp.48-53
• /
• 2016

최근 들어 보안사고의 대응 방식이 네트워크 보안이나 운영체제 보안과 같은 전통적인 방법에서 벋어나 개발생명주기보안이나 SW 공급망 보안으로 확대되고 있다. 이러한 흐름에서 주목받는 것이 BSIMM과 같은 소프트웨어 보안성숙도 모델이다. 보안성숙도 모델은 소프트웨어 시스템의 보안성 향상을 위해 관리자와 개발자가 중점을 두어야 할 부분을 스스로 평가할 수 있도록 하는 프레임워크이다. 본 고에서는 BSIMM을 통해 보안성숙도 모형이 갖는 특징을 소개하며, 이의 활용에 대해 살펴본다.