• 경영정보학연구
• /
• 제25권4호
• /
• pp.205-231
• /
• 2023

정보보호 관리체계(Information Security Management System, ISMS)는 정보 자산의 기밀을 유지하고 결함이 없게 하며 언제든 사용할 수 있게 하는 보호 절차와 과정이고, 국내의 ISMS-P와 국외의 ISO/IEC 27001이 가장 대표적인 ISMS 인증제도이다. 본 논문에서는 ISMS 인증과 조직의 특성과의 관계를 파악하기 위해서 한국인터넷진흥원(KISA), 과학기술정보통신부 전자공시시스템(ISDS), 금융감독원 전자공시시스템(DART)로부터 데이터를 수집하고, Probit 회귀 분석을 실시하였다. Probit 분석 시 ISMS-P 취득여부, ISO/IEC 27001 취득여부, ISMS-P와 ISO/IEC 27001 모두 취득여부의 세 가지 경우에 대해 독립변수 4개와의 관련성을 확인하였다. 분석 결과, ISMS-P, ISO/IEC 27001 모두 취득한 기업은 총 임직원 수와는 양의 상관관계, 업력과는 음의 상관관계가 있음을 알 수 있었다. 이외에도 ISMS-P 인증제도와 정보보호 공시제도의 개선방향에 대해서도 확인할 수 있었다.

• 한국IT서비스학회지
• /
• 제18권2호
• /
• pp.55-73
• /
• 2019

The importance of the personal information has been increased, there have been a lot of efforts to establish a new policy, certification or law for administrating personal information more effectively and safely. Korean government has operated ISMS and PIMS certification system to assess whether an organization has established and managed appropriate information security system or not. However, it has been addressed the needs for revising and modifying of PIMS and ISMS. It is evaluated there are a few overlapped criteria to assess information management system in both ISMS and PIMS. ISMS-P certification, combining with ISMS and PIMS, is, finally, suggested, in the recent. GDPR is established having an aim of primarily to give control to individuals over their personal data and to simplify the regulatory environment for international business by unifying the regulation within the EU. This study compares GDPR and ISMS-P, focusing on "personal information". It can be expected to contribute as followings. This study can be a criterion for self-evaluation of possibility to violate of GDPR of a firm in preparation for ISMS-P. Second, this study also aims to increase the understanding of the role of ISMS-P and GDPR, among various certifications with the purpose of assessment of the information security management system, by reducing the costs required to obtain the unnecessary certification and alleviating the burden. Third, it contributes to diffusion of ISMS-P newly implemented in Korea.

• 한국산학기술학회논문지
• /
• 제21권1호
• /
• pp.634-640
• /
• 2020

정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)는 인증제도의 준비를 위해 소요되는 시간과 비용을 줄여달라는 요구에 따라 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도로 통합되었다. 인증제도 통합으로 제도 운영자는 ISMS-P 인증제도 관리의 용이성을, 인증 대상기관은 인증취득 및 유지의 간편함이라는 장점을 얻을 수 있게 되었으나, 모든 유형의 인증 대상기관에 동일한 인증기준을 적용하면서 생기는 인증 대상기관별 인증기준 적용기준의 모호성과 인증 대상기관에게 과도한 관리체계 운영을 요구하는 인증기준 통제항목의 모호성, 인증 대상기관에 적용해야 할 법적 근거가 모호한 문제점이 발생하였다. 이러한 문제점을 개선하기 위하여 본 논문에서는 사례연구를 통해 인증기준을 적용하는 인증 대상기관의 유형 구분, 인증 대상기관의 유형에 따라 인증심사 시 적용하는 통제항목의 변경, ISMS 인증만 취득하려는 기관에 대해서는 ISMS-P에서 적용하는 통제항목을 제외하는 세 가지 해결방안을 제시하였다. 본 논문은 효율적인 인증제도의 운영을 위한 방안을 제시하고 향후 ISMS-P의 인증제도에서 발생하는 문제점을 개선할 수 있는 근거로 활용될 수 있을 것이다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.578-579
• /
• 2021

중소기업 실태조사에 따르면, 기술보호역량 수준은 매년 나아지고 있으나, 기술유출 및 피해는 지속적으로 발생하고 있다. 이는 중소기업 임직원의 보안의식 강화와 보안수준을 지속적으로 유지할 수 있는 보안관리 및 감독체계가 필요함을 보여준다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도가 이와 관련된 최신 기준인데, 이 제도는 ISP, IDC, 병원 및 학교, 중소기업 등 인증 대상 기관의 유형을 고려하지 않고 동일한 인증 기준을 적용하는 문제점이 있다. 본 논문에서는 ISMS-P 인증과 개인정보보호 관리체계(PIMS) 인증을 참고하여 중소기업에 특화되어 적용할 수 있는 73개 평가 항목을 도출하였다. 연구 결과는 기존의 ISMS-P 인증에 비해 평가 항목 수가 28.4% 줄었음을 보여준다.

• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.375-381
• /
• 2015

최근 들어 세계적으로 정보자산 유출 문제가 사회적으로 큰 이슈가 되고 있다. 국가정보원에 따르면 2003년부터 2013년까지 375건의 데이터 유출 사건을 적발하였으며, 특히 2013년 한 해에만 49건이 발생하는 등 시간이 갈수록 증가추세에 있다. 이는 일반 기업에서도 정보보호 관리체계를 정립하고, 운용하고, 인증 받을 필요성이 있음을 뜻한다. 따라서 본 연구에서는 ISMS 인증에 미치는 영향을 탐색적 요인 분석과 회귀분석을 통해 분석하고자 한다. 탐색적 요인 분석의 결과로는 13가지 요소에서 '실무 능력 강화 및 경제적 효과 요인'과 '보안 수준 향상 및 보안사고 처리 요인'을 도출하였다. 다음으로 이 요인들이 ISMS 인증 의도에 미치는 영향을 회귀분석을 이용하여 분석하였다. 회귀 분석 결과, 실무 능력 강화 및 경제적 효과 요인은 ISMS 인증 의도에 영향을 미치지 않는 것으로 나타났으며(p<.05), 보안수준 향상 및 보안사고 처리 요인은 ISMS 인증 의도에 정(+)의 영향을 미치는 것으로 나타났다(p<.05).

• 한국정보통신학회논문지
• /
• 제26권4호
• /
• pp.582-590
• /
• 2022

사이버공격으로 인한 보안위협이 지속되고 있어 보안관제는 신속한 탐지와 대응을 위해 전문성을 가진 용역사업 형태로 주로 운용된다. 이에 따라 보안관제 용역 운영에 대한 다수의 연구가 진행되었다. 그러나 결과적인 관리, 지표, 측정 등의 연구로 업무과정에 대해 세부적으로 연구되지 않아 현장에서 업무 혼선이 빚어져 보안사고 대응이 원활하지 않다. 본 논문에서는 이런 문제점을 ISMS-P 기반의 용역관리 방법을 제시하고 그 방법을 업무 연관성 분석을 통해 시나리오기법과 ISMS-P 보호대책 요구사항 64개 항목의 맵핑(Mapping)으로 도출된 각 항목을 체크리스트화 하여 사용업체의 용이한 외주용역 관리 방법을 제안한다. 또한 주기적 보안준수 이행과 중장기적으로는 ISMS-P의 취득 및 갱신에 도움이 되고 관련 인원들의 보안의식 제고에도 기여할 것으로 기대한다.

• 한국정보통신학회논문지
• /
• 제25권9호
• /
• pp.1166-1175
• /
• 2021

국내 스마트시티와 긴급차량 우선신호 제어시스템의 현재 상황과 발전동향을 알아보고, 긴급차량 우선신호 제어시스템의 기존 효과분석과 신호제어시스템의 보안을 위한 국내외 선행 연구 내용을 바탕으로, 긴급차량 우선신호 제어시스템을 구축하고 긴급차량에 실제 적용 및 시험운행을 통해 시간단축의 효과성을 분석하였다. 더불어 실시간 신호시스템 제어의 보안관리 및 안정적인 서비스를 위해 기존 ISMS-P 인증제도와 한국인터넷진흥원 사이버보안 가이드의 보안요구사항과 보안위협 항목에 따른 보안대책의 연관성에 따라 비교하여 맵핑함으로서, 인명구조나 화재 등 긴급상황 발생 시 시민의 소중한 생명과 재산을 지킬 수 있는 골든타임 확보 가능성을 높일 수 있도록 ISMS-P 인증제도의 기술적 통제항목 개선을 제안한다.

• Journal of Information Technology Applications and Management
• /
• 제26권4호
• /
• pp.19-30
• /
• 2019

Many organizations need to comply with ISMS-P for information systems and personal information management for ISMS-P certification. Organizations should safeguard vulnerablities to information systems. However, as the kinds of information systems are diversified and the number of information systems increases, management of such vulnerabilities manually accompanies with many difficulties. SCAP is a protocol to manage the vulnerabilities of information system automatically with security standards. In this paper, for the introduction of SCAP in domestic domains we verify the applicability of server-oriented system which is one of ISMS-P certification targets. For SCAP applicability, For obtaining this goal, we analyze the structures and functions of SCAP. Then we propose schemes to check vulnerabilities of the server-oriented system. Finally, we implement the proposed schemes with SCAP to show the applicability of SCAP for verifying vulnerabilities of the server-oriented system.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2023년도 춘계학술발표대회
• /
• pp.180-182
• /
• 2023

많은 기업에서 시스템 보안 침해사고가 증가함에 따라 국내에서는 보안성 강화를 위해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 의무대상을 확대하고 있다. 이에 중소기업에서도 ISMS-P 인증을 받기 위한 준비가 필요해졌다. 그러나 ISMS-P 인증을 위한 시스템을 구축하기 위해 많은 비용과 인력이 필요하고 이를 중소기업에서 구축하기엔 현실적으로 어려운 부분이 있다. SCAP는 정보시스템의 취약점을 보안기준에 맞춰 자동 관리하는 프로토콜이다. 본 논문에서는 ISMS-P 인증 항목 중 시스템 자동관리가 가능한 부분을 도출하여 상용 소프트웨어와 동작 방식을 비교함으로써, 중소기업에 SCAP를 적용하여 시스템을 구축하는 것이 정보보호 강화에 도움이 될 수 있음을 검증하고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제23권3호
• /
• pp.19-26
• /
• 2023

전 세계적으로 에너지, 금융 서비스, 보건, 통신, 교통 분야의 클라우드 전환에 따라 지속적으로 클라우드제공업체에 대한 주요기반시설 지정 움직임이 확산되고 있다. 또한, 우크라이나 사태에서는 국가 주요시설의 클라우드 사용 규제 철폐와 신속한 주요 데이터에 대한 클라우드 전환으로 인해 러시아의 기반시설을 겨냥한 사이버 공격에 효율적으로 대처할 수 있었다. 한국에서는 체계적, 종합적인 정보보호 관리체계를 구현하고, 조직의 정보보호 및 개인정보보호 관리 수준 향상을 위해 ISMS-P가 기업의 정보보호 및 개인정보보호 수준 제고를 위해 운영되고 있다. 클라우드 환경을 고려한 통제항목이 수정, 추가 되어 기업의 심사에 운영되고 있다. 그러나, 클라우드의 국내외 기술적 수준이 상이하고 하이퍼스케일 규모에 대한 국내 인증심사원들의 교육을 위해서는 Microsoft같은 클라우드 공급업체의 결함사항에 대한 정보를 구하기 쉽지 않았다. 이에, 본 논문에서는 하이퍼스케일 클라우드상 에서의 결함사항을 분석하고, 하이퍼스케일환경과 ISO/IEC 27001 및 SOC 보안 국제 표준과의 정합성을 고려하여 보다 클라우드에 특화된 통제항목 개선방안을 제시하였다.