• 제목/요약/키워드: security management process

검색결과 809건 처리시간 0.022초

A Continuous Evaluation Processes for Information Security Management

  • Choi, Myeonggil
    • Journal of Information Technology Applications and Management
    • /
    • 제23권3호
    • /
    • pp.61-69
    • /
    • 2016
  • Growing information threats have threatened organization to lose information security controls in these days. Many organizations have accepted the various information security management systems does mention necessity of a continuous evaluation process for the executions of information security management in a theoretical aspect. This study suggests a continuous evaluation process for information security management reflecting the real execution of managers and employees in organizations.

A Role-driven Security and Access Control Model for Secured Business Process Management Systems

  • Won Jae-Kang;Kim Kwang-Hoon
    • 한국정보시스템학회지:정보시스템연구
    • /
    • 제14권3호
    • /
    • pp.1-8
    • /
    • 2005
  • This paper formally defines a role-driven security and access control model of a business process in order eventually to provide a theoretical basis for realizing the secured business process management systems. That is, we propose a graphical representation and formal description of the mechanism that generates a set of role-driven security and access control models from a business process modeled by the information control net(ICN) modeling methodology that is a typical business process modeling approach for defining and specifying business processes. Based upon the mechanism, we are able to design and accomplish a secured business process management system that provides an unified resource access control mechanism of the business process management engine domain's and the application domain's. Finally, we strongly believe that the secured access control policies from the role-driven security and access control model can be easily transformed into the RBAC(Role-based Access Control) model that is a standardized security technology for computer and communications systems of commercial and civilian government organizations.

  • PDF

Structural Dashboard Design for Monitoring Job Performance of Internet Web Security Diagnosis Team: An Empirical Study of an IT Security Service Provider

  • Lee, Jung-Gyu;Jeong, Seung-Ryul
    • 인터넷정보학회논문지
    • /
    • 제18권5호
    • /
    • pp.113-121
    • /
    • 2017
  • Company A's core competency is IT internet security services. The Web diagnosis team analyzes the vulnerability of customer's internet web servers and provides remedy reports. Traditionally, Company A management has utilized a simple table format report for resource planning. But these reports do not notify the timing of human resource commitment. So, upper management asked its team leader to organize a task team and design a visual dashboard for decision making with the help of outside professional. The Task team selected the web security diagnosis practice process as a pilot and designed a dashboard for performance evaluation. A structural design process was implemented during the heuristic working process. Some KPI (key performance indicators) for checking the productivity of internet web security vulnerability reporting are recommended with the calculation logics. This paper will contribute for security service management to plan and address KPI design policy, target process selection, and KPI calculation logics with actual sample data.

위험관리 개념에 근거한 항공보안업무 합리화 방안 연구 (A Study on Airport Security Performance Improvement based on Risk Management Concept)

  • 황경철;유광의
    • 한국항공운항학회지
    • /
    • 제20권2호
    • /
    • pp.47-57
    • /
    • 2012
  • The strengthened aviation security measurements caused by increased terror threat all around the world have air passengers annoyed by uneasy treatment and some delayed process. The service level of air travel and competitiveness of airlines industry has been weakened also. The aviation security process is mainly conducted at an airport. The threat level of airport is not usually same airport to airport, and the quality of aviation security activity is neither same. However, ICAO requires every international airport to conduct similar process to ensure aviation security without considering situational difference of each airport. The paper has objectives to develop reasonable security measurements based on risk management concept. It studied the ways of achieving target level of security of an airport, considering the threat situation of the airport and its ability to conduct security procedures.

융합보안 서비스 사이언스를 위한 기상정보 활용모델 연구 (A Study about Practical Model of Meteorological Information for Convergence Security Service Science)

  • 최경호;이동휘;김민수;김종민;김귀남
    • 융합보안논문지
    • /
    • 제13권3호
    • /
    • pp.79-84
    • /
    • 2013
  • 본 연구에서는 보안서비스 제공과정을 비즈니스 프로세스로 살펴보고, 여기서 나타나는 문제점을 해결하기 위한 융합보안기술의 적용 및 이의 프로세스화를 통한 개선된 서비스 혁신모델을 제시해 보고자 한다. 이를 위해 대표적으로 시설관리, 무인경비 등을 제공하는 물리보안 분야를 살펴보고, 여기서 나타나는 한계점을 해결하기 위해 적용 가능한 융합보안기술로 기상정보를 활용하는 방법을 서비스 사이언스 관점에서 제안한다. 본 연구의 기여도는 첫째, 서비스 혁신 관리를 통해 융합보안기술을 기반으로 위험관리 방법을 개선했다는 것이며, 둘째, 서비스의 효과를 계량화하여 위험관리 활동을 정량적 수치로 평가할 수 있다는 것이며, 마지막으로, 기상정보를 활용한 물리보안 서비스 제공 방법론을 체계적으로 프레임워크화 했다는 것이다.

교육망의 통합보안관리를 위한 보안 에이전트 개발 (Development Security agents for Integrated security management of the Educational Network)

  • 이도현;김현철;김점구
    • 융합보안논문지
    • /
    • 제15권2호
    • /
    • pp.43-55
    • /
    • 2015
  • 교육망의 보안 인프라는 통합관리시스템을 기준으로 다양한 정보보호시스템의 보안 이벤트를 수집하고 분석을 통하여 위협을 관리하고 대응한다. 이러한 체계는 관리자에게 유용하고 자세한 정보를 제공하지만, 다양한 위협 상황과 동시 다발적인 위협에 대해서 효과적인 대응 프로세스와 관리체계를 제공하지 못하고 있는 문제점을 많이 가진 교육망에 대한 해결방안으로 관리자에게 다양하고 세부적인 정보 제공보다는 관리자가 초기 위협에 신속하게 대응할 수 있도록 관리기술과 다양한 보안 이벤트들의 처리 스케줄링을 통해서 통합보안관리가 가능하도록 보안 에이전트를 제안 개발하였다.

시스템 접근관리에 대한 의사결정 프로세스 연구 (A Study on Decision Making Process of System Access Management)

  • 조영석;임종인;이경호
    • 정보보호학회논문지
    • /
    • 제25권1호
    • /
    • pp.225-235
    • /
    • 2015
  • 최근 정보보호인증 및 보안감사의 감독과 절차가 강화되고 있지만 내부자에 의한 정보유출 및 보안사고는 지속적으로 늘어나고 있다. 2011 Cyber Security Watch Survey에 의하면 2010년 한 해 동안 발생한 보안사고 중 21%가 내부자에 의해 발생한 것으로 조사되었다. 기업들은 대외서비스와 달리 내부시스템 보안사고의 경우 즉각적으로 인지하지 못하거나 발생 시 비용증가, 신용도하락 등의 이유로 외부에 공시하지 않고 일시적 미봉책으로 해결하는 경우가 많았다. 본 논문은 시스템 접근관리에 대한 문제점을 실증적으로 연구하였으며, 타 시스템 또는 사업장에서 활용이 가능한 표준 프로세스를 제시하였다. 이를 통해 기업들이 쉽고 체계적으로 시스템 접근관리에 대한 문제점을 조사하고 분석하며 개선하는데 도움을 줄 것이다.

시스템경비 관제시설의 구축과 보안 및 경영대책 (Electronic Security Control Center Building Process and Security and Management Measures)

  • 하경수;조철규;김평수
    • 한국컴퓨터정보학회논문지
    • /
    • 제20권5호
    • /
    • pp.113-121
    • /
    • 2015
  • 이 연구는 국내 시스템경비업체의 보안관리 개선을 위한 경영대책의 일환으로 관제시설에 대한 구축 프로세스와 보안관리 방안을 제안한다. 관제시설은 시스템경비의 중추신경으로 현장의 대응체제가 아무리 잘 구축되어 있더라도 관제시설이 장애나 재해로 작동이 중단되거나 관제기계경비원이 위해를 입게 되면 본래의 기능을 수행할 수 없기 때문이다. 관제시설의 구축 프로세스는 공간구조, 기반시설, 관제장치, 관제 솔루션, 운영조직으로 구분하고, 보안관리 방안으로는 물리보안, 정보보안, 인적보안에 대한 대책을 제시한다.

Business Process Reengineering of an Information Exchange Management System for a Nationwide Cyber Threat Intelligence

  • Pramadi, Yogha Restu;Rosmansyah, Yousep;Kim, Myonghee;Park, Man-Gon
    • 한국멀티미디어학회논문지
    • /
    • 제20권2호
    • /
    • pp.279-288
    • /
    • 2017
  • Nowadays, nations cyber security capabilities play an important role in a nation's defense. Security-critical infrastructures such as national defenses, public services, and financial services are now exposed to Advanced Persistent Threats (APT) and their resistance to such attacks effects the nations stability. Currently Cyber Threat Intelligence (CTI) is widely used by organizations to mitigate and deter APT for its ability to proactively protect their assets by using evidence-based knowledge. The evidence-based knowledge information can be exchanged among organizations and used by the receiving party to strengthen their cyber security management. This paper will discuss on the business process reengineering of the CTI information exchange management for a nationwide scaled control and governance by the government to better protect their national information security assets.

사례 위주로 본 공급자망을 중심으로 한 IT제품 보안 위험 (Case studies : Security issues of IT products in terms of supply chain)

  • 최웅철
    • 디지털산업정보학회논문지
    • /
    • 제12권4호
    • /
    • pp.89-96
    • /
    • 2016
  • Before an IT product is used, there is a sequence of the process such as the components supply-demand of the product, their assembly and production, their logistics and delivery, and then finally, the product can be used by a user. During this sequence of the process, there can be many security exposures and risks. In this paper, we show, by examining security cases of various IT products, that there are many security exposures in the process of IT products from their production to their delivery to end users and in their use, and also show how critical the security exposures are. Even though there are various security theories, technologies and security controls, there is still weak link from the production of an IT product to its use, and this weak link can lead to security vulnerabilities and risks. This paper tries to call attention to the importance of the execution of the security control and the control components. We examine the practical cases to find out how the security control is paralyzed, and to show how it is compromised by asymmetric security resources. Lastly, from the cases, we examine and review the possible domestic security issues and their countermeasures.