Advanced Information Security Management Evaluation System

( Heasuk Jo ),( Seungjoo Kim ),( Dongho Won ) 한국인터넷정보학회 2011 KSII Transactions on Internet and Information Syst Vol.5 No.6

Information security management systems (ISMSs) are used to manage information about their customers and themselves by governments or business organizations following advances in e-commerce, open networks, mobile networks, and Internet banking. This paper explains the existing ISMSs and presents a comparative analysis. The discussion deals with different types of ISMSs. We addressed issues within the existing ISMSs via analysis. Based on these analyses, then we proposes the development of an information security management evaluation system (ISMES). The method can be applied by a self-evaluation of the organization and an evaluation of the organization by the evaluation committee. The contribution of this study enables an organization to refer to and improve its information security levels. The case study can also provide a business organization with an easy method to build ISMS and the reduce cost of information security evaluation.

정보보안아키텍처 구축에 관한 연구

양재영(Yang Jae Young) 한국전자상거래학회 2008 전자상거래학회지 Vol.9 No.1

  지금 우리는 인터넷을 통해 각종 상품의 정보를 파악하고 정보획득과 동시에 구매도 가능하며 TV, 라디오, 신문에서 제공해 주던 정치, 경제, 스포츠 등 사회전반적인 소식들도 인터넷을 통해 실시간으로 제공받을 수 있게 되었다. 이러한 환경은 우리의 생활을 예전에 비해 훨씬 풍요롭게 해주고 있다. 그러나 정보가 풍부해진 것이 반드시 빛의 효과만이 있는 것은 아니다. 근거가 불분명하고 잘못된 정보들로 인해 합리적인 의사결정에 저해 받기도 하며 많은 정보들 속에서 정작 우리가 필요한 정보들을 노칠 우려가 있다. 특히 허락되지 않은 접근, 수정, 노출, 훼손, 파괴 등과 같은 해커들의 침입으로 정보가 유출되고 파괴되는 일이 발생되면서 사회에 악영향을 미치고 있다. 따라서 본 논문에서는 정보보안이란 무엇이며 정보를 보호하기 위한 관리적 측면에서의 정보아키텍처 구축에 대해 알아보고자 한다.   Information security technologies are an increasingly critical element of information technology for the protection of information. As information security technologies become more widespread, an important issue is how securely they are designed and implemented.<BR>  The convenience of information systems often takes precedence over information security, and insecure information systems have caused many problems. There is now a greater interest in information security because of the law, and the development of more secure information systems as infrastructure is desired. In line with these trends, this paper is working on the information security management needs as part of their general compliance and risk management activities. It is important for such corporations to take proactive action by continuously maintaining their information security management activities on the corporate level utilizing the information security management system (ISMS) and other related standards and schemes.<BR>  Security attacks such as unauthorized access of personal information occur daily. It is vital for every company and organization to address such security issues due to their devastating impact on the company or organization concerned. How should individual companies and organizations deal with these types of issues? How can they be handled proactively? This paper provides information security solutions based on the concept of building a basic architecture for system security.

K-ISMS 기반의 제어시스템 정보보호 관리체계 평가 기준

이태영,박동규 한국정보기술학회 2014 한국정보기술학회논문지 Vol. No.

제어시스템들도 네트워킹 기술의 진화와 더불어 병행하게 진화되었으며, 제어시스템의 이런 변화는 그들을 새로운 형태의 위협에 노출시키게 되었다. 그래서 제어시스템 기관들도 제어시스템을 위한 정보보호 관리체계의 구현, 관리 및 운영을 위한 지침이 필요하게 되었다. 국내에서도 제어시스템에 적용할 수 있는 정보보호 관리체계 기준 마련의 필요성이 제기되고 있으나 구체적인 방법은 제시되지 않고 있다. 본 논문은 표준으로 개발 중인 산업 제어시스템을 위한 보호 관리체계의 분석을 통해 이미 시행 중인 정보보호 관리체계 기반의 한국형 제어시스템을 위한 정보보호 관리체계 평가 기준을 제안한다. 제안된 평가기준은 기존의 정보보호 관리체계 인증을 받은 제어시스템 관련 사업자가 중복되고 불필요한 인증 평가 작업을 최소화할 수 있도록 한다. As the evolution of control systems parallels according to the evolution of networking technologies, these changes to control systems can expose them to new types of threats. Therefore control system organizations need to have documents describing the implementation, management and operation of control system security management system. Although the need for information security management system applicable to control systems is considered in Korea, there are no specific methods. This paper is to propose evaluation criteria for korean control system based on K-ISMS being used as a standard for IT systems through analysis of the security management system for industrial automation and control system being developed as a standard. The proposed evaluation criteria enables the companies, certified by existing K-ISMS, related control system to minimize redundant and unnecessary certification assessment work.

보안관리수준 평가 체계에 대한 분석 및 개선안 연구

민병길,이도훈 한국융합보안학회 2006 융합보안 논문지 Vol.6 No.4

정보통신시스템에 대한 기술적 보안만으로는 안전한 정보통신시스템 운영을 보장할 수 없다. 따라서, 안전한 정보통신시스템 운영을 위한 정보보안관리시스템(ISMS)에 대한 연구와 표준화가 활발히 전개되고 있다. 우리나라는 2005년 “국가사이버안전관리규정”을 제정하고, “국가사이버안전매뉴얼”의 “보안관리 기준”에 의하여 국가공공기관이 자체적으로 “보안관리수준 평가”를 수행토록 함으로써 체계적인 정보보안관리 활동이 이루어지도록 하고 있다. 본 논문은 관련 표준들과 호주, 미국의 보안관리 체계에 대하여 조사하고, “보안관리수준 평가” 체계를 효율적인 보안관리 측면에서 분석하고, 이를 통하여 “보안관리수준 평가”의 개선방향에 대하여 연구하였다. 기존의 체계에 추가항목(A/C ; Additional Control), 선택적 보안관리 기준(Selective Controls) 구성을 도입하고 평가 준비 절차의 개선을 통하여 각 기관에 최적화된 보안관리 기준을 작성할 수 있도록 함으로써, 기관에 적합한 효율적 보안관리의 수행이 가능하고, 급변하는 정보통신 환경에 유연하게 대응할 수 있도록 하였다. It will not be able to guarantee secure operation for the information and communication systems with only technical security. So, ISMS(Information Security Management System) research and standardization are active going on. Korea published “The national cyber security management regulation” and “The national cyber security manual” in 2005. According to the regulation and manual, the government organ and public institution must accomplish the security management assesment to itself for systematic management of an information security. We studied related standards and security management systems of the Australia and the USA, and analyzed the security management evaluation system in “The national cyber security manual” in efficient management focus. We presented the improvement direction of national security evaluation system through the research. We propose the additional control, selective control set and improvement of the evaluation process for efficient management. Proposed system possible composition of suitable to each organ and flexible adaptation of rapidly changed information environment.

K-ISMS 기반의 제어시스템 정보보호 관리체계 평가 기준

이태영(Tae-Yong Lee),박동규(Dong-Gue Park) 한국정보기술학회 2014 한국정보기술학회논문지 Vol.12 No.8

As the evolution of control systems parallels according to the evolution of networking technologies, these changes to control systems can expose them to new types of threats. Therefore control system organizations need to have documents describing the implementation, management and operation of control system security management system. Although the need for information security management system applicable to control systems is considered in Korea, there are no specific methods. This paper is to propose evaluation criteria for korean control system based on K-ISMS being used as a standard for IT systems through analysis of the security management system for industrial automation and control system being developed as a standard. The proposed evaluation criteria enables the companies, certified by existing K-ISMS, related control system to minimize redundant and unnecessary certification assessment work.

복원탄력성기반 정보시스템 성과평가모델 연구

김경일,이성효 중소기업융합학회 2020 융합정보논문지 Vol.10 No.3

정보시스템은 새로운 기술의 변혁에 영향을 받는다. 따라서 정보시스템은 외부환경 변화에 신속하게 대응하 여야 하며, 특히 정보시스템 장애발생시 그 복원능력이 중요시되어야 한다. 본 연구에서는 Delone과 McLean의 성공요인에 복원탄력성을 추가한 정보시스템 평가모형을 제안하였다. 또한 국내 중견제조업체의 115 사용자 들을 대상으로 한 설문조사를 바탕으로 한 자료포락분석으로 복원탄력성의 영향을 평가하였다. 연구방법으로 채택한 자 료포락분석 모형은 금융권에서 주로 적용하는 Charnes 등의 모형을 적용하여 노드생성 중단값 5%에서 민감도분 석에 의해 순위화된 인자들을 찾아 다른 인자들에 미치는 영향도를 탐색하였다. 분석결과, 복원탄력성에 대한 영향 력은 이전의 연구에서 적용했던 다른 요인들보다 강한 영향을 미치는 것으로 나타났다. 복원탄력성을 ISO27001 정보보호규격의 평가요인으로 포함하여 정보시스템의 흡수역량을 강화하여야 할 것이다. Information System is influenced by the innovation of new IT. Therefore, IS should response to external environment’s changes quickly. Particularly, resilience should be considered in barriers of IS. This study suggests a new information system evaluation model in which resilience is added to the existing factors of Delone and Mclean. Then the effect of resilience is evaluated through the DEA(Data Envelopment Analysis) based on a survey targeting 115 users of a mid-sized manufacturing company. The results show that the effect of resilience is stronger than any other factors in the previous researches. We, thus, suggest that the resilience should be included as an evaluation factor of the ISO27001 information security standard in order to enhance the absorptive capacity of the information system.

민간기업 공공기관의 정보보호 관리체계 차이 비교

김지숙(Ji-sook Kim),이수연(Soo-yeun Lee),임종인(Jong-in Lim) 한국정보보호학회 2010 정보보호학회논문지 Vol.20 No.2

정보보호 관리체계 구축을 지원하기 위해 민간기업 대상으로는 "정보통신망 사용 촉진 및 정보보호 등에 관한 법률"에 근거하여 한국인터넷진흥원이 인증하는 ISMS제도가 있으며 공공기관 대상으로는 아직 인증제도는 없으나 "전자 정부법"에 근거하여 국가정보원이 '정보보안 관리실태 평가제도를 운영하고 있다. 본 논문에서는 민간부문과 공공부문에서 시행하고 있는 정보보호 관리체계 통제항목에 대한 비교와 함께 그간 실시한 평가 미흡사항을 분석하여 이를 토대로 효율적인 정보보호 관리체계 구축방안을 살펴보고자 한다. To support the establishment of Information Security Management System, the private sector and the public sector have taken some measures. In the private sector, KISA(Korea Internet & Security Agency) has certified ISMS system based all "The Act on Communication Network Use Promotion and Information Security etc.". In the public sector, No authentication system has been established. Instead, NIS(National Intelligence Service) has enforced 'Infonrmation Security Management Condition Evaluation' based on "Electronic Government Act". This article compared ISMS control parts of the private sector with that of the public sector and analyzed the non-enforcemem parts of ISMS implementing two sectors for years. Based 011 this, I would like to consider the method of establishment for efficient ISMS.

한국형 클라우드를 위한 정보보호 관리체계 평가 기준

김기철(Kichul Kim),허옥(Ok Heo),김승주(Seungjoo Kim) 한국정보보호학회 2013 정보보호학회논문지 Vol.23 No.2

IT자원을 공유하여 서비스 형태로 제공하는 클라우드 컴퓨팅은 정보보호 이슈가 해결되지 않으면 활성화될 수 없다. 기업은 클라우드 컴퓨팅 서비스를 도입하여 정보통신 자원의 효율성을 극대화하고자 한다. 하지만 미국, 일본 등에 비해 국내에서 클라우드 컴퓨팅 서비스가 아직 활성화되지 못한 가장 큰 이유는 정보보호에 대한 신뢰가 부족하기 때문이다. 본 논문은 국내·외 클라우드 인증제도 및 가이드라인과 정보보호 관리체계 통제 항목을 비교 분석하여 한국형 클라우드를 위한 핵심 평가 기준 및 기존 정보보호 관리체계 통제 항목과의 중복성을 제거한 추가적인 평가 기준을 제안한다. 정보보호 관리체계 인증을 받은 클라우드 서비스 제공자는 추가 평가 기준만으로 중복되고 불필요한 인증평가 작업을 최소화할 수 있다. Cloud computing provided as a service type by sharing IT resources cannot be activated unless the issue of information security is solved. The enterprise attempts to maximize the efficiency of information and communication resources by introducing cloud computing services. In comparison to the United States and Japan, however, cloud computing service in korea has not been activated because of a lack of confidence in the security. This paper suggests core evaluation criteria and added evaluation criteria which is removed the redundancy of the security controls from existing ISMS for Korean cloud computing through a comparative analysis between domestic and foreign security controls of cloud certification scheme and guidelines and information security management system. A cloud service provider certified ISMS can minimize redundant and unnecessary certification assessment work by considering added evaluation criteria.

Embedded System Assurance in Security Level 1st

Sang-soo Yeo(여상수),Tai-hoon Kim(김태훈),Gil-cheol Park(박길철),Seok-soo Kim(김석수),Sung-eon Cho(조성언) 한국정보기술학회 2007 한국정보기술학회논문지 Vol.5 No.4

Because embedded software is a core component controlling systems, the codes or control flows should be protected from being opened to the public or modified maliciously. Embedded software security can be divided into 2 parts: first is the unauthorized access to development site and embedded software, second is the unauthorized disclosure or modification. And this research is related to the second aspect of them. As though embedded systems have become more useful and powerful, unfortunately, the researches for the embedded systems are focused on the ‘performance’ or ‘efficiency’. It is critical to note that a weakness (or security hole) in any component of embedded system may comprise whole system. This paper proposes a method for securing the embedded systems by evaluating security functions of embedded system component. This paper proposes embedded system security evaluation and certification for achieving some level of assurance.

보안성이 강화된 클라우드 서비스 평가·인증 체계에 관한 연구

고갑승 보안공학연구지원센터 2012 보안공학연구논문지 Vol.9 No.6

최근 세계경제 위기에 따라 많은 기업들은 IT 비용의 절감을 위해 클라우드 서비스를 중요한 IT 핵심 전략기술로 급부상되고 있다. 국내에서도 공공기관 및 다양한 산업에서 클라우드 서비스를 도입 을 추진 중에 있으며, 이에 따라 “클라우드 서비스 인증제”를 추진하고 있다. 그러나 현재 “클라우드 서비스 인증제”는 기술적 보안성을 고려하지 않는 체계이다. 이에 따라, 본 논문에서는 기존 정보보증제도를 조사하였으며, 특히 미국에서 시행하는 FedRAMP 제도를 분석하여 국내의 환경에 적합한 보안성이 강화된 클라우드 서비스 평가·인증제도를 제안하고자 한다.