Current IT technology in the rapid development of computers and the Internet in the business of our real life and getting a lot of help, and that is becoming increasingly dependent.
Development of computer technology and can easily handle the vast amounts of information stored and can take advantage of numerous materials via the Internet a place of discovery and information exchange has been used. The added development of smart devices, especially mobile banking and social issues by taking advantage of the free-wheeling discussion on forming public opinion may be brought out.
The recent wave of disclosure of personal information, such as misuse, abuse, invasion of privacy cases continue to occur as the personally identifiable information and sensitive information such as telephone fraud and identity theft using the mental and financial damage has resulted. To prevent this damage from the source to the last year, September 30, 2011 in accordance with the Privacy Act implementation of all public and private sector organizations must handle personal information must be encrypted as it should perform.
Through this study, DB encrypts your personal information in the administrative building to maximize the efficiency of the overall Risk IT framework is to promote the expansion.
This study group of experts to target information security professionals for statistical analysis (50 people), Information Security Governance Specialist (20 people), Risk IT framework, professionals (30 people), IT-related services personnel (50 people) who 2012 year 21 May to 3 June 15 days e-mail (E-mail) through the survey was conducted. As a result, the total number of 108 questionnaire responses were analyzed.
The significance of this study performed in accordance with the Privacy Act personal information of related organizations and businesses plan effective management of DB encryption Risk IT framework domains of the three kinds of 'risk governance', 'risk evaluation', 'Risk Response' of the with three kinds of information sector by constructing a sub-element of the sector through nine kinds of business processes enterprise-wide Risk Management within the enterprise to systematically build / run is being conducted silmunjosaro comment on.
The first three domains, risk governance, senior management sector in their decision by considering all aspects of IT risk and decide whether, IT risk managers in the design or execution, and operating at steady state is considered as a trusted advisor IT departments and business operational risk and enterprise risk services to perform key roles in business and was placed on whether the criteria.
Second, the risk assessment sector IT decision makers in favor of transparency, risk probability of loss and gain new opportunities for exposure and the best available information, and facilitate the actual operation of the physical risk factors aggressively through the extended enterprise is passed, the staff at all levels of business risk factors directly responsible for determining relevance and companies collecting data on the formal Risk, risk analysis and profiling techniques of how to perform the continuous improvement of the standards placed.
Third, the risk categories corresponding to the total risk requirement and are ready for how to deal with is aware of strategies and plans, actively corresponding risks and threats for current operations extended across the entire enterprise is being passed, the entire fashion companies typically respond to risk issues in partnership with external organizations to mitigate risk exposure and was placed on whether the criteria.
Firstly, the risks identified in the governance sector are as follows.
Senior management of the IT risk, but the interest in higher education IT systems for risk managers and human resource development was relatively low. Personal information in order to perform DB encryption are scattered a number of risks and effectively manage these risks for senior management to be high interest and talent in a systematic risk management education training could find that you need.
Second, the sector identified in the risk assessment information for IT-related risk identification, analysis and reporting for effective data collection and analysis, but the periodic determines the judgment process, and Risk of Risk due to the absence of risk, as well as up-to-date profiling, continuous improvement does not be done that could be found.
Third, the risk in the corresponding sector in a timely manner after the occurrence of risk reports and risk, but a clear analysis and transparent reporting was found to not be made. Since the onset of risk for the monitoring of residual risk and acceptable levels, but to reduce the lack of systematic management and lessons learned since the onset of risk is not being systematically managed also was found.
This efficient management of personal information for DB encryption system of the enterprise-wide IT risk management plan may be a need. Beyond the limits of this study have the research focus is on this that trend continues, please future research.

현재 IT 기술의 컴퓨터와 인터넷의 급속한 발전 속에 우리의 실생활과 비즈니스에서 많은 도움을 받고 있고 그 의존도는 점점 높아지고 있다.
컴퓨터기술의 발달은 방대한 양의 정보를 손쉽게 처리하고 보관하고 활용할 수 있으며 인터넷을 통해 수많은 자료 검색 및 정보교류의 장으로 활용되고 있다. 특히 스마트 기기의 발달이 더해지면서 모바일을 활용하여 금융거래 및 사회적 이슈에 대한 자유분방한 토론을 이끌어 내어 여론을 형성하기도 한다.
최근 연이어 발생되는 개인정보의 유출·오용·남용 등 개인정보 침해사례가 지속적으로 발생함에 따라 개인의 신상 정보 및 민감 정보를 이용한 명의도용 전화사기 등의 정신적, 금전적 피해를 초래하고 있다. 이러한 피해를 원천적으로 방지하기 위해 지난해 2011년 9월 30일 개인정보보호법 시행에 따라 모든 공공부문과 민간부문의 단체에서 반드시 개인정보를 처리함에 있어 반드시 암호화를 수행해야 한다.

본 연구를 통해 개인정보 DB암호화 구축에 관리적 효율성을 극대화하기 위해 Risk IT 프레임워크의 전반적인 확대를 도모하고자 한다.
본 연구는 전문가 집단을 대상으로 통계적 분석을 위해 정보보호 전문가(50명), 정보보호 거버넌스 전문가(20명), Risk IT 프레임워크 전문가(30명), IT관련 업무 종사자(50명)를 대상으로 2012년 5월 21일부터 6월 3일까지 15 일간 전자우편(E-mail)을 통한 설문 조사를 실시하였다. 그 결과 총 108건의 설문응답을 회수하여 분석을 수행하였다.
이 연구가 갖는 의미는 개인정보 보호법 시행에 따른 관련 기관 및 기업의 개인정보 DB암호화의 효율적 관리 방안을 Risk IT 프레임워크의 3가지 도메인인 ‘리스크 거버넌스’, ‘리스크 평가’, ‘리스크 대응’의 3가지 부문으로 내용을 구성하여 그 부문의 하위 요소 아홉 가지 비즈니스 프로세스를 통하여 기업 내 전사차원의 Risk 관리가 체계적으로 구축/운영되고 있는지에 대한 의견을 실문조사로 실시하였다.
3가지 부문은 첫째, 리스크 거버넌스 부문은 고위 경영진들이 그들의 의사결정 안에서 IT리스크의 모든 측면을 고려하여 결정을 하고 있는지, IT리스크 관리자가 설계 중이거나 실행 그리고 정상 상태의 운영 시 신뢰할 수 있는 조언자로 간주되고 IT 부서는 비즈니스 운영 리스크 업무와 기업 리스크 업무에 주요 역할을 수행하고 있는지에 기준을 두었다.
둘째, 리스크 평가 부문은 의사 결정권자는 IT리스크 투명성을 선호하며 손실 및 이득 확률, 새로운 노출 및 기회에 대한 최상의 정보를 이용할 수 있으며, 실제 운영에 대한 실제 리스크의 촉진요소가 확장된 기업을 통해 적극적으로 전달되고, 직원들이 모든 수준에서 리스크 요인의 비즈니스 관련성 결정에 직접적인 책임 있고, 기업은 공식적으로 Risk에 대한 데이터 수집, 리스크 분석 및 프로파일링 기술의 지속적인 개선을 수행하는지에 기준을 두었다.
셋째, 리스크 대응 부문은 전체 요구사항 및 리스크에 대한 대처 방법에 대해 준비되어 있는 전략과 계획을 잘 알고 있는지, 리스크 대응들이 적극적으로 현재 운영과 위협에 대해서 확장된 전체 기업 전반에 걸쳐 전달되고, 전체 기업은 일반적으로 유행적인 리스크 문제에 대응하기 위해 외부 단체와 함께 협력하여 리스크 노출을 완화하고 있는지에 기준을 두었다.
연구 결과 첫째, 리스크 거버넌스 부문에서 파악된 내용은 다음과 같다.
고위 경영진들의 IT리스크에 대한 관심은 높게 나타났지만 IT리스크 관리자에 대한 체계적인 교육 및 인재 육성은 상대적으로 낮게 나타났다. 개인정보 DB암호화를 수행하기 위해서는 수많은 리스크가 산재되어 있고 이러한 리스크에 대해 효율적으로 관리하기 위해서는 반드시 고위 경영진의 높은 관심 속에 체계적인 리스크 관리 교육 및 인재 육성이 필요함을 발견할 수 있었다.
둘째, 리스크 평가 부문에서 파악된 내용은 IT관련 리스크에 대한 식별, 분석 및 보고를 효과적으로 하기위한 자료 수집은 되고 있지만 주기적인 분석 및 Risk 결정 판단 프로세스 부재로 인해 Risk에 대한 최신 상태유지는 물론 리스크의 프로파일링이 이뤄지지 않아 지속적인 개선을 못하고 있음을 발견할 수 있었다.
셋째, 리스크 대응 부문에서는 리스크 발생 후 적시에 보고서를 작성하고는 있지만 리스크에 대한 명확한 분석 및 투명한 보고가 이루어 지지 않음을 알 수 있었다. 리스크 발생 이후 잔여 리스크에 대한 모니터링은 하고 있지만 수용가능 수준으로 낮추기 위한 체계적인 관리가 부족하고 리스크 발생 이후 배운 교훈 또한 체계적으로 관리되고 있지 않음을 확인할 수 있었다.
이를 통해 개인정보 DB암호화의 효율적 관리를 위해서는 전사차원의 체계적인 IT리스크 관리 방안들이 필요하다고 할 수 있다. 본 연구가 갖고 있는 한계를 넘어서 이러한 연구에 역점을 두는 후속연구가 이어졌으면 하는 바람이다.

• 제 1 장 서 론 1
• 제 1 절 연구배경 및 목적 1
• 제 2 절 연구대상 및 방법 3
• 제 2 장 개인정보 DB암호화에 관한 이론적 논의 5
• 제 1 절 개인정보보호의 개념 5
• 제 2 절 데이터 암호화의 구축 방식 분석 6
• 1. Plug-In 방식 7
• 2. API 방식 8
• 3. Hybrid 방식 10
• 4. Kernel 방식 12
• 5. 기타방식 14
• 제 3 절 데이터베이스 암호화 구축 전략 15
• 1. 조직체계 15
• 2. 역할과 책임 15
• 3. 구축전략 16
• 제 3 장 Risk IT 프레임워크 이론적 논의 20
• 제 1 절 IT Governance & COBIT 20
• 제 2 절 정보보호 거버넌스 25
• 제 3 절 Risk IT 프레임워크 27
• 제 4 장 모델제시 30
• 제 1 절 개인정보 암호화 관리요인과 Risk IT 프레임워크 연계 모형 30
• 제 5 장 조사 설계 및 분석결과 33
• 제 1 절 조사 설계 33
• 1. 조사대상 및 분석방법 33
• 2. 설문지의 구성 33
• 3. 자료처리방법 35
• 제 2 절 조사결과 및 분석 36
• 1. 표본의 특성 36
• 2. 리스크 거버넌스 부문 37
• 3. 리스크 평가 부문 47
• 4. 리스크 대응 부문 57
• 제 6 장 결론 및 제언 67
• 제 1 절 결론 67
• 1. 기업 내 Risk IT 프레임워크에 대한 시사점 67
• 제 2 절 제언 69