내부정보유출 통제를 위한 보안수준 평가방법 개발에 관한 연구
- Author(s)
- 문승주
- Issued Date
- 2008
- Abstract
- 최근 2008년에는 민간, 국가 공공기관의 경계를 넘나들며 개인정보는 물론 내부 대외비, 기밀에 해당하는 정보가 노출 또는 유출되는 사건들의 뉴스를 자주 접하고 있다.
과거의 정보보호는 정보시스템 중심의 IT 인프라를 보호하는데 목표를 두었지만 현재의 정보보호는 정보시스템 내에 존재하는 데이터를 보호하는데 초점을 두고 있다. 더불어 이를 취급, 관리하는 내부 직원과 위탁 직원에 대한 보안인식과 윤리의식의 강화를 강조하고 있다.
하지만 조직의 내부정보유출 침해가능성에 대한 취약성을 식별하기 위한 보편적인 평가지표나 평가방법이 존재하지 않아, 이를 해결하기 위한 별도의 보안컨설팅 예산의 수립과 집행이 필요할 수 밖에 없다.
본 연구의 목적은 내부정보유출통제를 위한 보안수준 평가지표를 개발하고 객관적으로 측정 가능한 수준평가방법을 정립하여 안전하고 신뢰할 수 있는 국가 공공기관 대상 내부정보유출통제 보안수준 평가방법을 제시하고자 한다.
본 연구에서는 신뢰할 수 있는 내부정보유출통제 보안수준 평가방법을 제시하고자 국내외 위험분석 및 평가 인증프레임웍에 해당하는 한국정보보호진흥원(KISA) 정보보호관리체계(ISMS) 및 ISO/IEC 27001의 위험분석 및 평가방법 그리고 국가 공공기관에서 정보통신보안의 수준진단을 위한 국가정보원의 보안수준평가 지표에 대한 선행연구와 정보보호관리체계 인증심사 및 각종 보안컨설팅 현장에서의 경험을 토대로 내부정보유출통제를 위한 보안수준평가 방법을 개발하고자 한다.
선행연구를 통해 확인된 내부정보유출통제를 위한 보안수준 평가방법을 활용하여, 주요 국가 공공기관의 내부정보 유출 통제를 강화하기 위한 평가영역별 취약성을 식별하고 이 취약성에 대한 일반적인 개선방안을 함께 제시하여 본 연구결과가 실제 업무현장에서 활용될 수 있도록 하였다.
본 논문이 미흡한 부분이 많기는 하지만, 현재 내부정보유출을 통제하기 위한 국내외 표준체계와 이의 보안수준을 평가하기 위한 지표가 없기 때문에 연구결과로서 도출한 보안수준평가방법이 국가 공공기관에 시범적으로 적용되어 국내 현실에 맞는 정확한 평가방법으로서 활용할 수 있도록 제시하였다.|In 2008, we have experienced lots of security incidence such as leakiness of internal confidential or secrete both private company and government department and we have also seen in public news.
In the past period, information security focuses on protecting IT infrastructure. But nowadays, it focuses on protecting data which is in the system. It is also being important for employees to have the mind of security awareness and faithful mind for the company.
However, there is no specific methodology to identify possible vulnerability of internal information leakiness. So to solve this problem, the reality needs financial support for security consultation.
The purpose for this study is to develop the security level standard of assessment for protecting internal information leakiness which will establish the objectively measurable assessment level method and suggest reliable methodology security level model for internal information leakiness control to the government departments and bureaus.
In this study, to develop the trustable security level assessment method for internal information leakiness control, it is pre-studied based on ISMS (Information Security Management System) from KISA (Korea Information Security Agency), risk analysis and assessment model of ISO/IEC 27001 and standard of security level assessment from NIS (National Intelligence Service) and lots of situation in security consultation field.
By using security level assessment method for internal information leakiness control, it will be identified vulnerability of major government department’s internal information leakiness and suggested the method which can solve genuine cause of problem.
Maybe this study will not be enough to cover up the all problem. However, since there is no specific standard for assessing security level and general architecture for protecting internal information leakiness, this study can be applied to government department for demonstration and hopefully it will be the best assessment method which is fit for the all situation in our country.
- Alternative Title
- A Study on Security Level Assessment Methodology Development for Internal Information of Leakiness Control: Centering on National & Public agency
- Alternative Author(s)
- Moon, Seung Ju
- Affiliation
- 경영대학원 경영학
- Department
- 경영대학원 경영학과
- Advisor
- 윤종록
- Awarded Date
- 2009-02
- Table Of Contents
- ABSTRACT
Ⅰ. 서론 1
1.1 연구배경 및 목적 1
1.1.1 연구의 배경 1
1.1.2 연구의 목적 3
1.2 연구범위 및 논문의 구성 5
1.2.1 연구 범위 5
1.2.2 논문의 구성 6
II. 현행 보안수준평가 방법의 이해 7
2.1 국가표준 정보보호관리체계(ISMS)의 개념 8
2.1.1 정보보호관리체계 개요 8
2.1.2 인증평가 기준 8
2.1.3 관리과정 요구사항 9
2.1.4 문서화 요구사항 10
2.1.5 정보보호 영역별 대책 요구사항 11
2.1.6 정보보호관리체계 인증 절차 12
2.1.7 정보보호관리체계 인증을 위한 문서체계 14
2.1.8 정보보호영역별 세부평가기준 15
2.2 위험수준 평가방법의 국제적인 표준 이해 33
2.2.1 위험분석 전략의 구분 33
2.2.1.1 베이스라인 접근법 33
2.2.1.2 비정형 접근법 34
2.2.1.3 상세 위험분석 34
2.2.1.4 복합 접근법 35
2.2.2 정성적 위험평가와 정량적 위험평가 35
2.3 데이터 관점의 우려사항 도출 38
2.3.1 위협 38
2.3.2 취약성 39
2.3.3 우려사항 40
2.3.4 내부정보 관련 정보자산의 우려사항 41
2.3.4.1 데이터에 대한 우려사항 41
2.3.4.2 문서에 대한 우려사항 43
2.3.4.3 인력에 대한 우려사항 43
2.3.4.4 매체에 대한 우려사항 44
2.3.4.5 법률 및 계약에 대한 우려사항 45
III. 데이터보호측면의 평가방법 사례 48
3.1 국외 사례 48
3.1.1 US-VISIT의 개요 49
3.1.2 미국에 있어서의 PIA 법적근거 50
3.1.3 PIA 평가를 위한 9가지 평가지표 52
3.1.3.1 수집, 유지되는 정보 52
3.1.3.2 시스템과 정보의 사용 52
3.1.3.3 정보의 보관 53
3.1.3.4 내부조직과의 정보공유와 공개 53
3.1.3.5 외부조직과의 정보공유와 공개 54
3.1.3.6 통지(권리보장) 54
3.1.3.7 개인에 의한 권리 정정 55
3.1.3.8 기술적인 액세스와 보안 55
3.1.3.9 기술 56
3.1.4 DHS의 PIA 평가지표 및 방법의 특징 56
3.2 국내 사례 57
3.2.1 개인정보영향평가의 이해 57
3.2.2 개인정보영향평가 방법의 특징 58
IV. 내부정보유출 보안수준평가 방법의 개발 61
4.1 보안수준평가 방법의 정의 61
4.1.1 계량화 여부에 따른 수준평가방법의 선정 61
4.1.2 접근방식에 따른 수준평가방법의 선정 63
4.2 보안수준 평가지표의 개발절차 65
4.2.1 보안수준 평가지표의 산출근거 65
4.2.2 내부정보유출 통제를 위한 보안수준평가지표 66
4.2.3 관리적, 물리적, 기술적영역의 구분 69
4.3 내부정보유출 보안수준 평가지표 71
4.3.1 자료보호 및 통제체계 71
4.3.2 중요 자료의 식별, 분류 및 위험분석 73
4.3.3 자료의 보안관리 74
4.3.4 사무실(기기) 및 저장매체의 보안관리 77
4.3.5 자료보호통제를 위한 인적, 기술적, 관리적 보호조치 79
4.3.6 자료유출 등의 침해사고대응체계 및 사후관리체계 81
4.4 내부정보유출 보안수준 평가방법 개발 83
4.4.1 평가를 위한 판단기준 83
4.4.2 평가점수의 산출방법 84
4.4.2.1 점수의 산출방법 84
4.4.2.2 점수에 따른 평가결과 기준 85
4.5 조직 내부직원(공무원)에 대한 적용방안 87
4.6 사업자(위탁직원)에 대한 적용방안 87
V. 평가영역별 우려사항에 따른 개선방안 89
5.1 자료보호 및 통제체계 90
5.2 중요 자료의 식별, 분류 및 위험분석 91
5.3 자료의 보안관리 92
5.4 사무실(기기) 및 저장매체의 보안관리 93
5.5 자료보호통제를 위한 인적, 기술적, 관리적 보호조치 94
5.6 자료유출 등의 침해사고대응체계 및 사후관리체계 95
VI. 결론 97
6.1 연구의 요약 및 시사점 97
6.2 연구의 한계와 향후 연구과제 99
참고문헌 101
- Degree
- Master
- Publisher
- 조선대학교
- Citation
- 문승주. (2008). 내부정보유출 통제를 위한 보안수준 평가방법 개발에 관한 연구.
- Type
- Dissertation
- URI
- https://oak.chosun.ac.kr/handle/2020.oak/390
http://chosun.dcollection.net/common/orgView/200000237497
-
Appears in Collections:
- Business > 3. Theses(Master)
- Authorize & License
-
- AuthorizeOpen
- Embargo2009-02-04
- Files in This Item:
-
Items in Repository are protected by copyright, with all rights reserved, unless otherwise indicated.