정보보호관리체계(ISMS)와 ISO/IEC27001을 이용한 데이터센터 보안 개선 방안 연구

남형준 성균관대학교 2016 국내석사

현대사회는 IT기술의 발달로 많은 사람들이 다양한 방법으로 새로운 정보를 기하급수적으로 만들어 내고 있으며, 그에 따른 국내외 많은 기업들은 그 정보를 수용하기 위한 서버와 스토리지 등의 IT인프라를 계속해서 늘려가고 있다. 그리고 이를 위해 데이터센터 정보보호관리 프로세스 개선활동의 하나로 정보보호관리체계(ISMS) 구축 및 운영에 신경 쓰고 있으며, 데이터센터 정보보호활동을 통해 기업의 성공과 지속성장을 목표로 하고 있다. 하지만 개인정보 및 프라이버시 침해로 인해 개인정보가 상업적 가치를 지니게 되어 개인정보의 유출 및 오남용 사례가 급증하였으며, 대부분의 개인정보유출사고는 사용자 부주의 보다는 기업의 개인 정보 관리소홀 및 정보시스템의 보안 취약점을 통해 나타나고 있다. 본 연구의 목적은 정보보호관리체계(ISMS)와 ISO/IEC27001을 기반으로 데이터센터 보안 개선 방안에 대한 연구를 진행하고자 한다. 따라서 정보보호관리체계(ISMS)와 ISO/IEC27001의 절차 및 통제항목을 검증하면서, 데이터센터의 보안지침 개선방안을 제안하고자 한다. 본 논문을 검증하기 위한 설문조사는 기업의 데이터센터 임직원을 대상으로 표본을 수집하고자 하였다. 구체적으로 살펴보면, 데이터센터에 대한 정보보호자산은 3단계의 중요도 항목(기밀성·가용성·무결성)과 보안 지침 적용시의 3단계의 영향 개선 항목을 만들어 설문을 통해 이를 실증 검증하고자 한다. 본 논문은 기업의 데이터센터를 사전에 진단 및 대응할 수 있도록 관리적·기술적·물리적 진단 항목을 제시하여 데이터센터를 보완할 수 있는 단계에서 정보시스템 운영단계의 안정적인 시스템을 제공하고 기업 및 개인정보보호를 예방할 수 있도록 기술하였다. 이를 통해 데이터센터 정보자산을 보호하고 사전에 정보가 유출이 되지 않도록 예방하고 체계화 하여 데이터센터를 안전하게 이용할 수 있도록 노력해야 할 것이다. 또한 해당 기업의 보안을 철저히 하여, 데이터센터 보안 담당자들의 보안 체계화 및 표준화에 대한 전략적인 대안을 제시하고자 한다.

정보시스템 보안정책 감리 점검항목에 관한 연구 : ISO/IEC 13335 중심으로

왕현준 건국대학교 정보통신대학원 2013 국내석사

The areas that are controlled by the information system are expanding over the entire business. The preparation and processing abilities for collection, production, process, and application of the information that is necessary for achieving the business goals of an organization and adapting to the rapid changing circumstances of the times are considered a barometer weighing up the level of competitiveness of an organization. As such, the reliance on the information system is increasing and subsequently external threats to the information assets stored in the information system are also increasing. Under these circumstances, the importance of an audit of the information system is consistently increasing, and the awareness that an audit of the security area is essential is gradually prevailing. Concerning the information system security, International Standardization Organization as well as Korean government establishes and recommends standards, guidelines and certification criteria for the protection of information. It is a security policy that procedures and guidelines for the information protection suggested in these standards emphasize. The basic principles for the security required for the construction and operation of the information system and the security requirements of an organization must be included in the security policy. Accordingly, this paper re-emphasized the importance of the security policy and proposed the suitability review items and the audit items for the security policy applicable to general organizations based on the correct methods and considerations in establishing the security policy, and the suitability and adequacy review methods, suggested in the Korean and international standards associated with the information protection. The suitability review items and the audit items for the security policy proposed in this study were validated for the orientation by the comparison with regulated areas and items in ISO/IEC13335 and ISO/IEC27001 among international information protection standards, which indicated that our suggestions do not deviate significantly from international standards. Also, the exclusion of items dependent on specific industry allows general applicability regardless of industry sectors. Valuation standards of an information system have been shifted from construction to application and from efficiency of the system itself to data application. Also, the focus of security has been shifted from the system itself to data operating in the system as the assets of an organization to be protected. Reflecting these changes, it is hoped that this paper concerning the audit items for the security policy becomes the foundation by making use of primary purpose of the information system audit that it improves the efficiency of the information system, secures the data safety, implements general check-ups and thereby improves problems by analyzing the security requirements of an organization from the initial construction phase of the information system and reflecting them into the system. 비즈니스 전반에 걸쳐 정보시스템이 지배하는 영역이 점차 확대되고 있다. 조직의 사업 목적을 달성하고 급변하는 시대의 흐름에 적응하기 위해서 필요한 정보를 수집, 생산, 기공, 활용에 대한 준비와 처리능력이 조직 경쟁력 수준을 가늠하는 척도로 인식되고 있다. 그만큼 정보시스템에 대한 의존도가 높아지고 있으며, 그로 인해 정보시스템에 저장되는 정보자산에 대한 외부 위협도 늘어나고 있다. 이런 상황에서 정보시스템 감리의 중요성은 지속적으로 높아지고 있으며, 이 중 특히 보안영역에 대한 감리에 대해서는 선택이 아닌 필수라는 인식이 점차 확대되고 있다. 정보시스템 보안과 관련하여 대한민국정부는 물론 국제표준기구에서도 정보보호에 대한 표준과 지침, 인증기준을 세우고, 따르도록 권고하고 있다. 여기서 제시하는 정보보호 절차나 지침이 강조하는 가장 근본적인 요소가 보안정책이다. 정보시스템을 구축하고 운영하는데 필요한 보안에 대한 기본 원칙이 보안정책에 포함되어야 하며, 조직의 보안 요구사항이 담겨 있어야 한다. 따라서 본 논문에서는 보안정책에 대한 중요성을 다시 한번 되짚어 보고 보안정책의 올바른 수립방법과 정보보호관련 국/내외 표준과 기준에서 제시하고 있는 보안정책 수립 시 고려사항과 적합성 및 적정성 검토 방안을 기반으로 일반적인 조직에서 적용 가능한 보안정책 적합성 검토항목과 보안정책의 감리 점검항목을 제안하였다. 본 연구에서 제안한 보안정책의 적합성 검토 항목 및 보안정책 감리 점검항목은 국제 정보보호표준 중 ISO/IEC13335, ISO/IEC27001의 통제 분야와 통제항목과 비교하여 본 논문이 제안한 보안정책 적합성 검토항목과 감리 점검항목이 국제 표준에 크게 벗어나지 않는다는 방향성에 대한 검증을 실시 하였고, 특정 산업 분야에 종속적인 항목은 제외시켜 산업분야에 관계없이 일반적으로 활용 가능을 하도록 하였다. 정보시스템의 가치 평가의 기준이 구축에서 활용으로, 시스템 자체의 효율성에서 데이터의 활용으로, 조직의 정보보호 대상 자산이 시스템에서 시스템에서 운용되는 데이터로 보안의 초점이 전환되었다. 이러한 변화를 반영하여 본 보안정책 감리 점검항목에 대한 논문이 정보시스템의 초기 구축단계부터 조직의 보안 요구사항을 제대로 분석하고, 시스템에 반영될 수 있도록 하여 정보시스템의 효율성을 향상시키고 안전성을 확보 및 종합적으로 점검하고 문제점을 개선한다라는 정보시스템 감리의 기본 취지를 잘 살려 정보시스템 감리의 준거성과 신뢰성 확보를 위한 초석이 되었으면 한다.

주요정보통신기반시설 관리적/물리적 분야 취약점 점검 항목 개선 연구

이영규 건국대학교 정보통신대학원 2018 국내석사

정보기술의 발전과 함께 악성코드 등의 사이버 공격은 지능화·대형화되어 가고 있으며, 민간을 넘어서 산업 및 공공시설에까지 그 범위를 넓혀가고 있다. 이러한 사이버 위협으로부터 주요정보통신기반시설을 보호하기 위하여 정부는 정보통신기반보호법을 통해 보호대책 수립, 취약점 분석/평가 기준과 같은 체계적인 예방 및 대응체계를 마련하고 있다. 본 연구는 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목을 점검하고, 주요 정보보호 관리체계(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4)의 통제항목을 비교·분석하였다. 그리고 11개 영역(41개 통제 항목)을 제안하였다. 개선 항목에 대한 실증 검증을 위하여 공공 및 정보보호 업무관련자 63명을 대상자를 선정하였다. 그리고 주요업무, IT경력, 주요정보통신기반시설 운영경험, 주요정보통신기반시설 개선 필요성, 관리적 분야(9개 37개제항목) 및 물리적 분야(2개 영역, 4개 항목)에 대한 적합성 검증을 설문조사를 통해 수행하였다. 설문결과, 주요정보통신기반시설 취약점 분석·평가 기준은 개선이 필요하다는 결론과 제안한 41개 점검 항목들은 모두 적합하다는 결론을 얻을 수 있었다. 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목의 개선을 통하여 기관의 정보보안 수준 향상에 기여할 수 있을 것이다. 또한 정보보안 담당자에게는 합리적인 의사결정을 지원하여 사이버공격에 대한 사전 예방 및 대응을 강화할 수 있다는 점에서 실무적 의의가 있다고 할 수 있다. With the advancement of information technology, cyber attacks such as malicious codes are becoming more intelligent and larger, and they are expanding beyond the private sector to industrial and public facilities. In order to protect the Critical Information and Communication Infrastructures from cyber threats, the government has established systematic prevention and response system such as establishment of protection measures, analysis/evaluation of vulnerability through information and communication infrastructure protection law. This study examines vulnerability checklist of Critical Information and Communication Infrastructure management and physical field, compares/analyzes the control items of major information protection management system(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4). and 11 zones (41 control items) were proposed. To verify the verification of the improvement items, 63 persons related to the public and the information protection work were selected. and The survey was conducted to verify the suitability of major tasks, IT career, Critical Information and Communication Infrastructure operation experience, need for improvement of Critical Information and Communication infrastructure, management field (9 zones, 37 items) and physical field (2 zones, 4 items). As a result of the survey, it was concluded that the analysis and evaluation standard for Critical Information and Communication Infrastructure need to be improved and that the 41 control items proposed are appropriate. It will contribute to the enhancement of the information security level of the organization through improvement of vulnerability checklist in the Critical Information and Communication Infrastructure management/physical field. In addition, it can be said that there is a practical meaning in that information security officers can support rational decision-making to strengthen the prevention and response to cyber attacks.

情報保護 管理體系 標準을 適用한 情報戰略計劃 樹立方案

황건준 전북대학교 일반대학원 2012 국내박사

Even if there are some benefits and side-effects on making use of ICT(Information and Communication Technology), people tend to pursue its benefits in the modern society which is governed by information. As an alternative for the side-effects, our society tries to be getting strong of privacy protection act and its related regulations against emerging issues such as trade secret leakage, cyber crime, and privacy invasion. Nevertheless, differentiated security attacks continuously threat the companies and organizations. In this situation, it is strongly required to develop a comprehensive viewpoint and approach to actively protect security threats. Recently, the threat management budget for information security is getting the same or more than that of informationalization. Existing ISP/IPR(Information Strategic Planning/Information Planning for Re-engineering) processes deal with the information security in an architecture level. In addition, it is widely agreed to need for standardization to lessen the burden caused by de facto approaches. As a result, a systematic and strategic approach is required by combining information protection strategy planning with information strategic planning process in the total and macro level point of view. In this thesis, we propose a design of information protection strategic planning and ISP/IPR processes based on ISMS(Information Security Management System) standard, which is widely applied to various information standards and guidances. Firstly, a framework of ISP/IPR is defined in each of the activity phases such as process procedure, implementation procedure, input, analyzing method, and output. Then, as an security integrated model, we present a ISP/IPR type information protection methodology, named S-ISP/IPR(Security-ISP/IPR) framework. Secondly, a relation analyze matrix is suggested to apply ISO/IEC 27001 international standard related to each tasks on phase steps of the S-ISP/IPR framework, in order to map the detailed goals into the restricted items. To do this, a strategic planning actualization framework, such as analyzing procedure, analyzing method, and input/output, is established based on the detail goals for each task. Then, each phase of ISP/IPR and S-ISP/IPR is redefined at the activity and task level. Eventually, the processes and phases of ISP/IPR and S-ISP/IPR are integrated at activity and task level. This is named as C-ISF2ISP(Convergence ISF(Information Security Framework) to ISP), which is a converged method for ISP/IPR and S-ISP/IPR based on ISMS standardization. The proposed method is advantageous to develop a total information protection measure based on the international standard guidance. Also, it is very effective with simultaneously practicing informationalization strategic planning and information protection strategic planning in the ICT area. We are going to more elaborate the detailed processes on self-diagnosis or verifying system, such as improving accuracy of specific methodology and making detail of defining output. Keywords : Consulting Methodology, ISP/IPR, ISMS, S-ISP/IPR, C-ISF2ISP, ISO/IEC 27001

정보보호관리체계 기반 원격근무 보안 평가기준 연구

문아영 고려대학교 컴퓨터정보통신대학원 2023 국내석사

전세계가 사상 유례없는 코로나19 팬데믹을 겪으면서 기업들은 디지털 전환(Digital Transformation)을 가속화하였고 근로자의 근무형태도 변화하였다. 사회적 거리두기가 해제된 후에도 기업들은 직원들에게 재택근무, 공유 오피스 근무, 사무실 근무와 재택근무가 결합된 ‘하이브리드’ 근무, 원하는 곳에서 업무와 휴가를 동시에 할 수 있는 ‘워케이션’ 근무 등 다양한 근무형태를 제공하고 있어 근무 공간은 계속해서 확장될 것으로 보인다. 그러나 업무 공간의 제약이 사라짐에 따라 외부망과 내부망의 접점은 증가하므로 기업의 정보시스템은 더 많은 사이버 위협에 노출될 수 있다. 원격근무는 이미 세계적인 추세이므로 사이버 위협으로부터 보호하기 위해서 정보보호관리체계를 기반으로 체계적으로 관리∙운영될 필요성이 있다. 본 논문에서는 원격근무의 보안 위협을 분석하여 보안 요구사항을 도출하고, 국내외 정보보호관리체계 통제항목을 분석하여 원격근무 환경에서 사용 가능한 평가기준을 설계하였다. 설문을 통해 평가기준의 실효성을 검증하였으며 설문 결과를 반영하여 17개의 원격근무 보안 평가기준을 제안한다. As the world has suffered through the unprecedented COVID-19 pandemic, companies have accelerated their own digital transformations and employees' working patterns have changed. Even after social distancing was lifted, companies are providing employees with a variety of work styles, including telecommuting, shared office work, ‘hybrid’ work that combines office work and telecommuting, as well as ‘work-cation’ work in which workers can work and take time off at the same time. However, as workplace constraints disappear, the interface between the external and internal networks increases, so companies' information systems have the potential to be exposed to more cyber threats. Since remote work is already a trend that has spread across the globe, it is necessary to systematically manage and operate a business based on the information security management system to protect against any possible cyber threats. In this study, security requirements were derived by analyzing the security threats posed by remote work, and evaluation standards that can be used in remote work environments were designed by analyzing both domestic and foreign information security management system controls. Moreover, the effectiveness of the evaluation standards was verified through surveys, and 17 remote work security evaluation standards were proposed after reflecting upon the survey results.

정보보안 효과성 측정 모델에 관한 연구 : 관리적, 물리적 보안을 중심으로

공우진 호서대학교 기술경영전문대학원 2022 국내박사

정보통신 및 융합기술의 발달과 산업의 변화로 글로벌 정보보안 분야에서 많은 변화가 발생하고 있다. 특히, 해킹과 관련된 각종 불법 침해사고의 증가로 인하여 많은 국가기관이나 기업이 피해 손실을 당하고 있다. 국내 정보보안 분야에서도 유사한 피해가 증가하고 있다. 이를 예방하기 위하여 기관이나 기업에서는 국제 및 국내 정보보안 인증취득, 주요 정보통신 기반 시설 지정 운영, 국가정보원 관리실태 점검 등 여러 관리 제도를 만들어 운영하고 있다. 실무 현장에서는 연 1회 평가 기간 이외에는 지속적이고 주기적으로 정보보안 측정 및 평가를 통해 효과성을 점검할 내부 모델이 존재하지 않는다. 이에 따라 본 연구는 관리적 관점에서 선행연구 및 국제, 국내 정보보안 인증제도를 분석하여 효과성 측정 목표와 측정지표 및 세부 측정항목에 대한 수행 항목 간의 중요도 구분과 조직 집단의 특징을 반영할 수 있는 의사 과정 모델에 관하여 연구하였다. 이를 위하여 본 연구는 Delphi를 사용한 AHP 설문 데이터들의 비교를 통하여 측정 목표, 측정지표, 세부 측정항목에 대한 수행 항목 간의 일관성 검토 및 중요도(가중치)를 평가하였다. 정부 기관이나 기업에서는 복잡한 조직 특성과 업무를 반영하여 정보보안 수행 항목에 대한 중요도(가중치)를 데이터 기반으로 객관적 적용을 할 수 있으며, 이를 응용하여 효과적인 평가 의사결정에 이바지하여 현업 실무에 도움이 되도록 연구를 수행하였다. 본 연구는 기술 적용 범위의 광범위와 기술변화에 대한 법적 적용 및 설문 모수 집단 내 비전문가 참여에 따른 측정 결과를 데이터로 활용할 수 없는 한계점 등을 고려하여 관리적, 물리적 측면에서 정보보안 최고 전문가를 대상으로 모수집단을 구성(박사 25명, 석사 21명(기술사 10명), 학사 4명(기술사 1명))하였으며, 총 50명을 대상으로 AHP 설문조사를 통해 연구를 수행하였다. 본 연구에서 도출된 관리적, 물리적 측정지표 간의 중요도(가중치)를 설정 후 추가적인 연구를 수행하여 조직 군집화 특성을 적용한 세부 표준 모델에 관한 연구를 수행하고자 한다.