情報保護管理體系 認證制度의實效的인 强化方案에 關한 硏究 : KISA ISMS제도 운영상황을 중심으로

함지수 동국대학교 2009 국내석사

This study is about the KISA ISMS certification improvement methodology. The purpose of this study is to refine the certification scheme to enhance current ISMS certification procedure. Researched and Proposed methods for improvement are : Categorizing of organization, Grading of organization scale, Differentiation by certification extent, Grading of certification level, Differentiation by certification period, and so on.

ISO27001 기반의 카지노관리시스템 보안감리 방안 연구

장인수 건국대학교 정보통신대학원 2014 국내석사

"사이버스페이스" 란 단어를 처음 사용한 이후, 동 단어는 누구에게나 평등하게 열려 있고 새로운 산업과 문화를 창조할 수 있다는 점에서 ‘제7의 대륙’이라고 일컬어지기도 했으나, 이를 둘러싼 사이버 범죄 및 사이버 공격 등이 급증하면서 안정하고 신뢰할 수 있는 사이버공간을 위해 협력의 필요성이 커져 왔다. 이와 관련하여 본 연구에서는 기존의 정보보호 관리체계를 구성하는 제반 요소에 대해 살펴보고 카지노 산업에 적합한 정보보호 현황 분석 및 감리점검을 활용하는 것을 목표로 국제 표준인 ISO 27001:2013와 한국인터넷진흥원의 정보보호 관리체계(KISA-ISMS) 등을 토대로 카지노관리시스템 보안감리 방안을 정립하였다. 이를 통해 카지노관리시스템의 정보보호를 위해서 표준 관리절차에 따라 위험요소를 분석 및 평가하여 정보보호 보안감리를 수행하고, 지속적인 위험관리를 통해 효율적인 카지노관리시스템 정보보호 관리체계가 수립 및 관리 되어야 한다. ISO27001기반의 카지노관리시스템 보안감리 방안을 통해 카지노 산업의 정보보호를 강화하는데 활용할 수 있도록 있기를 기대해 본다. Since the word “cyber space” came out of the world, it also has called “the 7th continent“ which has the potential to build new industry and culture on. The necessity for cooperation to protect ourselves from increasing danger of the cyber crime and the attacks has grown at the same time. This is a study on the approach of supervision process for the casino management system based on ISO 27001:2013 and KISA-ISMS of Korea Internet and Security Agency, the international standard, in order to examine the existing information security management system and analyze cases applicable to casino industry. Analysis and evaluation of risk factors should be carried out by standard procedure to secure information of casino management system, which is needed to be established by an effective risk management process with consistency. I hope this study contribute to the improvement of information security with casino management system based on ISO27001.

IT 아웃소싱 업체의 내부정보유출 방지를 위한 보안감리 개선요인 연구

권혁찬 건국대학교 정보통신대학원 2015 국내석사

최근 정보통신서비스의 일반화로 인해 다양한 산업 및 서비스 분야의 기반환경이 정보시스템을 기반으로 운영되고 있고 많은 기업들이 비용을 절감하고 각자의 핵심역량에 집중하고자 IT 아웃소싱 업체를 활용한 정보시스템 운영을 많이 하게 되었다. 하지만 IT 아웃소싱을 선택한 기업들은 최근 발생한 농협 전산사고, 네이트 개인정보 해킹 등의 치명적인 보안 사고를 경험하며, IT 아웃소싱 환경에서 더 많은 내부정보가 유출되고 있음을 인지하게 되었고, 보안 시스템의 포커스를 외부자 공격대응 일변에서 IT 아웃소싱의 외주용역 인력으로도 넓히고 있는 추세이다. 이와 관련하여 본 연구에서는 가장 최신의 IT 아웃소싱 관련 문헌과 매뉴얼들을 분석하여 IT 아웃소싱이 도입되는 단계에서부터 계약 만료 단계까지의 내부정보 유출 위협들을 찾아내었고, 정보시스템 운영 감리 지침 점검항목과 일일이 비교하여 취약점을 분석하였다. 취약점을 바탕으로 국제 표준인 ISO27001 : 2013 과 국내 표준인 KISA-ISMS 및 정부기관 보안 기본 지침을 기반으로 하여 현행 보안 감리에서 점검해주고 있지 못한 개선사항들을 관리적, 기술적, 물리적 측면에서 도출하였다. 본 연구에서 제시한 내부 정보유출방지 개선 점검 사항을 바탕으로 설문을 작성하여 현재 정보시스템 운영하는 IT 아웃소싱 인원과 보안실무자 그리고 정보시스템감리 경험이 있는 감리원 30여명을 대상으로 하여 실효성을 묻는 설문을 실시하여 검증 받았다. 본 연구를 통해 도출된 ISO27001 : 2013 기반의 IT 아웃소싱 보안감리 개선요인들이 IT 아웃소싱 업체의 내부정보 유출방지를 강화하는데 실제 활용 될 수 있기를 기대해 본다. Following the recent generalization of information and communication service, the infrastructure is run on information systems in a broad range of industries and services. Many corporations are running an information system through IT outsourcing companies to cut down expenses and focus on their core capabilities. In the wake of recent fatal security accidents at corporations that chose IT outsourcing including the data processing accident at Nonghyup and the personal information hacked at Nate, corporations have got to realize that more internal information leaks in an IT outsourcing environment. The focus of security systems has expanded from responses to external attacks to the staff members of IT outsourcing. This study thus analyzed IT outsourcing-related literature and manuals and identified threats of internal information leakage from the stage of introducing IT outsourcing to the stage of contract termination. The study also compared them with the checklist of information system operation and supervision one by one and analyzed their weaknesses. Based on those weaknesses, the investigator identified improvement items not inspected in the current security supervision in the managerial, technological, and physical aspects according to the international standard ISO27001 : 2013, the national standard KISA-ISMS, and the basic security guidelines of government agencies. The investigator made up a questionnaire based on the improvement and inspection items to prevent the leakage of internal information, administered it to 30 IT outsourcing staff member currently running an information system, security practitioners, and supervisors with experiences to supervise information systems, and had its effectiveness proven. The identified improvement factors for IT outsourcing security supervision based on ISO27001 : 2013 will hopefully be put to actual use to reinforce the prevention of internal information leakage by IT outsourcing companies.

주요정보통신기반시설 관리적/물리적 분야 취약점 점검 항목 개선 연구

이영규 건국대학교 정보통신대학원 2018 국내석사

정보기술의 발전과 함께 악성코드 등의 사이버 공격은 지능화·대형화되어 가고 있으며, 민간을 넘어서 산업 및 공공시설에까지 그 범위를 넓혀가고 있다. 이러한 사이버 위협으로부터 주요정보통신기반시설을 보호하기 위하여 정부는 정보통신기반보호법을 통해 보호대책 수립, 취약점 분석/평가 기준과 같은 체계적인 예방 및 대응체계를 마련하고 있다. 본 연구는 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목을 점검하고, 주요 정보보호 관리체계(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4)의 통제항목을 비교·분석하였다. 그리고 11개 영역(41개 통제 항목)을 제안하였다. 개선 항목에 대한 실증 검증을 위하여 공공 및 정보보호 업무관련자 63명을 대상자를 선정하였다. 그리고 주요업무, IT경력, 주요정보통신기반시설 운영경험, 주요정보통신기반시설 개선 필요성, 관리적 분야(9개 37개제항목) 및 물리적 분야(2개 영역, 4개 항목)에 대한 적합성 검증을 설문조사를 통해 수행하였다. 설문결과, 주요정보통신기반시설 취약점 분석·평가 기준은 개선이 필요하다는 결론과 제안한 41개 점검 항목들은 모두 적합하다는 결론을 얻을 수 있었다. 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목의 개선을 통하여 기관의 정보보안 수준 향상에 기여할 수 있을 것이다. 또한 정보보안 담당자에게는 합리적인 의사결정을 지원하여 사이버공격에 대한 사전 예방 및 대응을 강화할 수 있다는 점에서 실무적 의의가 있다고 할 수 있다. With the advancement of information technology, cyber attacks such as malicious codes are becoming more intelligent and larger, and they are expanding beyond the private sector to industrial and public facilities. In order to protect the Critical Information and Communication Infrastructures from cyber threats, the government has established systematic prevention and response system such as establishment of protection measures, analysis/evaluation of vulnerability through information and communication infrastructure protection law. This study examines vulnerability checklist of Critical Information and Communication Infrastructure management and physical field, compares/analyzes the control items of major information protection management system(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4). and 11 zones (41 control items) were proposed. To verify the verification of the improvement items, 63 persons related to the public and the information protection work were selected. and The survey was conducted to verify the suitability of major tasks, IT career, Critical Information and Communication Infrastructure operation experience, need for improvement of Critical Information and Communication infrastructure, management field (9 zones, 37 items) and physical field (2 zones, 4 items). As a result of the survey, it was concluded that the analysis and evaluation standard for Critical Information and Communication Infrastructure need to be improved and that the 41 control items proposed are appropriate. It will contribute to the enhancement of the information security level of the organization through improvement of vulnerability checklist in the Critical Information and Communication Infrastructure management/physical field. In addition, it can be said that there is a practical meaning in that information security officers can support rational decision-making to strengthen the prevention and response to cyber attacks.