본문 바로가기
HOME> 논문 > 논문 검색상세

학위논문 상세정보

자체보안감사를 통한 정보보호 수준측정에 관한 연구 : 정보보호인증제도(G-ISMS, IS27001)과 국가사이버안전매뉴얼 및 COBIT5.0의 프로세스 역량모델의 활용과 공공기관의 정보보호 및 사이버안전관리 실태를 중심으로 원문보기

  • 저자

    이권형

  • 학위수여기관

    고려대학교 정책대학원

  • 학위구분

    국내석사

  • 학과

    감사행정학과

  • 지도교수

    김두래

  • 발행년도

    2014

  • 총페이지

    viii, 111 p.

  • 키워드

    자체보안감사 자체감사 보안감사 정보보호 정보보안 내부감사;

  • 언어

    kor

  • 원문 URL

    http://www.riss.kr/link?id=T13542620&outLink=K  

  • 초록

    보안감사란 일반적으로 “보안시스템이 안전하게 운영되고 있는지를 조사하고 분석하는 행위”로 정의하고 있다. TTA용어사전(2012) - 한국정보통신기술협회 그러나 이러한 정의와는 다르게 지금까지의 보안감사 실제 사례들을 보면 소 잃고 외양간 고치듯이 취약점이 존재하는 것을 인지하고 있음에도 불구하고 일단 그대로 방치해두다가 해킹이 발생해서 피해를 입고, 혹여 언론에라도 발표되기만 하면 그 때 되어서야 보안의 중요성을 인식하여 보안감사를 실시하고 취약점을 찾고 보안을 강화하는 행위를 하는데, 이것이 일시적인 현상이라 매번 되풀이되고 있는 것이 현실이다. 지속적으로 보안점검을 하고 취약점에 대한 조치를 하는 등의 보안강화 활동을 해야 함에도 불구하고 이벤트성 보안감사만 진행하고 있다는 것을 시사하고 있는 것이다. 중앙행정기관마다 보안업무규정을 두고 소속기관에 대한 보안감사를 주기적으로 실시하도록 규정하고 있다. 그리고 각 기관에서는 주기적으로 자체 보안감사 계획을 세우고 시행하여 결과를 상급기관에 보고한다. 그 결과에 대해 소속기관의 연말평가에 반영되도록 함으로써 정보보안 수준을 올리기 위한 노력을 하고 있다. 그러나 자체 보안감사 시 내부인력으로 구성되다보니 독립성이 낮음은 물론이고 비전문성으로 인해 중요 보안이슈가 발견되지 않을 가능성이 높다. 그래서 이전 자체보안 감사 시 발견되지 않은 것들이 다음 자체 보안감사 시 발견되거나, 이전 보안감사에서 지적된 사항이 개선되지 않았음에도 다음 자체보안감사에서는 발견되지 않는 경우가 존재하게 된다. 따라서 본 연구는 비전문성이 있는 감사인 이라도 보다 쉽게 보안감사를 수행할 수 있고, 정형화된 자체감사체계를 사용함으로써 모든 기관이 같은 기준으로 보안감사를 하고 이를 정량화하여 객관적인 기준으로 평가됨으로써 국민에게 신뢰받고 안전한 정보서비스를 제공할 수 있도록 하고자 하였다. 이를 위해 국가사이버안전매뉴얼과 정보보호 인증제도인 G-ISMS, ISO27001의 통제항목을 비교분석하고 COBIT5.0의 프로세스 역량모델을 활용한 정보보호 수준을 평가할 수 있는 체계를 개발함으로써 자체보안감사에서 사용되어질 통제항목을 도출하고 정량적인 평가를 할 수 있도록 하였다. 이렇게 본 연구에서 만들어진 자체보안감사 수준평가 항목을 감사원에서 공개한 공공기관의 정보보호 및 사이버안전관리 실태의 사례를 적용하였으며 이때 정보보호 전문가 7명에게 의뢰하여 자체보안감사 결과를 도출하였고, 국정원의 사이버안전매뉴얼만으로 진단하였을 경우의 평가 결과를 비교하여 본 연구에서 제시하는 자체보안감사 수준평가 항목이 효과적이고 정확하게 점검할 수 있음을 밝혔다. 향후 본 연구에서 제시하는 자체 보안감사의 보안감사틀을 활용하여, 내부 보안감사 시 비전문가도 쉽고 정확하게 보안수준을 평가할 수 있도록 맞춤형 기준을 제공함으로써 독립성이 낮더라도 주기적으로 보안수준을 객관적이고 수준 높게 평가하고 개선하여 스스로 보안수준을 향상시키는데 도움이 될 것을 기대한다.


 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역