발표일 : 2013. 12. 16 (월)

6조중소기업형정보보호관리체계구축방법론

대외 협력 담당 최재영

상세 TASK

1. 기업 모집

2. 담당자 인터뷰

3. 기업 요구사항 분석

4. 자료 수집

5. 기술적 통제항목 분석

프레임워크개발담당 박준형

상세 TASK

1. 국내/국제 표준 분석

2. 요구사항 분석

3. 프레임워크 개발

4. 전문가 검증

5. 관리적 통제항목 분석

프로그램개발담당 임형선

상세 TASK

1. 개발 요구사항 분석

2. 프로그램 UI 개발

3. 프로그램 기능 구현

4. 전문가 검증

5. 물리적 통제항목 분석

통합관리담당 이찬우

상세 TASK

1. 요구사항 통합

2. 프로젝트 진척 관리

3. 프로젝트 일정 조율

4. 주간보고 및 PMO 협의

5. 통제항목 간 일관성 조율

-11-

1.1 프로젝트개요

중소기업이정보보호관리체계를 도입하기어려운 이유는......?

대기업에 비해...

-12-

인터넷에서 정보를 얻는

것은 소화전에서 물을 받아

먹는 것과 같다.

- 미첼 케이퍼

즉, 정보의 홍수 속에서

필요한 정보를 얻을 수 있는

능력을 가진 자만이

풍요로운 혜택을 누릴 수

있다.

1.2 프로젝트동기 (1/3)

[통계출처 : 한국인터넷진흥원(KISA)]

정보부족

35%

-13-

중소기업은

정보보호관리체계 구축에

따른 정부의 인센티브나,

정보보호 예산 및 전문

인력의 부족으로

정보보호관리체계 초기

구축이 매우 어려운

실정이다.

1.2 프로젝트동기 (2/3)

[통계출처 : 한국인터넷진흥원(KISA)]

예산및인력부족

27%예산부족

인력부족

지원부족

-14-

정보보호가 경제/사회적으로

기업에 미치는 가시적인

효과나 경제적 가치 등이

미미하여 중소기업

정보보호관리체계 구축을

위한 투자가 기피되고 있다.

1.2 프로젝트동기 (3/3)

[통계출처 : 한국인터넷진흥원(KISA)]

비용대비효과저조

12%

-15-

쉽게

빠르게

편리하게

사용자가 이해하기 만들어졌는가?

꼭 필요한 항목만 진단할 수 있는가?

전문가의 도움 없이 적용할 수 있는가?

정보 부족

예산 및 인력부족

비용 대비효과 저조

1.3 프로젝트목표

요구사항확인

-16-

1.4 목표분석

쉽게

빠르게

편리하게

ExampleEx. 용어, 예시,템플릿

ModulationEx. 모듈화

ConvergenceEx. 다양한 표준

IntuitionEx. 직관적 UI

CustomizationEx. 항목 필터링

One-Stop ServiceEx. 통계, 리포팅

요구사항이행확인

프레임워크 프로그램

-18-

2.1 프레임워크특징 (1/3)

Example

예) 로그온, 터미널 타임아웃, 접속시간 등

예) 송신데이터가 변조없이 수신됨

-19-

2.1 프레임워크특징 (2/3)

Modulation

SeePlan

Do

-20-

2.1 프레임워크특징 (3/3)

Convergence

ISO 27001PIMSISMS

중소기업형정보보호관리체계프레임워크

-21-

2.2 자가진단프로그램특징 (1/3)

Intuition

사용자 중심의

직관적인 3단 프레임

구성으로 이해가 쉬운

인터페이스를 구현하였음

이해

기초 환경 조사를 통한

사용자 맞춤형 통제항목을

선별해 낼 수 있음

-22-

2.2 자가진단프로그램특징 (2/3)

Customization

효율

-23-

2.2 자가진단프로그램특징 (3/3)

One-Stop Service

편의템플릿 링크,

통제분야별 점수분포,

PDS별 점수분포,

최종결과 리포팅 등을

모두 지원 가능함

-25-

3.1 프로그램시연

-26-

3.2 기업적용사례

대상 업체 방문

프로젝트 소개 진단 착수 인터뷰

‘프로그램’ 자가 진단진단 결과 분석 ‘ISMS 대책명세서’ 진단

-27-

3.3 기업적용후기

[ 답변 내용 ]

중소기업형 자가진단 프로그램을 사용해 보니각 기업의 보안수준을 항목별로 정리되어 있어서 보기가 좋았구요.

그리고 기존의 ISMS 대책 명세서에 비해 문구가 쉽게 적혀 있어서 비 전문가 들도 어렵지않게 확인할 수 있었던 것 같아요.

또한 각 기업의 특성에 맞게 기업이 하고 있는일에 따라 항목을 필터링할 수 있어서 진단할때 중복이 되거나 그런 항목들이 많이 줄어 들어서 신속하게 진단을 할 수 있었던 것 같구요.

그리고 무엇보다 간단하고 심플해서 사용자들이 쉽고 편리하게 진단할 수 있었던 것 같습니다.

-28-

3.4 프레임워크, 프로그램정성적평가

전문가검증

통제항목, 분야 직관적

템플릿 제공 기능 좋음

프로그램 리포팅 기능 좋음

장점

제공 템플릿(아웃풋) 강화

미니 사용자 해설서 권장

결과보고서 설명 보완

보완사항

-30-

상세 가이드 및 템플릿 개발프레임워크 상세 가이드 개발, 각 통제항목의 템플릿 개발

취약점 분석 진행핵심 자산별 위협 시나리오 개발, 취약점 분석

자가진단 프로그램 업그레이드UI 개선, 접근성 개선, 상세 기능 개선

업종별 확대 적용제조부문, 공공부문, IT부문

4.1 향후계획 (단기, 2단계경연)

-31-

연구 보고서 해외 발표연구 보고서를 영문화하여 해외에 발표

프로그램 특허 출원중소기업 정보보호관리체계 자가진단 프로그램의 특허 출원

연구 결과 대외 발표연구 결과를 논문으로 집대성하여 국내 논문지 게재

효과성 검증정성적 및 정량적 효과성 검증, 전문가 검증

4.2 향후계획 (장기, K-BOB 포럼연계)

-32-

-33-

감 사 합 니 다.