제조기업 기술보호를 위한 ISMS 모델 기반의 정보시스템 보안통제 실행에 관한 연구
저자
발행사항
서울 : 연세대학교 공학대학원, 2015
학위논문사항
학위논문(석사)-- 연세대학교 공학대학원 : 산업정보경영전공 2015. 8
발행연도
2015
작성언어
한국어
주제어
발행국(도시)
서울
기타서명
A study on information system security controls for running a manufacturing enterprise technical protection based on the ISMS model
형태사항
vi, 61 p. : 삽화 ; 26 cm
일반주기명
지도교수: 박희준
소장기관
This study is about information system security controls based on international standard (ISO/IEC 27001) Information Security Management System (ISMS) as a method for preventing information leakage, which occurs frequently in the industry. It was examined investment priorities for information system security controls through Analytic Hierarchy Process (AHP) based on global chemical company T's information security controls guide entry. The survey was conducted among the experts in charge of the work related to information security, and analyzed 15 Survey data collected by AHP method.
As a result of AHP analysis, The information security policy were the most important items that present sub-items of policy, organization, education item among the ISMS information security control entry. The second is organization of information security. Experts made a judgment that security policy and organization of information security are the most important item which is accounted for 39% of the total among security control entry. And then, it is secondary importance that security of pc, security of server, information security education and training, media handling, physical entry controls of server room, protecting against external use, disposal of pc/media, disposal of server.The following items are relatively low priority: software installing control, Internet connection control, privacy filter, protecting against external threats, email archiving, management of mobile equipment, information back-up, controls against malicious code for mobile devices. In particular, the policy, organization, education in the process of information security management are more important than control items of information protection measures. So the establishment of criteria for the information security management system should have priority over operating security solutions. It is also important to prior protection than management of information security incidents in terms of risk, and internal Information leakage is more dangerous than against external threats. Business support using mobile is still in the early phase. Because of its low specific gravity utilizing mobile within the manufacturing company, it showed a relatively low priority in security controls.
This study is to provide a guide that can be used to invest in each company efficiently through how to build information security management system according to the manufacturing company, and to derive the necessary priority to efficient investment in the limited investment environment. I look forward to helping this paper to apply the information security management system in the enterprise. In a situation where confidential information is leaked by the internal and external officials without technical protection, it is significant that appropriately respond to the threat of information leakage through industry information security management system and present ways to contribute to the management.
본연구는산업계에서 빈번하게 발생하는 기술정보 유출을 방지하기 위한 방안으로 국제 표준(ISO/IEC 27001)정보보호 관리체계(Information Security Management System)모델을 기반으로 정보시스템 보안 통제에 대한 연구이다. 글로벌 화학기업인 T사의 정보보호 통제 가이드 항목으로계층분석법(AHP)설문을 실시해 정보시스템 보안통제 실행의 투자 우선 순위를 조사 하였다. 설문조사는 정보보호에 관한업무를 담당하고 있는 전문가를 대상으로 실시하였으며 설문 회수한 15명의 데이터를 AHP기법으로 분석하였다.
AHP 분석결과, ISMS의 정보보호 통제 항목 중에 룰, 체계, 교육 항목의 하위 항목인 보안에 관한 규정,기준 항목이 가장 중요한 항목으로 조사 되었고 두 번째로는 보안관리 체제로 조사 되었다. 보안 통제 항목 중 룰, 체계가 전체에서 39%의 비중으로 가장 중요한 항목으로 전문가들은 판단하고 있는 것으로 조사 되었다. 다음으로 컴퓨터 관리, 서버 관리, 사내 교육, 기록매체 관리, 서버실 관리, 컴퓨터/기록매체 사외 반출 시의 정보 누설 대책, 컴퓨터/기록매체 폐기 시의 정보 누설 대책, 서버폐기 시의 정보 누설 대책이다. 상대적으로 중요도가 낮은 항목은 불법소프트웨어 사용금지, 비업무용 사이트 액세스 제한, 보안 필터, 사외로부터의 불법 침입 방지, 송수신 메일 보관, 스마트폰, 태블릿 관리, 데이터 백업, 스마트폰의 바이러스 대책으로 조사 되었다.특히 정보보호 관리 과정인 룰, 체제, 교육이 정보보호 대책인 통제항목보다 중요한 것으로 조사됨에 따라 정보보호관리체계에 대한 기준 확립이 개별 보안 솔루션을 도입해 운영하는 것 보다 우선시 되어야 한다고 본다. 또한 사후 대응보다 사전 보호 조치를 중요하게 생각하고 있으며 외부의 침입보다 내부로 정보 유출이 정보시스템 보안 통제에 리스크가 큰 항목으로 파악 되었다. 제조기업에서는 아직 모바일을 활용한 업무지원은 도입 단계로 사내 업무에 활용되는 비중이 낮아 보안 통제에서도 상대적으로 낮은 우선 순위를 보였다.
본 연구는 정보보호 관리체계(Information Security Management System)를 제조기업에 맞게 구축하고 한정된 투자를 효율적으로 우선순위를 정해 투자하는데 필요한 우선순위를 도출, 각 기업에서 효율적으로 투자하는데 활용할 수 있는 가이드를 제공한다. 기업에서 정보보호 관리체계를 적용하는데 참고자료가 되기를 기대한다.기술보호가 되지 않고 내외부자에 의한 기밀정보가 유출 되는 현실에서 정보보호 관리체계를 통해 산업정보 유출의 위협에 적절히 대처할 수 있는 수단이 되고 경영에 이바지 할 수 있는 방안을 제시한 것에 의의가 있다.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)