기업 정보보호 수준 평가 방법론에 대한 비교 연구

Abstract

현대사회에서는 모든 기업, 사회 활동과 인간 생활에 정보자체가 주요한 원천이 되고 있으며 정보의 수집, 분석 및 활용 능력이 한 나라의 국익이나 기업 경쟁력을 좌우하는 가장 중요한 지표로 자리 잡았다. 사회 전반에 영향을 미치는 정보의 중요성에도 불구하고 항상 가용성을 유지하여야 한다는 정보의 특성으로 인한 취약성으로 정보의 무단 유출 및 파괴, 변조 등과 같은 공격이 일어나고 있으며, 또한 인가 받지 않은 불법적인 사용자에 의한 정보시스템의 파괴, 개인 신상 비밀의 누설 및 유출, 불건전 정보의 유통 등과 같은 피해도 증가하고 있어 정보보호와 수준평가는 기업의 중요한 이슈가 되었다. 조직의 정보보호 목표를 효율적이고 효과적으로 달성하기 위해서는 조직의 정보보호 수준을 정확히 평가하고 이를 개선시킬 방향을 제시하는 기준이나 평가모델이 필요하지만 서로 다른 특성을 가진 다양한 평가 방법론으로 인해 “어떠한 방법론으로 정보보호 수준을 평가 해야 하는가”는 기업의 보안담당자 입장에서 쉬운 일이 아니다. 이에 따라 기존의 평가 방법론들에 대한 비교 연구를 통하여 조직의 정보보호수준을 보다 종합적이고 체계적으로 파악함으로써, 조직의 정보보호수준의 위치를 정확히 인지하고 보다 발전적인 방향을 제시할 수 있는 정보보호수준 평가항목과 정보보호의 성숙모형, 그리고 정보보호수준 평가방법론을 도출 하고자 한다.; As the world becomes to depend on information widely, the threats in information security are extended. Accordingly, the progresses for evaluation for the information security have been made in many advanced nations and domestic industries. However, as these evaluations has been focused on the security products, it has been difficult to consider the level of information security in an organization on the whole. Therefore, the purpose of the study is to develop the information security evaluation indices and methodologies to understand more systematically and synthetically in information security and to suggest better directions.