| 1 |
1
평가자단말에서 전달된 데이터에 대응하여 정보보호 수준을 산정하는 상위수준의 위험분석 모듈과, 상기 정보보호 수준의 상세화 및 세부적인 보안 위험 관리를 계획할 경우에 위험분석을 수행하는 하위수준의 위험분석 모듈과, 보호대상을 기밀성, 무결성, 가용성으로 분류하여 해당 정보보호 대책을 제공하되, 상기 정보보호 대책이 도입될 경우에 예상되는 위험감소 수준을 산정하여 비용 대비 효과 분석, 여러 가지 침해 유형을 만들어 피해 영향 분석, 침해 유형에 따른 피해 수준을 분석하고 최대 피해액 산정, 정보보호 대책 유무에 따른 피해량의 정량화를 수행하는 피해산정 모듈로 구성된 위험 관리 프로세서; 및 상기 위험 관리 프로세서로부터 전달된 데이터를 수렴하여 결과를 도출하는 계산 알고리즘을 생성하며, 설문 결과에 따른 통계학적 계산을 통해 정보보호 수준을 산정하는 위험 관리 서버를 포함하는 것을 특징으로 하는 보안 위험 관리 시스템
|
| 2 |
2
제1항에 있어서, 상기 피해산정 모듈은, 상기 정보보호 대책을 선정하는 보호대책 선정 모듈; 상기 정보보호 대책이 도입되는 경우 예상되는 위험감소 수준을 산정하여 비용대비 효과를 분석하는 잔여위험 계산 모듈; 여러 가지 침해 유형을 만들어 피해 영향을 분석하는 피해영향 평가 모듈; 침해 유형에 따른 피해 수준을 분석하고 최대 피해액을 산정하는 피해수준 산정 모듈; 및 상기 정보보호 대책이 없는 경우와 있을 때를 비교하여 어느 정도 피해가 감소되었는지를 정량화하는 기존 결과 비교 모듈로 구성된 것을 특징으로 하는 보안 위험 관리 시스템
|
| 3 |
3
제1항에 있어서, 상기 위험 관리 서버는, 자산 목록 데이터베이스, 위협 목록 데이터베이스, 취약성 목록 데이터베이스, 보호대책 목록 데이터베이스로 구성된 위험분석 데이터베이스를 포함하며, 자산, 위협, 취약성, 보호대책에 대한 목록을 위험 관리 프로세서로 제공하여 평가자단말에서 위험 관리 프로세서를 통해 처리한 데이터를 바탕으로 의견을 수렴하여 결과를 도출하는 계산 알고리즘을 생성하는 위험 관리 엔진서버; 및 전문가용 데이터베이스와 일반용 데이터베이스로 구성된 설문 서버 데이터베이스를 포함하며, 시설운영자 및 시설관리자가 시설운영자 단말 및 시설관리자 단말을 통해 입력한 설문 결과에 대하여 통계학적으로 계산하여 정보보호 수준을 산정하는 설문 서버로 구성된 것을 특징으로 하는 보안 위험 관리 시스템
|
| 4 |
4
제1항에 있어서, 상기 상위수준의 위험분석 모듈은, 인력, 기간, 대상시설에 대한 범위를 산정하고 위험분석의 수준을 정하는 프로젝트 관리 모듈; 자료 수집 및 현장 실사를 통해서 문서와 기록이 실제 자산과 일치하는지를 비교하는 현황 분석 모듈; 대상시설을 관리하고 운영하는 인원들을 대상으로 정보보호 의식수준을 분석하는 설문 모듈; 대상시설을 설계하고 정보보호 업무를 수행하고 있는 인원들을 대상으로 정보 보호 실태를 확인하는 인터뷰 모듈; 및 수집된 정보를 토대로 통제항목을 점검하여 조직의 정보보호수준을 산정하는 통제항목 점검 모듈로 구성된 것을 특징으로 하는 보안 위험 관리 시스템
|
| 5 |
5
제1항에 있어서, 상기 하위수준의 위험분석 모듈은, 매체에 정보가 저장되므로 매체를 대상으로 자산을 분류하는 자산 분석 모듈; 침해 유형을 분류하는 위협 분석 모듈; 진단도구를 이용하여 서버 및 네트워크를 진단한 후 나온 결과를 대상으로 상중하로 분류하고 분류 표를 만들어 수준을 산정하는 취약성 분석 모듈; 자산, 위협, 취약성을 토대로 3차원 테이블을 구성하여 계산하는 위험도 계산 모듈; 및 결과를 보고서로 작성하는 보고서 작성 모듈로 구성된 것을 특징으로 하는 보안 위험 관리 시스템
|
| 6 |
6
(a) 평가자단말에서 전달된 데이터에 대응하여 위험 관리 프로세서에서 정보보호 수준을 산정함과 아울러, 상기 정보보호 수준의 상세화 및 세부적인 보안 위험 관리를 계획할 경우에 위험분석을 수행하는 단계; (b) 정보보호 대책의 수립여부에 따라 비교되는 결과를 비교하여 최적의 위험 감소 결과를 바탕으로 하여 피드백 과정을 거쳐 최적의 정보보호 대책을 선택하는 단계를 포함하는 것을 특징으로 하는 보안 위험 관리 방법
|
| 7 |
7
제6항에 있어서, 상기 (a) 단계 및 (b) 단계는, 자산, 위협, 취약성, 보호대책에 대한 목록을 위험 관리 프로세서로 제공하여 평가자단말에서 위험 관리 프로세서를 통해 처리한 데이터를 바탕으로 의견을 수렴하여 결과를 도출하는 계산 알고리즘을 생성하며, 시설운영자 및 시설관리자가 시설운영자 단말 및 시설관리자 단말을 통해 입력한 설문 결과에 대하여 통계학적으로 계산하여 정보보호 수준을 산정하는 위험 관리 서버와의 연계를 통해 수행하는 것을 특징으로 하는 보안 위험 관리 방법
|
| 8 |
8
제6항에 있어서, 상기 (b) 단계는, 상기 정보보호 대책을 선정하는 과정, 상기 정보보호 대책이 도입되는 경우 예상되는 위험감소 수준을 산정하여 비용대비 효과를 분석하는 과정, 여러 가지 침해 유형을 만들어 피해 영향을 분석하는 과정, 침해 유형에 따른 피해 수준을 분석하고 최대 피해액을 산정하는 과정 및 상기 정보보호 대책이 없는 경우와 있을 때를 비교하여 어느 정도 피해가 감소되었는지를 정량화하는 과정을 포함하는 것을 특징으로 하는 보안 위험 관리 방법
|
| 9 |
9
제6항에 있어서, 상기 (b) 단계에서 최적의 정보보호 대책은 평가책임자 단말을 통해 선택되어지는 것을 특징으로 하는 보안 위험 관리 방법
|
| 10 |
10
제6항에 있어서, 상기 (a) 단계의 정보보호 수준을 산정하는 과정은, 인력, 기간, 대상시설에 대한 범위를 산정하고 위험분석의 수준을 정하는 과정, 자료 수집 및 현장 실사를 통해서 문서와 기록이 실제 자산과 일치하는지를 비교하는 과정, 대상시설을 관리하고 운영하는 인원들을 대상으로 정보보호 의식수준을 분석하는 과정, 대상시설을 설계하고 정보보호 업무를 수행하고 있는 인원들을 대상으로 정보 보호 실태를 확인하는 과정 및 수집된 정보를 토대로 통제항목을 점검하여 조직의 정보보호수준을 산정하는 과정을 포함하는 것을 특징으로 하는 보안 위험 관리 방법
|
| 11 |
11
제6항에 있어서, 상기 (a) 단계의 위험분석을 수행하는 과정은, (a-1) 정보가 저장되는 매체를 대상으로 자산을 분류하는 과정, (a-2) 침해 유형을 분류하는 과정, (a-3) 진단도구를 이용하여 서버 및 네트워크를 진단한 후 나온 결과를 대상으로 상중하로 분류하고 분류 표를 만들어 수준을 산정하는 과정, (a-4) 자산, 위협, 취약성을 토대로 3차원 테이블을 구성하여 계산하는 과정 및 (a-5) 결과를 보고서로 작성하는 과정을 포함하는 것을 특징으로 하는 보안 위험 관리 방법
|
| 12 |
12
제11항에 있어서, 상기 (a-1) 과정에서 자산 중에서 정보통신 기반시설에 대해, 서버, PC, 네트워크 장비 등 하드웨어, OS 및 기본 서비스인 서버, 조직의 목표 및 업무를 지원한 응용 프로그램인 어플리케이션, 조직의 목표 및 업무를 수행하기 위한 정보 및 자료인 데이터로 분류하는 것을 특징으로 하는 보안 위험 관리 방법
|
| 13 |
13
제11항에 있어서, 상기 (a-3) 과정에서 정보통신 기반시설의 중요도(Criticality)는 기밀성, 무결성, 가용성 요소로 값을 표현하는 것을 특징으로 하는 보안 위험 관리 방법
|
