표제지
제출문
요약문
SUMMARY
목차
Contents 15
제1장 서론 21
제1절 과제의 필요성 21
1. 정보보호관리체계에 대한 인식의 변화 필요성 21
2. 정보보호관리체계 인증제도의 변화 필요성 22
제2절 과제의 목표 및 내용 24
1. 과제의 목표 24
2. 내용 및 범위 24
제3절 연구 전략 27
제2장 정보보호관리체계와 정보보호 거버넌스 28
제1절 정보보호관리체계의 개요 28
1. 정보보호관리체계의 전반적인 소개 28
2. 정보보호관리체계의 현황 및 문제점 34
제2절 정보보호관리체계 개선을 위한 정보보호 거버넌스의 필요성 38
1. 정보보호관리체계와 정보보호 거버넌스의 관계 38
2. 정보보호 거버넌스 구현을 위한 모범 실무지침의 필요성 41
제3장 정보보호 거버넌스의 개념 및 표준화 동향 45
제1절 정보보호 거버넌스의 개념 45
1. 정보보호 거버넌스의 출현 배경 45
2. 정보보호 거버넌스의 정의 46
3. 정보보호 거버넌스 프레임워크 48
제2절 관련 국제표준화 동향 분석 57
1. 정보보호 거버넌스의 표준화 동향 57
2. IT 거버넌스의 표준화 동향 59
3. 정보보호 거버넌스와 IT 거버넌스의 표준화 동향 비교 61
4. 시사점 62
제4장 정보보호 거버넌스 구현을 위한 모범 실무지침 개발 64
제1절 정보보호 거버넌스 모범 실무지침 개발 방법론 64
1. 정보보호 거버넌스의 핵심성공요인 도출 64
2. 정보보호 거버넌스의 핵심성과지표 설계 66
제2절 정보보호관리체계와 정보보호 거버넌스 연계 프레임워크 74
1. 정보보호정책 수립 75
2. 정보보호관리체계 범위설정 80
3. 위험관리 85
4. 구현 91
5. 사후 관리 95
제3절 정보보호 거버넌스 핵심성과지표 100
1. 정보보호 거버넌스 구현을 위한 핵심성공요인 100
2. 핵심성공요인과 연계한 핵심성과지표 도출 102
제4절 정보보호 거버넌스 모범 실무지침 106
1. 정보보호 거버넌스 모범 실무지침의 요건정의 106
2. 정보보호정책 수립에 대한 거버넌스 활동의 모범 실무지침 109
3. 정보보호관리체계 범위정의에 대한 거버넌스 활동의 모범 실무지침 116
4. 위험관리에 대한 거버넌스 활동의 모범 실무지침 121
5. 구현에 대한 거버넌스 활동의 모범 실무지침 127
6. 사후관리에 대한 거버넌스 활동의 모범 실무지침 129
제5장 정보보호 거버넌스를 고려한 정보보호관리체계 인증 133
제1절 정보보호 거버넌스 요구사항을 포함한 인증체계의 진화 필요성 133
1. 인증 체계에서 정보보호 거버넌스 평가의 위상 134
2. 인증체계에서 정보보호 거버넌스 평가의 역할 137
제2절 정보보호 거버넌스를 위한 정보보호관리체계 인증심사 기준 139
1. 정보보호정책 수립에 대한 거버넌스 요구사항 139
2. 정보보호관리체계 범위 정의에 대한 거버넌스 요구사항 142
3. 위험관리에 대한 거버넌스 요구사항 145
4. 구현에 대한 거버넌스 요구사항 148
5. 사후관리에 대한 거버넌스 요구사항 149
제6장 결론 151
참고문헌 153
부록 I: 정보보호 거버넌스 국제 표준(ITU-T) 문서 156
부록 II: 정보보호 거버넌스 심사기준 및 점검사항 177
[표 2-1] 정보보호관리체계의 통제 분야 및 통제사항 32
[표 2-2] 일본 ISMS 인식조사 결과 37
[표 2-3] 정보보호 거버넌스 구현 기업의 특성 43
[표 2-4] Cobit, ITIL, ISO 27002 비교 43
[표 3-1] 정보보호 거버넌스의 정의 46
[표 4-1] 책임성 목표와 활동 분야의 연계 64
[표 4-2] 비즈니스 연계성 목표와 활동 분야의 연계 65
[표 4-3] 준거성 목표와 활동 분야의 연계 65
[표 4-4] 거버넌스 적용 대상 별 주요 활동 67
[표 4-5] 핵심 성공 요인과 핵심성과지표의 연계 70
[표 4-6] KGI와 KPI의 관계 72
[표 4-7] 정보보호 거버넌스 도입을 위한 핵심성공요인 100
[표 4-8] 핵심성과지표 도출 과정 102
[표 4-9] 핵심성과지표 도출 결과 105
[표 4-10] 정보보호 거버넌스 모범사례 작성 방안 107
[표 4-11] 정보보호정책 수립에 대한 거버넌스 역할 및 책임 109
[표 4-12] 정보보호 담당 임원의 정보보호정책 수립 시 거버넌스 활동 111
[표 4-13] 현업 담당 임원의 정보보호정책 수립 시 거버넌스 활동 112
[표 4-14] 경영계획과 정책 연계를 위한 현업 담당 임원의 거버넌스 활동 113
[표 4-15] 경영계획과 정책 연계를 위한 정보보호 담당 임원의 거버넌스 활동 114
[표 4-16] 정보보호관리체계 범위 정의에 대한 거버넌스 역할 및 책임 116
[표 4-17] 정보보호 규제 대응을 위한 정보보호 담당 임원의 거버넌스 활동 117
[표 4-18] 정보보호 규제 대응을 위한 현업 담당 임원의 거버넌스 활동 118
[표 4-19] 신규 비즈니스 보안통제를 위한 현업 담당 임원의 거버넌스 활동 119
[표 4-20] 신규 비즈니스 보안통제를 위한 정보보호 담당 임원의 거버넌스 활동 119
[표 4-21] 위험관리에 대한 거버넌스 역할 및 책임 121
[표 4-22] 비즈니스 기반 위험관리 시 정보보호 담당 임원의 거버넌스 활동 122
[표 4-23] 비즈니스 기반 위험관리 시 현업 담당 임원의 거버넌스 활동 123
[표 4-24] 대응책 선택을 위한 정보보호 담당 임원의 거버넌스 활동 125
[표 4-25] 대응책 선택을 위한 현업 담당 임원의 거버넌스 활동 126
[표 4-26] 구현에 대한 거버넌스 역할 및 책임 127
[표 4-27] 구현 단계에서 정보보호 담당 임원의 거버넌스 활동 127
[표 4-28] 사후관리에 대한 거버넌스 역할 및 책임 129
[표 4-29] 사후관리 단계에서 정보보호 담당 임원의 거버넌스 활동 130
[표 4-30] 사후관리를 위한 현업 담당 임원의 거버넌스 활동 131
[표 5-1] 정보보호 거버넌스 평가 레이어의 구성 137
[표 5-2] 정보보호정책 수립 시 거버넌스 요구사항 139
[표 5-3] 경영계획의 전략적 연계를 위한 거버넌스 요구사항 140
[표 5-4] 업무 상 정보보호 관련 규제사항 대응을 위한 거버넌스 요구사항 142
[표 5-5] 신규 비즈니스를 고려한 관리체계 범위 설정의 거버넌스 요구사항 143
[표 5-6] 비즈니스 프로세스 중심의 위험관리를 위한 거버넌스 요구사항 145
[표 5-7] 대응책 수립 현업의 참여를 위한 거버넌스 요구사항 146
[표 5-8] 정보보호계획 구현 통제에 대한 거버넌스 요구사항 148
[표 5-9] 사후관리에 대한 거버넌스 요구사항 149
(그림 1-1) 국내외 정보보호관리체계 인증제도의 변화 추이 23
(그림 2-1) 정보보호관리체계의 관리과정 30
(그림 2-2) 2008년 8월 기준 27001 인증획득 현황 34
(그림 2-3) 2008년 12월 기준 국내 ISMS 인증획득 현황 35
(그림 2-4) 국제 표준 및 규정들에 대한 Hype Cycle 36
(그림 2-5) 정보보호 거버넌스와 정보보호관리체계의 관계 38
(그림 2-6) 조직 규모와 성격에 따른 정보보호 거버넌스 실행 책임 39
(그림 2-7) 정보보호 거버넌스 활동과 정보보호 활동의 연결 고리 40
(그림 2-8) 정보보호 거버넌스의 도입효과 42
(그림 2-9) 국제적으로 사용 중인 Best Practice간 비교 44
(그림 3-1) 정보보호 거버넌스 프레임워크 48
(그림 3-2) 정보보호 거버넌스의 목표 50
(그림 3-3) IT 거버넌스 프레임워크 59
(그림 3-4) 현재 개발 중인 IT 거버넌스를 위한 구현 지침 60
(그림 3-5) 국제 표준화 과정 비교 61
(그림 3-6) 정보보호 거버넌스와 IT 거버넌스의 비교 62
(그림 4-1) 정보보호 거버넌스의 5개 활동영역과 Best Practice 66
(그림 4-2) 정보보호 거버넌스 도입을 위한 핵심성과지표 모델 74
(그림 4-3) 정보보호 거버넌스 모범사례 수립 목표 및 원칙 106
(그림 5-1) 정보보호관리체계 인증을 위한 평가 프레임 134
(그림 5-2) 정보보호관리체계 인증을 위한 구현 프레임워크 135
(그림 5-3) 정보보호 거버넌스 평가 레이어를 추가한 프레임워크 136