표제지
목차
국문초록 10
I. 서론 11
1.1. 연구의 배경 및 목적 11
1.2. 연구의 범위와 논문의 구성 12
II. 이론적 고찰 13
2.1. 정보시스템 감리 이해 13
2.1.1. 정보시스템감리 점검프레임워크 14
2.1.2. 사업유형/감리시점 14
2.1.3. 감리영역 15
2.1.4. 감리관점/점검기준 15
2.2. IT 리스크관리 프레임워크 이해 16
2.2.1. ISO/IEC 27005 16
2.2.2. Risk IT 17
2.2.3. FIPS 200 19
2.2.4. 리스크 관리 프레임워크 비교 22
2.2.5. 정보시스템감리에서 리스크 관리의 필요성 24
2.3. 정보보호관리체계(ISMS) 이해 25
2.3.1. ISO/IEC 27001:2005 25
2.3.2. K-ISMS 32
2.3.3. G-ISMS 35
2.3.4. 정보보호관리체계(ISMS) 비교 38
2.3.5. 정보시스템 감리유형별 ISO/IEC 27001 통제항목 비교 38
2.2.6. ISMS에 따른 시스템개발 사업의 정보보호감리 세부통제항목 도출 40
III. 리스크 기반의 정보보호 감리지침 개선 45
3.1. 리스크 기반 정보보호감리 절차 46
3.2. 리스크 기반의 정보보호감리 점검항목 50
3.3.1. 정보보호 정책수립 단계 50
3.3.2. 정보보호 범위설정 단계 51
3.3.3. 리스크 분석 및 평가 단계 51
3.3.4. 통제사항 선택 및 구현 단계 55
3.3.5. 시험 단계 57
IV. 연구의 검증 58
4.1. 설문조사 대상자 특성 파악 58
4.1.1. 설문 대상 58
4.1.2. 감리 업무경력 59
4.2. 리스크 기반 정보보호감리의 필요성 59
4.2.1. 정보시스템 감리에 리스크 관리의 필요성에 관한 설문 결과 59
4.2.2. 정보보호 감리에 리스크 관리의 필요성에 관한 설문 결과 60
4.2.3. 각 사업유형별 정보보호 감리지침의 필요성에 관한 설문 결과 60
4.2.4. 리스크 기반의 정보보호 감리시점에 관한 설문 결과 61
4.2.5. 정보보호 감리영역의 분류 필요성에 관한 설문 결과 61
4.2.6. ISMS(정보보호관리체계)의 리스크 관리 단계에 따라 정보보호 감리 수행시 보안성 향상에 관한 설문 결과 61
4.2.7. 정보보호감리 점검항목과 ISMS 통제항목을 매핑하여 감리를 수행할 경우 ISMS 수립 및 관리시 기여도에 관한 설문 결과 62
4.3. 리스크 기반 정보보호감리 점검항목 적합성 63
4.3.1. 정보보호 정책수립 단계의 점검항목 적합성 64
4.4.2. 정보보호 범위설정 단계의 점검항목 적합성 64
4.4.3. 물리적 보안 영역의 점검항목 적합성 65
4.4.4. 관리적 보안 영역의 점검항목 적합성 66
4.4.5. 기술적 보안 영역의 점검항목 적합성 66
V. 결론 69
참고문헌 70
부록 73
ABSTRACT 77
〈표 2-1〉 FIPS 200의 통제분야 및 통제사항 수 20
〈표 2-2〉 ISMS 수립시 인증 심사요건 27
〈표 2-3〉 11개 통제영역에 따른 133개 세부 통제항목 30
〈표 2-4〉 ISO/IEC 27001 통제항목 및 주요내용 31
〈표 2-5〉 K-ISMS 통제항목 33
〈표 2-6〉 K-ISMS 통제항목별 내용 34
〈표 2-7〉 G-ISMS 통제항목 36
〈표 2-8〉 정보보호관리체계(ISMS) 비교 38
〈표 2-9〉 정보시스템 감리유형에 따른 ISO 27001 통제영역 비교 1 39
〈표 2-10〉 정보시스템 감리유형에 따른 ISO 27001 통제영역 비교 2 39
〈표 2-11〉 도출된 정보보호감리 점검사항과 시스템개발 감리 비교 41
〈표 2-12〉 ISMS에 따른 시스템개발 사업의 정보보호감리 세부통제항목 43
〈표 3-1〉 시스템개발 사업과 ISO/IEC 27001 비교 46
〈표 3-2〉 ISMS와 리스크 기반의 정보보호 감리시점 비교 47
〈표 3-3〉 ISO/IEC 27001과 리스크 기반의 정보보호 감리시점 상세비교 48
〈표 3-4〉 K-ISMS와 리스크 기반의 정보보호 감리시점 상세비교 49
〈표 3-5〉 정보보호 정책수립 단계의 감리점검 항목 50
〈표 3-6〉 정보보호 범위설정 단계의 감리점검 항목 51
〈표 3-7〉 리스크 분석 및 평가 단계의 물리적 보안 감리점검 항목 52
〈표 3-8〉 리스크 분석 및 평가 단계의 관리적 보안 감리점검 항목 53
〈표 3-9〉 리스크 분석 및 평가 단계의 기술적 보안 감리점검 항목 54
〈표 3-10〉 통제사항 선택 및 구현 단계의 관리적 보안 감리점검 항목 55
〈표 3-11〉 통제사항 선택 및 구현 단계의 기술적 보안 감리점검 항목 56
〈표 3-12〉 시험 단계의 기술적 보안 감리점검 항목 57
〈표 4-1〉 설문조사 대상자 특성 파악 58
〈표 4-2〉 감리 업무경력 59
〈표 4-3〉 정보시스템 감리에 리스크 관리의 필요성 59
〈표 4-4〉 정보보호 감리에 리스크 관리의 필요성 60
〈표 4-5〉 정보보호 감리에 리스크 관리의 필요성 60
〈표 4-6〉 리스크 기반의 정보보호 감리시점의 적정성 61
〈표 4-7〉 정보보호 감리영역 분류 필요성 61
〈표 4-8〉 ISMS 리스크 관리를 적용할 경우 보안성 향상 여부 62
〈표 4-9〉 ISMS 수립 및 관리 기여여부 62
〈표 4-10〉 리스크 기반 정보보호감리의 필요성 63
〈표 4-11〉 정보보호 정책수립 단계 점검항목 적합성 64
〈표 4-12〉 정보보호 범위설정 단계의 점검항목 적합성 65
〈표 4-13〉 물리적 보안 영역의 점검항목 적합성 65
〈표 4-14〉 관리적 보안 영역의 점검항목 적합성 66
〈표 4-15〉 기술적 보안 영역의 점검항목 적합성 67
〈표 4-16〉 시스템개발의 리스크 기반 정보보호감리 점검항목 적합성 68
〈그림 2-1〉 정보시스템감리 점검프레임워크 14
〈그림 2-2〉 ISO 27005 리스크 관리 절차 17
〈그림 2-3〉 Risk IT 프레임워크 19
〈그림 2-4〉 FIPS 위험관리 프레임워크 21
〈그림 2-5〉 리스크 관리 프레임워크 비교 23
〈그림 2-6〉 리스크 관리의 필요성 24
〈그림 2-7〉 ISO 27000 Family of Standard 26
〈그림 2-8〉 ISO/IEC 27001 PDCA Cycle 26