표제지
목차
Abstract 12
Ⅰ. 서론 13
1. 연구의 배경 및 필요성 13
2. 연구의 내용 및 범위 17
Ⅱ. 이론적 배경 18
1. 중소기업 정보보호 실태 18
가. 중소기업의 정의 18
나. 다른 규모의 기업 대비 중소기업 기술보호 역량 19
다. 다른 규모의 기업 대비 중소기업의 기술 보호 투자 상황 20
라. 중소기업의 보안사고 예방 활동 현황 22
마. 중소 기업의 보안사고 현황 24
바. 기업의 정보보호 애로사항 및 정부 지원 수요 25
2. 국내·국제 정보보호 인증제도 분석 26
가. 국내 정보보호 인증제도 현황 26
나. 국제 정보보안 인증제도 현황 32
3. 국내·외 정보보호 인증 유사성 및 비교분석 40
가. 국내 클라우드 보안 인증과 K-ISMS 비교 40
나. K-ISMS와 ISO27001 비교 42
4. 국내의 기존 선행연구 47
Ⅲ. 연구 모형 및 연구 방법론 52
1. 연구 모형 52
2. 프로세스 57
3. 기준 정립 58
가. 적용 대상 58
나. 양적 기준 60
다. 질적 기준 63
4. 클라우드 보안 인증 하 등급과 ISMS 매핑 68
5. 1차 설문조사 73
6. 통제항목 조정 75
가. 삭제 75
나. 추가 76
7. 최종 연구모형 80
8. 2차 설문조사 82
가. 설문 대상 82
나. 설문지 구성 82
다. 2계층 중요도 AHP 적용 절차 83
라. 3계층 중소기업 수행 난이도 적용 절차 86
마. 최종 설문조사 대상 86
Ⅳ. 연구 결과 88
1. 2차 설문조사 결과 88
2. 중소기업에서 활용가능한 정보보호 관리체계 제안 93
Ⅴ. 결론 96
참고문헌 98
부록 100
[부록 1] 1차 설문조사 100
[부록 2] 2차 설문조사 105
〈표 2-1〉 법률 상 중소기업의 정의 18
〈표 2-2〉 중소/중견/대기업 기술보호 역량수준 분포 20
〈표 2-3〉 기업 규모별 보안사고 신고 현황 24
〈표 2-4〉 중소기업의 정보 침해 피해 원인 유형 현황 24
〈표 2-5〉 기업규모 별 정부 지원 수요 25
〈표 2-6〉 ISMS-P의 의무인증 대상 27
〈표 2-7〉 ISMS-P의 세부항목 요약 28
〈표 2-8〉 클라우드 서비스의 세부항목 요약 30
〈표 2-9〉 클라우드 보안 인증 기준 항목 수 31
〈표 2-10〉 ISO 27001:2022 상세 항목 34
〈표 2-11〉 ISO 27001:2013 -〉 ISO 27001:2022 통합 항목 35
〈표 2-12〉 ISO 27001:2022 신규 통제항목 36
〈표 2-13〉 ISO 27001:2013 -〉 ISO 27001:2022 이름 변경 항목 37
〈표 2-14〉 ISO 27000 표준과 설명 39
〈표 2-15〉 국내 클라우드 보안 인증과 K-ISMS 유사성 비교 40
〈표 2-16〉 K-ISMS와 ISO-27001:2002 관리과정 유사성 비교 42
〈표 2-17〉 K-ISMS와 ISO-27001:2002 관리적 분야 유사성 비교 43
〈표 2-18〉 K-ISMS와 ISO-27001:2002 물리적 분야 유사성 비교 44
〈표 2-19〉 K-ISMS와 ISO-27001:2002 기술적 분야 유사성 비교 44
〈표 2-20〉 참고한 국내의 선행연구 47
〈표 2-21〉 김진(2014)[21] 상대적 중요도 표 48
〈표 2-22〉 조경재(2018)[22] 정보보호 전문가(기술적 관점)의 가중치 합 49
〈표 2-23〉 공우진(2021) [23] 분야별 최종 중요도 50
〈표 2-24〉 김이헌(2021)[24] 전문가 집단 점검항목 적용여부 51
〈표 3-1〉 1계층의 조작적 정의 54
〈표 3-2〉 관리적 영역 1.5계층의 조작적 정의 54
〈표 3-3〉 기술적 영역 1.5계층의 조작적 정의 54
〈표 3-4〉 관리적 영역 2계층의 조작적 정의 55
〈표 3-5〉 기술적 영역 2계층의 조작적 정의 56
〈표 3-6〉 클라우드 보안 인증의 등급 적용 기준 58
〈표 3-7〉 정보보호 관리체계 적용 기준의 예시 60
〈표 3-8〉 등급제의 인증 및 자료의 조정 비율 1 61
〈표 3-9〉 등급제의 인증 및 자료의 조정 비율 2 62
〈표 3-10〉 클라우드 보안 인증 1계층 중요도 분석 64
〈표 3-11〉 클라우드 보안 인증 2계층 중요도 분석 65
〈표 3-12〉 박재성(2022)의 연구[24] 설문조사 결과 분야별 정리 66
〈표 3-13〉 ISMS 하 등급 도출에 필요한 기준정리 67
〈표 3-14〉 클라우드 보안인증 하 통제항목과 ISMS 매핑 결과 68
〈표 3-15〉 클라우드 보안인증 하 1계층과 ISMS 통제 분야 매핑 69
〈표 3-16〉 클라우드 보안인증 하 2계층과 ISMS 통제 분야 매핑 70
〈표 3-17〉 매핑 한 ISMS 항목과 중소기업 수행 가능성[24] 대입 결과 72
〈표 3-18〉 1차 설문조사 대상(30명) 73
〈표 3-19〉 삭제한 항목과 중소기업 수행가능성 75
〈표 3-20〉 추가한 항목과 중소기업 수행가능성 77
〈표 3-21〉 6점 척도 각 점수의 의미 83
〈표 3-22〉 각 평가 대상들간의 상대적 중요도 평가 (예) 84
〈표 3-23〉 연구에서 사용한 RI 값 85
〈표 3-24〉 3점 척도 각 등급과 점수의 의미 86
〈표 3-25〉 최종 설문조사 대상 87
〈표 4-1〉 2계층 관리적 영역의 중요도 설문조사 결과 88
〈표 4-2〉 2계층 기술적 영역의 중요도 설문조사 결과 89
〈표 4-3〉 본 연구와 선행연구의 중요도 비교 (관리적 영역) 90
〈표 4-4〉 본 연구와 선행연구의 중요도 비교 (기술적 영역) 90
〈표 4-5〉 3계층 관리적 영역의 중요도 설문조사 결과 91
〈표 4-6〉 3계층 기술적 영역의 중요도 설문조사 결과 92
〈표 4-7〉 관리적 영역의 연구 결과 93
〈표 4-8〉 기술적 영역의 연구 결과 94
〈그림 1-1〉 ISMS 인증기업 대상 설문조사: ISMS 도입 후 개선효과 15
〈그림 2-1〉 중소/중견/대기업 기술보호 역량점수 및 상대지수 19
〈그림 2-2〉 기술보호를 위해 투자하고 있는 분야 20
〈그림 2-3〉 IT 예산 중 정보보호 예산 비중 21
〈그림 2-4〉 규모별 정보보호(개인정보보호) 정책 수립 현황 21
〈그림 2-5〉 규모별 정보보호(개인정보보호) 조직 보유 현황 22
〈그림 2-6〉 기술보호 교육 실시 현황 22
〈그림 2-7〉 사용자 계정 및 업무용 PC 보호에 대한 활동 23
〈그림 2-8〉 기업 규모별 네트워크 보호를 위한 관리 방안 23
〈그림 2-9〉 정보보호 애로사항 25
〈그림 2-10〉 ISMS-P의 법적 근거 조항 26
〈그림 2-11〉 ISO 27001,2 history 33
〈그림 2-12〉 ISO 27001: 2013 현황, 2021년 기준 33
〈그림 2-13〉 ISMS family of standards 38
〈그림 3-1〉 연구모형의 계층 구조 53
〈그림 3-2〉 연구의 프로세스 57
〈그림 3-3〉 정보보호 준비등급 인증 분류기준 59
〈그림 3-4〉 최종 연구모형의 관리적 영역 계층 구조 80
〈그림 3-5〉 연구모형의 기술적 영역 계층 구조 81