Information security risk: Application of the conjoint analysis

정보 보안 위험: 컨조인트 분석 활용 사례 연구

  • Pak, Ro-Jin (Department of Information Statistics, Dankook University) ;
  • Lee, Dong-Hoon (Graduate school of Information Management Security)
  • 박노진 (단국대학교 정보통계학과) ;
  • 이동훈 (고려대학교 정보경영공학전문대학원)
  • Received : 2011.01.02
  • Accepted : 2011.03.02
  • Published : 2011.03.31

Abstract

This Risk analysis on information related assets is conducted primarily according to the standards the Korea Information and Telecommunications Technology Association (TTA) or the International Organization for Standardization (ISO). The process is made of asset analysis, threat analysis, vulnerability analysis, and response plan analysis. The risk for information related assets belongs to the operational risks suggested by BIS (Bank for International Settlements) and the information related losses can be estimated in terms of BIS' suggestion. In this paper it is proposed that how to apply the method proposed by BIS to estimate the loss of information assets.

정보 자산에 대한 위험 분석은 주로 한국정보통신기술협회나 국제표준화기구의 표준에 따라 이루어지고 있다. 그 과정은 자산분석, 위협분석, 취약성분석, 대응책분석의 순서로 이루어져있다. 이 과정은 분석 대상, 즉 자산을 명확히 파악하는 것부터 시작된다. 기존의 방법은 그 대상을 물리적 자산에 따라 분류하는 것이 일반적이다. 한편, 국제결제은행 규약이 제시하는 방법에 따르면 위험 분석의대상을 운영에 따른 분류를 통해 규명하게 된다. 본 논문에서는 물리적 자산 중심의 기존 방법과 더불어 업무 중심의 분석 방법이 유용할 수도 있음을 보이고자 하였다. 컨조인트 분석 기법을 활용하여 상황에 따라 물리적 자산 중심의 방법과 업무 중심의 방법의 유용성의 차이를 예를 들어 분석하였다.

Keywords

References

  1. 김종호 (2001). 운영위험의 중요성과 측정방법. <대은경제리뷰>, 2001년 3월호.
  2. 민완기, 권세혁, 장송자 (2000). 컨조인트 분석을 이용한 전자상거래에서의 소비자 구매 결정에 관한 연구. <한국데이터정보과학회지>, 11, 347-357.
  3. 신종민, 최덕원 (2000). 군사 운영 체계에서의 XML 도입 및 활용을 위한 정보 시스템 계획. <대한산업공학회/한국경영과학회 2000 춘계공동학술대회 논문집>, 449-452.
  4. 오상렬, 김현준, 김영철 (2002). 중소기업 ERP시스템 구축 사례 연구- I 기업을 중심으로. <한국산업정보학회 2002년도 추계공동학술대회 논문집>, 279-295.
  5. 이훈영 (2005). <이훈영교수의 마케팅조사론>, 도서출판 청람, 서울.
  6. 장욱 (2004). 운영리스크관리 실패사례 연구. <금융리스크리뷰>, 2004년 겨울호.
  7. 조하현, 이승국, 김종호 (2004). <운영리스크-측정과 관리>, 서울, 세경사.
  8. 주철민, 조증성, 남호수 (1999). 섬유산업의 재고관리를 위한 정보시스템 구축에 관한 사례연구. <한국데이터정보과학회지>, 10, 271-277.
  9. 지혜영, 조완현 (2009). 컨조인트 분석을 이용한 휴대폰 속성 분석. <한국데이터정보과학회지>, 20, 695-703.
  10. 한국정보보호진흥원 (2002). <위험분석도구 선정지침 연구보고서>, 한국정보보호진흥원, 서울.
  11. 한국인터넷진흥원 (2010). <인터넷 침해사고 동향 및 분석 월보>, 2010년 3월호.
  12. An, C. S. and Jo, S. G. (2003). A case study of business process centered risk analysis for information technology security. IE Interfaces, 16, 421-431.
  13. Basel Committee on Banking Supervision (BCBS)(2004). Basel II: International convergence of capital measurement and capital standards: A revised framework, Bank for international Settlements.
  14. Hur, J. S. and Pak, R. J. (2007). Conjoint analysis for the preferred subjects of elementary school computer education. Journal of the Korean Data & Information Science Society, 18, 357-364.
  15. Kim, J. S. and Kim, W. S. (2008). The effects of the next-generation system in the banking industry on the simplification of business processes and the development of new products. Information Systems Reviews, 10, 159-177.
  16. Levy, D. S. (1995). Modern marketing research techniques and the property professional. Property Management, 13, pp 33-40. https://doi.org/10.1108/02637479510092104
  17. Park, C. S., Lee, H. U. and Koh, S. H. (2008). A study on the hospital information systems usability evaluation. Information Systems Reviews, 10, 289-311.