• 융합보안논문지
• /
• 제14권4호
• /
• pp.41-53
• /
• 2014

조직의 정보보호 목표를 효율적이고 효과적으로 달성하기 위해서는 정보보호 수준을 정확히 평가하고 개선 방향을 제시하는 정보보호 성과평가 지표와 측정방법이 필요하다. 그러나 이러한 요구사항에도 불구하고 국내 기업의 정보보호 활동에 대한 성과나 효과를 측정하기 위한 표준적인 지표나 활용 가능한 측정 방법이 미흡한 실정이다. 이로 인해 기업에서는 지속적인 보안투자 결정을 이끌어 내는데 큰 어려움을 겪고 있다. 본 연구의 목적은 이러한 각 기업 환경에 적합한 합리적인 성과평가를 위하여 성과평가에 영향을 주는 다양한 관점에서 성과평가지표를 도출하고, 평가지표간 중요도에 따른 가중치 부여를 통하여 평가 지표와 측정방법을 개발하는 것이다. 정보보호 활동의 다양한 성과 요인을 균형 있게 평가하기 위해 Norton과 Kaplan(1992)이 개발한 균형성과표 (BSC : Balanced Scorecard) 모형을 활용하였다. 본 연구 결과는 국내 기업들이 정보보호 수준을 파악하고 주기적인 성과측정을 통해 자사의 정보보호 현황 파악과 추이 분석이 가능하고 정보보호 투자 등 전략을 수립하는데 적용할 수 있다.

• 한국IT서비스학회지
• /
• 제12권4호
• /
• pp.187-204
• /
• 2013

In this study, we developed a comprehensive model to measure the National Information Security Level based on PRM framework. The proposed model reflected a rapidly changing technology environments such as social network service, mobile devices, and etc. This new model consists of three layers:Infrastructure Layer, the Action Layer and the Performance Layer, and there are 16 sub-indexes under the 3 layers. To develop new model and sub-indexes for measuring the National Information Security Level, much amounts of documents related to security indexes or deliberation criteria and security guidelines from international organization were reviewed and then most probable index pool were composed. The Index pool were verified by expert group consisting of professors and specialists. Through five times of screening and having an evaluation review, 16 sub-indexes were deduced and then Delphi and AHP have been conducted to obtain validity and objectiveness of the indexes. Thus the new proposed national information security index will show more exact national information security level and we expect that the indexes give much implications for establishing information protection policy.

• 한국IT서비스학회지
• /
• 제7권1호
• /
• pp.117-130
• /
• 2008

Multi-attribute risk assessments provide a useful framework for systematic quantitative risk assessment that the security manager can use to prioritize security requirements and threats. In the first step, the security managers identify the four significant outcome attributes(lost revenue, lost productivity, lost customer, and recovery cost). Next. the security manager estimates the frequency and severity(three points estimates for outcome attribute values) for each threat and rank the outcome attributes according to AHP(Analytic Hierarchy Process). Finally, we generate the threat index by using muiti-attribute function and make sensitivity analysis with simulation package(Crystal Ball). In this paper, we show how multi-attribute risk analysis techniques from the field of security risk management can be used by security managers to prioritize their organization's threats and their security requirements, eventually they can derive threat index. This threat index can help security managers to decide whether their security investment is consistent with the expected risks. In addition, sensitivity analysis allows the security manager to explore the estimates to understand how they affect the selection.

• 융합보안논문지
• /
• 제7권4호
• /
• pp.83-91
• /
• 2007

본 연구는 네트워크 중심전(NCW)을 원활하게 구현하기 위해 구축된 정보보호체계의 수준을 평가하고 미흡한 부분을 도출함으로서 미래전에 대비하는 예방적 지침을 마련하고자 수행하였다. 본 연구에서는 국방 정보체계 분야에 다년간 근무했던 전문가들로 워킹그룹을 편성하여 그룹의 사결정기법을 활용한 연구방법을 통해 NCW하에서의 정보보호체계 수준을 평가하는 지표를 개발하였다. 본 연구에서 개발 제시한 평가지표를 활용하여 시스템 수준을 평가하고 미흡한 점을 보완한다면 보다 완벽한 정보보호 대책을 마련할 수 있을 것이다.

• 응용통계연구
• /
• 제29권7호
• /
• pp.1173-1183
• /
• 2016

본 연구에서는 네트워크 가입자들로부터 수집된 악성코드 감염 정보에 기초하여 악성코드 감염에 대한 위험정도를 파악할 수 있는 지수 산출 문제를 다루었다. 계층적 의사결정 방법을 사용하여 여러 악성코드들의 상대적 위험 가중치를 제안하였으며, 이들 가중치를 결합하여 위험도 지수를 산출하였다. 개발된 위험도지수에 대한 시계열 분석 및 통계적 모형 적합을 시도하였으며, 관리도를 통해 정보보호 위험을 예보할 수 있는 지수의 활용성을 살펴보았다.

• 디지털산업정보학회논문지
• /
• 제15권1호
• /
• pp.43-51
• /
• 2019

This research proposed the necessary capability of cyber security professional personnel for cyber security education and training. Cyber security professional personnel were required specialized capability because the curriculum of cyber security education and training is structured around practice and training. Based on the knowledge, skills, and attitudes of professors, we derive candidate capabilities and index through the results of precedent research. As a result, we derived capability such the candidate capability group as teaching qualification, expert knowledge, practical ability, lecture ability, and research ability, and detailed capability index was derived accordingly. Finally, based on the questionnaire results of the professors related to the information security, it was determined that the capability required for the cyber security education and training professional personnel were expert knowledge, practical ability, and lecture ability. Among the capabilities, executive ability means that they have to fulfil abundant executive experience due to the high proportion of practical training due to the characteristics of cyber security education and training.

• 정보보호학회논문지
• /
• 제31권5호
• /
• pp.1055-1062
• /
• 2021

코로나 19의 확산으로 대면교육이 어려워지면서 이러닝 및 가상훈련의 활용이 증가하고 있다. 정보보호 교육의 경우 대응 기술을 익히는 실습이 중요하기 때문에 오래 전부터 모의 해킹과 취약점 분석 등을 가상훈련으로 지원해 오고 있다. 교육훈련 효과를 높이기 위해서는 실제 상황과 유사하게 콘텐츠를 개발하고 학습 목표를 달성하기 위한 학습 활동이 설계되어야 한다. 또한 다양한 학습 활동을 지원하는 교육훈련 시스템 품질의 우수성이 요구된다. 연구자는 비대면 교육의 핵심 요소를 고려하여 비대면 교육을 지원하는 LMS 평가지표를 개발하였으며, 이를 정보보호 교육 플랫폼에 적용하여 실무 활용성을 검증하였다.

• Asia pacific journal of information systems
• /
• 제9권4호
• /
• pp.181-201
• /
• 1999

This study presents an information security level index and a quantification scheme. A comprehensive survey on previous researches in information security checklists has been performed. A candidate indicator list for information security level has been developed, Desirability of each indicator has been tested by 4 criteria, They are general validity, relative importance, probability of accident and impact of accident. 67 experts' opinion has been collected and analysed. The result shows that selected indicators are a very good candidate set for the determination of information security level. A factor analysis shows indicators are well structured. There exists strong correlation between validity and probability, validity and impact, and importance and probability. A quantification scheme of information security index has been developed by experts' judgement and statistical tests.

• 디지털산업정보학회논문지
• /
• 제5권4호
• /
• pp.109-116
• /
• 2009

In the paper, we designed an automatic security diagnostic evaluation System(SeDES) based on a security diagnostic evaluation model(SeDEM) for an organization's security assurance. The SeDEM evaluates a security level of an organization quantitatively by a security evaluation formula which is composed of security variables and security index as applying the statistical CAEL model for evaluate risk level of banks. The SeDES has a good expandability as changing security variables according to an organization scale, characteristics and so on. And it also has a excellent usage because it inputs only numeric data got from statistical technique to security index. We can understand more a security level correctly than the existent risk assessment system because it is possible to assess quantitatively with an security grade as well as score. analysis.

• 정보보호학회논문지
• /
• 제15권1호
• /
• pp.87-97
• /
• 2005

안전한 인덱스 검색 프로토콜은 검색어에 대한 트랩도어를 사용하여 암호화된 문서의 인덱스를 검색하는 것이다. 그것은 비 신뢰적인 서버 관리자에게 검색어를 드러내지 않고 검색하여 고 결과 외엔 문서에 관한 어떤 정보도 알 수 없게 하는 것이다. 무수히 많은 안전한 검색 프로토콜들이 제안되어져 왔으나, 이것들은 단지 개인 사용자와 서버와의 검색 과정만을 고려하였다. 그러나 실제로 계층적인 부서가 많은 기업이나 그룹과 간은 조직체들은 그룹의 공유 문서에 대한 검색 환경이 더 많이 요구되어진다. 따라서 이 논문에서는 그룹 키가 새로이 갱신되었을 때 기존 문서의 재 암호화 없이도 검색 가능한 안전한 인덱스 검색 프로토콜을 제안한다.