º¸¾È ¸ÅÆ®¸¯½º´Â º¸¾È°ü·Ã µ¥ÀÌÅ͸¦ ¼öÁý, ºÐ¼®, º¸°í¸¦ ÅëÇØ °áÁ¤À» ³»¸®°í,¼º´É°ú ÃßÀûÀ» °¡´ÉÇÏ°Ô ÇÏ´Â µµ±¸
º¸¾È ¸ÅÆ®¸¯½º´Â º¸¾È°ü·Ã µ¥ÀÌÅ͸¦ ¼öÁý, ºÐ¼®, º¸°í¸¦ ÅëÇØ °áÁ¤À» ³»¸®°í, ¼º´É°ú ÃßÀûÀ» °¡´ÉÇÏ°Ô ÇÏ´Â µµ±¸ÀÌ´Ù. ¹Ì±¹Àº ´©±¸³ª ½º½º·Î º¸¾ÈÀ» ÇÒ ¼ö ÀÖµµ·Ï Çϴ ü°è¸¦ °®Ãß°í ÀÖÀ¸¸ç, ÀÌ¿¡ ´ëÇÑ ÀÎÁõÀýÂ÷µµ Á¦°øÇÏ°í ÀÖ¾î º¸¾È ¸ÅÆ®¸¯½º¸¦ Áß¿äÇÏ°Ô »ý°¢ÇÏ°í ÀÖ´Ù.
¿ì¸®³ª¶ó¿¡¼ ¾ÆÁ÷Àº »ý¼ÒÇÑ º¸¾È ¸ÅÆ®¸¯½ºÀÌÁö¸¸ ÀÌ¿¡ ´ëÇÑ °¡À̵带 ¼Ò°³ÇØ Àû±Ø È°¿ëÇÒ °ÍÀ» Á¦¾ÈÇÑ´Ù. È°¿ë¿¡ ´ëÇÑ ÀÌÇظ¦ µ½±â À§ÇØ ¸ÅÆ®¸¯½º ÇÁ·Î±×·¥, ŸÀÔ, °³¹ß ÇÁ·Î¼¼½º, Àû¿ë »ç·Ê µîÀ» Á¤¸®Çß´Ù.
¹Ì±¹Àº Á¤ºÎÀÇ ÁÖµµÇÏ¿¡ IT ½ÃÅ¥¸®Æ¼ÀÇ ¼º´ÉÀ» ¿ä±¸ÇÏ°í ÀÖÀ¸¸ç, ÀÌ´Â ±ÝÀ¶ ¹× Á¤ºÎ±â°üÀÇ ¿ä±¸À̱⵵ ÇÏ´Ù. ÇÏÁö¸¸ ¹Ì±¹¿¡¼´Â ÀϹÝÀûÀÎ IT¿Í´Â ´Ù¸£°Ô Á¤º¸º¸¾È ºÐ¾ß´Â Clinger-Cohen Act, Government Performance and Results Act(GPRA), Government Paper Elimination Act(EPGA), Federal Information Security Management Act(FISMA) µîÀÌ ÀÖ´Ù.
»ç½Ç ±¹³»¿¡¼µµ ÁÖ¿ä Á¤º¸Åë½Å±â¹Ýº¸È£¹ý¿¡ ÀÇÇÑ °¢Á¾ ¾ÈÀüÁø´Ü Àǹ«È, ISMS ÀÎÁõ µîÀÇ Á¤Ã¥À» °®°í ÀÖ´Ù. ¹Ì±¹Àº ÃÖ±Ù »Ñ¸®¹Ú±â ½ÃÀÛÇÏ´Â FISMA ¹ý·ÉÀ¸·Î ¹Ì±¹Á¤ºÎÀÇ º¸¾ÈÀ» Á¡°ËÇØ °ø½Ä¹ßÇ¥ÇÏ°í Àִµ¥, ÁÖ¿ä ±¹Åä¾Èº¸ºÎ µî ÁÖ¿ä Á¤ºÎ±â°üÀÌ ¡®F¡¯, ¡®D¡¯ µîÀÇ ³«Á¦Á¡À» ¹ÞÀº ¹Ù ÀÖ´Ù.
Áö±Ý ¼Ò°³ÇÏ·Á´Â º¸¾È ¸ÅÆ®¸¯½º´Â º¸¾È°ü·Ã µ¥ÀÌÅ͸¦ ¼öÁý, ºÐ¼®, º¸°í¸¦ ÅëÇØ °áÁ¤À» ³»¸®°í, ¼º´É°ú ÃßÀûÀ» °¡´ÉÇÏ°Ô ÇÏ´Â µµ±¸ÀÌ´Ù. ÇÏÁö¸¸ ¹Ì±¹Àº ±¹Á¦ Ç¥ÁØü°è°¡ ¾Æ´Ñ BSP(Best Security Practice)¸¦ ÁÖ·Î Á¤ºÎ °ø°ø±â°ü¿¡ ÀüÆĸ¦ ÇÏ´Â ÀÔÀå¿¡¼ ´©±¸³ª ½º½º·Î º¸¾ÈÀ» ÇÒ ¼ö ÀÖµµ·Ï Çϴ ü°è¸¦ °®Ãß°í ÀÖÀ¸¸ç, ÀÌ¿¡ ´ëÇÑ ÀÎÁõÀýÂ÷µµ Á¦°øÇÏ°í ÀÖ´Ù.
ÀÌ ÀÛ¾÷µéÀº NIST SP 800-26 Security Self Assessment Guide for Information Technology System¸¦ ¸¸µé°í ¹Ì±¹ ÀÚüÀûÀÎ º¸¾È°ü¸® Ç¥ÁØ µîÀ» ½ÇÁ¦ º¸¾ÈÀ» ½ÃÇàÇϴµ¥ ÀÌ¿ëÇÏ·Á°í ÇÑ´Ù. ÀÌ ¹®¼´Â ¹Ì±¹ OMB µî°ú NIST°¡ ÇÕÃÄ ROSI (Return on Investment for Information Security) ¸¦ °³¹ßÇØ ÀûÀýÇÑ ºñ¿ë¿¡ µû¸£´Â º¸¾ÈÀ» ½Ç½ÃÇÏ·Á´Â ³»¿ëÀÌ´Ù.
Metrics ÇÁ·Î±×·¥
º¸¾È ¸ÅÆ®¸¯½º ÇÁ·Î±×·¥Àº ÇϳªÀÇ Á¶Á÷¿¡¼ <±×¸² 1>°ú °°Àº 4°³ÀÇ ¿¬°ü¼ºÀÖ´Â ±¸¼º¿ä¼Ò·Î ÀÌ·ïÁø´Ù. »ç½Ç, °¡Àå ¹Ø´ÜÀÇ °ü¸®Áö¿ø°èÃþ(Solid Upper-level Management Support)Àº °ü¸®ÀÎ, ´ã´çÀÚ ¹× ¿¹»ê µîÀÇ Áö¿øÀÌ ÇÊ¿äÇÔÀ» ¸»ÇÑ´Ù.
½ÇÁú º¸¾ÈÁ¤Ã¥ÀýÂ÷ °èÃþ(Practical Security Policy and Procedure)Àº ÀǹÌÀÖ´Â ½ÇÁúÀûÀÎ º¸¾ÈÁ¤Ã¥°ú ÀýÂ÷°¡ ÇÊ¿äÇÔÀ» º¸ÀδÙ. Á¤·®Àû ¼º´É°èÃþ(Quantifiable Performance Metrics)Àº Á¦´ë·Î µÈ ÀǹÌÀÖ´Â ¼º´É µ¥ÀÌÅ͸¦ ¼öÁý ºÐ¼®ÇØ¾ß ÇÔÀ» ¸»ÇÑ´Ù. °á°úÁöÇâÀû ¸ÅÆ®¸¯½º ºÐ¼®°èÃþ(Results-Oriented Metrics Analysis)Àº Á¤±âÀûÀÎ ºÐ¼®À» ÅëÇÑ ±³ÈÆ ¼··Æ°ú º¸¾ÈÁ¦¾îÀÇ Çâ»ó µîÀÌ ÇÊ¿äÇÏ´Ù.
Metrics ŸÀÔ
<±×¸² 2>´Â Metrics ±¸Á¶¸¦ º¸¿©Áִµ¥ ¾ÆÁÖ ¸íÄèÇÏ´Ù. º¸¾ÈÀÇ »óÅ°ËÁõÀº ¸¶Ä¡ ¹Ì±¹Á¤ºÎ°¡ ¾î¶² Á¤ºÎ±â°üÀ» ±âÁØ¿¡ ÀÇÇØ ¡®F¡¯ ÇÐÁ¡ ÁÖµíÀÌ »ó´ëÀûÀÎ Æò°¡°¡ ÇÊ¿äÇÏ´Ù. <±×¸² 2>´Â ±× ±âÁØÀ» º¸¿©ÁÖ°í ÀÖ´Ù.
·¹º§ 1¿¡¼ ·¹º§ 5±îÁö Ư¡À» º¸¸é ·¹º§ 1Àº Á¤Ã¥¸¸ ÀÖ°í, ·¹º§ 2´Â ÀýÂ÷¸¦ ´õ °®Ãß°í, ·¹º§ 3Àº ÀýÂ÷°¡ ½ÃÇè°úÁ¤ÀÌ ÀÌ·ç¾îÁ³´Ù´Â °ÍÀ̸ç, ·¹º§ 5´Â ÅëÇÕµÈ º¸¾ÈÁ¤Ã¥°ú ¿î¿µÀÌ Àß ÀÌ·ïÁö°í ÀÖÀ½À» º¸¿©ÁØ´Ù. ¶ÇÇÑ, À̸¦ ÆÇ´ÜÇϱâ À§ÇÑ µ¥ÀÌÅÍ °¡¿ë¼º, µ¥ÀÌÅÍ ¼öÁý ¾î·Á¿ò, µ¥ÀÌÅÍ ÀÚµ¿¼öÁý µîÀ¸·Î ÀßÇÏ°í ÀÖ´ÂÁö¸¦ ÆÇ´ÜÇÑ´Ù.
<±×¸² 2>ÀÇ À§¿¡ ÀÖ´Â ³ª¹«¸¦ Ç¥ÇöÇÑ °ÍÀÌ Á¤È®ÇÑ ¸ð½ÀÀ» º¸¿©ÁØ´Ù. ÀÌÁ¦ ¾¾¾ÑÀ» ½ÉÀº °úÁ¤¿¡¼ ¾î¸°³ª¹«, Á» ÀÚ¶õ ³ª¹«, °¡Áö°¡ »ª»ªÇÑ ³ª¹«, ¼º±ä ³ª¹«·Î ½£À» ÀÌ·é ¸ð½ÀÀÌ´Ù. °á±¹ ÃÖ»óÀÇ ·¹º§ 5¿¡¼´Â ºÒÇÊ¿äÇÑ µ¥ÀÌÅÍ°¡ ÅëÇÕ µîÀ¸·Î °³¼±µÇ¾î ¸Å¿ì °£ÆíÇÑ º¸¾È°ü¸® ±¸Á¶¸¦ °¡Áö´Â °ÍÀÌ´Ù.
Metrics °³¹ß ÇÁ·Î¼¼½º
°³¹ß ÇÁ·Î¼¼½º´Â ´ÙÀ½°ú °°Àº ´Ü°è¸¦ °¡Áø´Ù.
1. Stakeholders & Interests Identification : ÀÌÇØ°ü°è Á¶À²
2. Goals & Objectives Definition : ¸ñÀû Á¤ÀÇ
3. Security Policy, Guideline, Procedure Review : ¹ý·É °ËÅä
4. System Security Program Implementation Review : °³¹ß¾È°ËÅä
5. Metrics Development & Selection : Metrics ¼³°è
Metrics ÇÁ·Î±×·¥ ±¸Çö
1. Prepare Data Collection : µ¥ÀÌÅÍ ¼öÁý Áغñ
2. Collect Data and Analyze Results : µ¥ÀÌÅÍ ¼öÁý ¹× ºÐ¼®
3. Identify Corrective Actions : ´ëÀÀ¹æ¾È ¼±ÅÃ
4. Develop Business Case and Obtain Resources : Àû¿ë¹æ¾È ¼±Åà ¹× ÀÚ¿ø ȹµæ
5. Apply Corrective Actions : ´ëÀÀ¹æ¾È Àû¿ë
»ç·Ê Àû¿ë
<±×¸² 2>¿Í <Ç¥ 1>À» ¹ÙÅÁÀ¸·Î ´ÙÀ½ <Ç¥ 2>ÀÇ ÅÛÇø´ ³»¿ëÀ» Àû¿ëÇÑ´Ù. °¢ 15°³ Ç׸ñÀº NIST SP-55¿¡ °¢ Ç׸ñ¿¡ ´ëÇÑ ÅÛÇø´ Å×À̺íÀÌ ÀÖÀ¸¹Ç·Î ±×°ÍÀ» ÀÌ¿ëÇϸé Àüü ÅÛÇø´À» ¿Ï¼ºÇÒ ¼ö ÀÖ´Ù. À̸¦ ÅëÇØ Metrics¸¦ ¿Ï¼ºÇϸé ÇöÀç Á¶Á÷ÀÇ º¸¾ÈÇöȲÀÌ ³ªÅ¸³¯ °ÍÀ̸ç, ¹°·Ð ÀÌ·± ¹æ¹ýÀ» ÅëÇØ ¹Ì±¹ ±¹Åä¾Èº¸ºÎµµ ¡®F¡¯ Á¡¼ö¸¦ ¹Þ¾ÒÀ» °ÍÀÌ´Ù. º¸¾È¿¡ ´ëÇÑ Çâ»ó °èȹÀ» ¼ö¸³Çß´Ù¸é Á¤±âÀûÀ¸·Î Metrics¸¦ ¼öÇàÇÏ¸é¼ Áøôµµ¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
<±Û: ÀÓäȣ NHN º¸¾È½ÇÀå>
[¿ù°£ Á¤º¸º¸È£21c Åë±Ç Á¦80È£(info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>