IT Consulting

주요 정보보호실행기준들의 구조 및 특징

신수정/넷시큐어테크놀로지 컨설팅본부장(sjs1234@netsecuretech.com)

연재제목: 정보보호 실행 및 관리 체계의 구조 및 적용방안

1회: 주요 정보보호실행기준들의 구조 및 특징

2회: 정보보호 위험관리 체계의 적용현실 및 대안

3회: IT아웃소싱 구조하에서의 보안체계의 수립방안

4회: 정보보호 아키텍쳐 수립방안

5회: 정보보호 체계수립을 위한 컨설팅의 활용방안

주요 정보보호 실행기준들의 구조 및 특징

- 넷시큐어 컨설팅본부장 : 신수정

국내의 많은 기업들이 이제 보안에 대한 중요성을 충분히 인식하고 나름대로 기업에서 정보보호를 적용하고 실행할 수 있는 방안들을 모색하고 있다.
이에 따라 취약성을 분석하거나, BS7799를 적용하거나, 모의 해킹 등 컨설팅을 받아보거나, 방화벽 등 다양한 보안시스템을 구축하기도 한다.
그러나 이러한 활동후에도 여전히 다음과 같은 고민과 질문을 제시한다.
'과연 이것으로 정보보호 활동이 충분하게 이행된 것인가?', '도대체 정보보호를 제대로 한다는 것이 무엇인가?'
이러한 고민이 드는 큰 이유들중 하나는 '정보보호 실행'을 아직도 단편적인 관점에서 이해하고 접근했기 때문이다.
그러므로 기업이 정보보호의 실행과 관리를 분명하게 수행하기 위해서는 무엇보다도 먼저 정보보호의 기획, 설계, 실행, 관리에 대한 체계를 거시적으로 바라보고 이해하는 것이 필요하다.

필자는 이러한 인식하에 정보보호컨설팅 경험과 지식을 기반으로 실행의 관점, 위험의 관점, 아웃소싱의 관점, 기술의 관점 등 몇 가지 관점에서 정보보호 실행 및 관리 체계에 대한 구조들을 정리해보고, 이에 대한 적용과 문제점에 대해 논의해보려 한다.
이 연재의 초점은 정보보호관리자나 IT관리자들로 하여금 기업의 정보보호 체계를 수립하고 이를 적절히 실행, 관리하기위해 필요한 몇 가지 그림들을 보여주려 함이다.

1. 개요

일반적으로 정보보호관리는 평가-> 대책설계 및 계획수립 -> 이행 -> 모니터링 및 유지보수의 프로세스를 따르게 된다.
이러한 프로세스는 사실 '정보보호'에만 국한되는 것이 아니라 일반적으로 모든 영역에 공통적으로 적용된다.
어느 분야이든 현 상태를 개선하고 당면한 문제들을 해결하기 위해서는, 먼저 현상태를 잘 평가하여 이에 따른 문제점을 도출하고, 이러한 문제점을 해결할 수 있는 대책을 선정하여 이를 이행할 수 있는 계획을 수립하고, 이를 이행하고 이행의 효과성, 변경 등을 모니터링하고 관리하는 프로세스를 밟는 것은 자명하다고 할 수 있다.

이 들 프로세스 중 어느 프로세스가 가장 중요한 가에 대해서는 논란의 여지가 있지만 당연히 가장 기반이 되는 것은 '평가' 프로세스이다.
현상태에 대한 적절한 평가가 이루어지지 않은 상태에서 이에 따른 후속 계획이나 관리 과정이 제대로 이루어질 수 없다.
그러므로 이러한 '평가'의 과정을 어떻게 객관적이고 효과적으로 수행하는가가 정보보호관리의 첫번째 성공요소라 할 수 있을 것이다.
특히 '정보보호'의 경우 이러한 '평가'의 과정이 '위험'과 결합되어, 기준에 따른 단순한 Gap분석평가가 아닌, 몇 가지의 요소가 복합된 '위험평가'의 과정을 거치게 된다.

이때 이러한 평가 수행시 고려되어야 될 기본적인 요소는 평가의 '기준'을 무엇으로 할 것인가이다. 현상태의 문제점이나 취약성을 도출해내기 위해서는 무언가 비교할 '기준' 이 필요하다.
이러한 기준은 세부 기술적인 영역에서부터 전반적인 관리의 영역에 걸쳐 다양하게 존재할 수 있다. 또한 정부기관, 벤더들, 컨설팅기관 등 다양한 주체들에 의해 제시될 수 도 있다.
그러나 어떤 경우든 모든 정보보호 영역에서의 '절대적인' 기준이란 존재하기 어렵다.
'절대적'이란 이렇게 해야 정보보호가 완벽하게 이루어진다는 의미인데 우선 정보보호에서는 '완벽'이라는 것이 존재하기 어렵고, 또 '완벽'이라는 것이 존재할지라도 그 적용성 측면에서 반드시 바람직하지 않을 수 있으므로, 일반적으로 이 기준은 'best practices' 또는 'good practices' (㈜ 이하 '실행기준'과 'best practices'등을 혼용하여 사용함. 물론 '실행기준'과 'best practices'에는 의미차이가 있음. '기준'은 'must'적인 의미가 존재하나 'best practices'는 'should'의 의미가 존재함. 그러나 본 글에서는 이 차이를 세부적으로 구별하지 않음 )형태로 제시될 수 밖에 없다.

물론 이러한 기준은 '평가' 단계의 평가지표로 사용되지만, '대책설계 및 계획수립' 단계에서도 활용된다.
즉 평가단계에서는 일반적으로 'GAP'을 도출하기 위한 도구로 사용되고, 대책설계 및 계획수립 단계에서는 적절한 대책을 선택하고, 설계하기 위한 방안으로 사용된다.

이러한 관점에서 기업에서 체계화된 'best practices' 또는 'good practices' 를 참고하고 이를 숙지하여 적용해보는 것은 정보보호관리의 실행에 있어서 상당히 의미있는 활동이라 할 수 있다.
본 글에서는 이를 위해 전사적인 정보보호의 평가 및 대책수립시 적용할 수 있는 주요 '실행기준' 을 검토해보고 그 구조와 특징을 간략히 요약하고 비교해 보려 한다.

2. 다양한 기법/프레임웍들 속에 포함된 '정보보호실행기준'

전술한 바와 같이 '정보보호실행기준'은 다양한 형태로 존재하며, 다양한 주체에 의해 제시되고 있다. 그러나 이 글에서는 전사적으로 적용해볼 수 있고, 대중적으로 사용되는 몇 가지의 '실행기준' 들에 국한한다.
본 글에서 비교해보려고 하는 '실행기준'들은 BS7799, OCTAVE, NIST, VAF, IPAK, COBIT에서 제시되는 'best practices' 또는 '평가질문서' 등이다.
이때 주의할 것은 위에 언급한 기법이나 프레임웍들 자체는 서로 비교될 수 있는 선상에 있지않다는 것이다.
예를 들면 OCTAVE나 VAF는 상세한 위험평가 방법론이며, IPAK은 간단한 체크리스트 중심의 평가기법이고, BS7799는 관리인증체계이다.
그러므로 그 기본적인 구조안들 자체를 동일선상에서 비교하는 것은 어리석은 일일 수 있다.
단지 본 글에서는 그 구조안들 속의 일부분 또는 전체로 제시되고 있는 '실행기준' 만을 뽑아서 비교하려는 것이다.

(1) BS7799(ISO/IEC 17799)
현재 보안관리체계 구축 및 인증의 '바이블'처럼 사용되는 것이 BS7799이다.
BS7799 제1부는 10개 주요 분야의 127개의 통제 항목으로 구성되어 있으며, 현재 사용되고 있는 정보보호 'best practices'들을 제시한다.
10개의 주요분야는 보안정책, 보안조직, 자산분류와 통제, 인적보안, 물리적 및 환경적보안, 통신 및 운영관리, 접근통제, 시스템 개발 및 유지보수, 업무연속성계획, 준수이다.
제2부는 정보보호관리시스템(Information Security Management System; ISMS)에 대한 표준적인 명세이다.
물론 이 표준에서 제시하고 있는 통제들 모두를 적용해야 할 필요는 없으며, 개별적인 환경적 또는 기술적 제약조건을 고려하여 선택할 필요가 있다.

BS7799는 '인증'과 연결되어 활용되지만, 광범위하고 총체적인 Best practices들이 제시되어 있으므로 컨설턴트나 정보보호관리자들은 이 best practices들을 '정보보호 실행기준'으로 활용하여 기업의 정보보호의 수준평가의 도구로 활용한다. 평가를 위해 BS7799를 구체적으로 어떻게 활용할 것인가에 대해서는 평가자에 따라 다양하지만, DISC PD3003에서는 BS7799를 활용하여 자체적으로 평가할 경우 통제항목들의 준수에 대해서 Yes, No, Partly로 평가하는 방안을 보여주고 있다.

그러나 실제 BS7799의 'best practices'를 활용하여 평가 체크리스트를 도출하고 적용하는 것이, 전문가에 의해서가 아닐 경우에는 용이하지 않다는 단점이 존재한다.
그 한 가지 이유는 어떤 분야에는 너무도 많고 세부적인 내용들이 제시되어있고, 어떤 분야에는 상대적으로 너무 광범위한 내용만 기술되어 있다는 것이고, 또 한가지 이유는 10개의 주요분야에 대한 분류 및 그 하위 분류들이 과연 기업에 적용하기 명확하고 적합한가라는 것 때문이다.

(2) OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)
OCTAVE는 정보보호위험을 평가하고 이에 따른 계획을 수립하는 방법론으로 카네기멜론의 SEI(Software Engineering Institute)의 프로그램으로 개발되었다.
1999년 1.0버전에서 발전하여 현재 2.0 버전이 출간되어 있다. 기본적으로 OCTAVE에서는 조직적 및 기술적인 보안 이슈들을 정의하고, 조직의 정보보호필요에 대한 총체적인 대책을 설계하기 위해 3단계의 접근법을 사용한다.
1단계는 '자산에 기초한 위협 프로파일을 구축하는 단계'이다. 이 단계는 '조직' 관점의 평가 단계로, 조직에 핵심적인 자산을 정의하고, 현재 이 자산들을 보호하기 위해 수행되고 있는 활동들을 파악하게 된다.
2단계는 '인프라의 취약성을 정의하는 단계'이다. 이 단계는 '정보 인프라' 관점의 평가 단계로, 핵심 자산들에 대한 기술적 취약성들을 파악하게 된다.
3단계는 '보안전략 및 계획을 개발하는 단계' 로, 이 단계에서는 기업의 핵심자산들에 대한 위험을 정의하고 이러한 위험에 대응하는 전략과 방안을 도출하게 된다.

OCTAVE 방법론에서 '실행기준'에 해당될 수 있는 것은 'Catalog of practices'라 불리우는 내용이다. 이 'Catalog of practices'은 '전략적' 과 '운영적'의 두 가지 형태로 나뉜다.
전략적 실행은 정책레벨에서의 조직적인 이슈에 초점을 맞추며 모범적이고 일반적인 관리 실행을 제시한다.
운영적 실행에서는 반대로 어떻게 사람들이 기술을 사용하고, 보호하고, 다루는지에 대한 기술적 이슈에 초점을 맞추게 된다.

OCTAVE의 '실행기준'의 구조를 요약하면 표1 과 같다.

데이터 소스 기반	Operational practices
SP1. Security awareness & training SP2. Security strategy SP3. Security Management SP4. Security policies & regulations SP5. Collaborative security management SP6. Contingency planning/Disaster recovery	OP1. Physical security OP2. Information Technology Security OP3. Staff security

<표 1> OCTAVE Catalog of practices

표에서 확인할 수 있듯이 '전략적 실행'은 보안인식 및 훈련, 보안전략, 보안관리, 보안정책 및 규칙, Collaborative 보안관리, 비상계획/재해복구의 6개의 영역으로, '운영적 실행' 물리적보안, 정보기술보안, Staff 보안의 3개의 영역으로 나뉘어져 있다. 각 영역아래 세부적인 실행 기준안들이 제시되어 있다.

다른 부분들은 제목만 보아도 쉽게 이해할 수 있지만 몇 가지 이해하기 어려운 영역만 언급하면 '보안관리(Security Management)'부분은 경영층의 자원할당, 보안책임 및 역할, 보안위험관리, 주기적인 보안검토 등을 포함하고 있으며, 'Collaborative security management'는 외부기관(제 3자, 협력자, sub계약자, 파트너 등)에 대한 보안 실행을 다루고 있다.

이 'Catalog of practices'는 구조적인 분류가 잘 되어 있고 기술적인 항목이 많이 반영되어있다.
그러나 세부 내용들이 포괄적인 부분이 많아 전반적인 평가용으로는 사용하기에는 적합하지만, 세부적인 평가용으로는 약간의 한계가 존재한다.

(3) IPAK(Information Protection Assessment Kit)
IPAK은 OCTAVE와 달리 어떤 방법론 체계가 아니고 CSI에서 발간된 단순한 self-assessment Kit이다.
IPAK에서는 10개의 영역에서 각 20 여개의 체크리스트 형태의 실행기준들을 제시하고 이를 통해 각 기업에서 가중치(3단계)를 부여하고, 준수도(Poor에서 Excellent까지 5단계)를 평가하여 전반적인 정보보호실행 평가점수를 도출할 수 있도록 하고 있다.

IPAK의 '실행기준' 영역은 다음과 같다.
- 정보보호프로그램 및 관리(Information Protection program and administration)
- 인사정책 및 실행(personnel policies and practices)
- 물리적 보안(physical security)
- 업무 프로세스 통제(Business process controls)
- 백업 및 복구 측정(backup & recovery measures)
- 최종 사용자 통제(End-user controls)
- 네트웍 보안 통제(Network security controls)
- 인터넷 보안 통제(Internet security controls)
- 웹 보안 통제(Web security controls)
- 통신 및 원거리 접근 보안 통제(Telecommunications & remote access security controls)

세부 체크리스트에는 핵심적이고 실제적인 내용들이 포함되어 있어 짧은 시간내에 주요 실행항목들의 내용들을 파악하게 할 수 있는 잇점이 존재하지만, 대 영역내에 세부영역들이 분류되어 있지 않고, 'Business process controls'란 흔히 사용치 않는 영역내에 보안관리적인 내용들이 파상적으로 포함되어 있어 전반적인 정보보호실행체계의 기준으로 활용하기에는 무리가 있다.

(4) NIST Self-Assessment Guide
NIST의 자체평가지침은 자체적인 정보보호 assurance를 위한 방법으로 제시되고있다.
여기서 정보보호 assurance란 관리적, 기술적, 운영적 보안대책들이 의도된대로 시스템과 정보를 보호하고 있는지에 대한 확신의 정도를 의미한다.
이 지침에는 시스템의 보안을 측정할 수 있는 세부적인 통제목적과 기법들을 포함하는 질문서들을 보유하고 있고 이것이 '실행기준'에 해당한다고 볼 수 있다

이 질문서는 아래의 표와 같이 3개의 영역 및 영역아래 17개의 주제로 구성되며, 각 주제 하에 세부항목이 존재한다.
각 항목에 대한 준수는 Level 1(문서화된 정책)에서 Level 5(완전히 통합된 절차 및 대책들)까지의 5단계로 나누어 평가하도록 제시되어 있다.

Management Controls	1. Risk Management 2. Review of security control 3. Life cycle 4. Authorize processing 5. System Security plan
Operational Controls	6. Personnel security 7. Physical security 8. Production, I/O Controls 9. Contingency planning 10. HW and Systems SW maintenance 11. Data Integrity 12. Documentation 13. Security awareness, training, and education 14. Incident response capability
Technical Controls	15. identification & Authentication 16. Logical access controls 17. audit trails

<표2> NIST의 Self-Assessment 질문서 구조

그러나 이 지침은 전반적인 조직보다는 '단일 또는 그룹핑된 시스템'을 평가하는데 초점을 맞추고 있으므로 전체적인 조직의 보안실행평가 보다는 특정 시스템의 보안실행평가에 활용하는 것이 효과적이다.

(5) VAF(Vulnerability Assessment Framework)
VAF는 미국의 기반보호법과 관련하여 1998년 KPMG에서 개발된 취약성 평가 방법론이다.
기본적인 평가 방법론은 3단계로 구성되어 있다.
1단계에서는 조직의 주요 인프라를 정의하고, 2단계에서는 주요 인프라에 대한 취약성 평가를 위한 데이터를 수집하며, 3단계에서는 취약성을 분석하고 우선순위화 한다.
이 방법론에서도 조직 및 시스템의 보안취약성을 평가하기 위해 평가영역 및 세부 항목들을 제시하고 있다.
이 영역 및 항목들이 '실행기준'에 해당한다고 볼 수 있다.

평가영역은 다음과 같다.
-Entity-wide security: 위험을 관리하고, 보안정책을 개발하고, 책임을 할당하며, 보안대책의 적정성을 모니터링하는 프레임웍 및 활동
-Access Control: 자원들에 대한 접근을 제한하고, 감지하여, 자원을 보호하는 절차와 대책
-segregation of duties: 한 개인이 물리적, 컴퓨터 관련 운영 등의 주요사항을 독단적으로 통제하는 것을 막아, 자원들에 대한 불법적인 접근이나 행동을 수행하지 못하도록 하는 정책, 절차 및 조직구조
- continuity of service & operations: 기대하지 않은 문제들의 발생시, 적절한 비상계획등 을 통해 서비스나 운영이 방해 받지 않거나 속히 문제로부터 회복하여, 주요 데이타가 보호될 수 있음을 보증하는 통제
- Change control & life cycle management: 허가받지 않은 프로그램이나 기존 프로그램의 수정이 이행되는 것을 방지하는 절차와 대책
- System software: 기존의 통제를 우회할 수 있는 시스템 파일이나 프로그램에 대한 접근을 제한하거나 모니터링하는 통제

VAF의 경우 change control & life cycle management 등의 영역의 세부내용을 검토하면 쉽게 파악할 수 있겠지만, 다른 방법과 달리 일반적인 프로그램 개발 및 관리 부분에 대한 통제가 상당히 많은 부분을 차지하고 있다.
VAF에서는 다양하고 구체적인 항목들을 제시해놓았으나, 세부 분류체계가 혼란스럽다는 단점이 있다.

(6) COBIT(Control Objectives of Information related Technology)
COBIT은 ISACA에서 개발된 정보기술의 높은 통제 목적을 달성하기 위한 관리도구로서, 전사적 정보시스템의 통제에 적용할 수 있는 Best practices들이 제시되어 있다.
COBIT은 전체적으로 4개 영역의 34개 프로세스로 구성되어 있으며, 이 중 정보보호와 직접적으로 관련된 프로세스는 DS5 Ensure Systems Security이다.
그 외 정보보호와 많은 관련이 있는 프로세스는 PO9 Assess Risks, AI6 Manage changes, DS4 Ensure continuous services, DS11.0 Manage Data, DS12.0 Manage Facilities 등이라 할 수 있다. 물론 다른 프로세스들 내에도 정보보호에 관련된 사항들이 조금씩 포함되어 있다.

COBIT이 제시하고 있는 프로세스들의 통제항목 및 'best practices'들을 '정보보호실행기준'으로 활용할 수는 있겠지만, 불행히도 COBIT은 '정보보호'에 초점을 맞춘 프레임웍이 아니므로 적용에 한계가 존재한다.
즉 COBIT은 IT 전반적인 평가 및 대책수립의 틀로 활용하기에는 바람직하지만, 정보보호부분은 여러 곳에 산재되어 있어, COBIT을 활용해서 정보보호에 관한 부분만을 평가, 측정한다는 것은 무리가 있다.

(7) 기타 국내 기준들
국내에서는 정보보호관리체계나 실행기준들이 'best practices' , 프레임웍, 방법론 형태로 제시되기 보다는, 정부기관들을 중심으로 '규정'형태로 제시되어왔다.
그러므로 이러한 '규정' 들은 기업의 전반적인 정보보호관리체계하에서 세부적인 항목들에 대한 기준안들을 제시하기 보다는, 전산실, 전산자료, IDC센터, 바이러스, PC 등 특정 보호 대상을 중심으로한 세부 통제항목에 초점을 맞추었다.
그러나 최근 KISA의 주도하에 '정보보호관리기준'이 제시되어 그 내용들을 실행기준으로 활용할 수 있다. 이 기준의 형태는 'BS7799'와 유사하다.

3. '정보보호실행기준' 들의 비교

먼저 위에서 언급한 주요 기법/프레임웍들의 특징을 비교 요약해보면 다음의 표와 같다.

과목	OCTAVE	VAF	BS7799	IPAK	NIST
유형	평가방법론	평가방법론	관리체계 및 실행안	평가도구	평가지침
대상	조직전반	조직전반	조직전반	조직전반	시스템
실행기준	' catalog of practices'	'questionnaire'	Best practices(Part 1)	'questionnaire'	'questionnaire'
측정	Yes, No, Don't Know		Yes, Partly, No	5단계 (Poor -> Excellent)	5단계 (문서화된 정책 -> 통합된 대책)

<표3> 주요 기법/프레임웍들의 비교

다음의 표에서는 각 기법/프레임웍 들에서 제시하고 있는 실행기준들의 구조들을 비교해보았다.
효과적인 비교를 위해 필자는 정보보호관리를 위한 17개의 분야를 설정하고, 이 관점에서 각 실행기준의 주요 분야들을 비교해보았다.
표를 보면 독자들은 각 실행기준들의 구조적 강조점 또는 취약점 등을 대략적으로 파악할 수 있을 것이다.

과목	분야	BS7799	NIST	IPAK	OCTAVE	VAF
1	Security Awareness & Training		13. Security Awareness, Training and Education	1. Information Protection program and administration 6. End-user control	1-1. Security Awareness & Training	1. Entity -wide security
2	Security Planning		5. System security plan		1-2. Security Strategy	1. Entity -wide security
3	Security Organization	2. Organizational security			1-3. Security Management	1. Entity -wide security 3. Segregation of duties
4	Security Policy & Documentation	1. Security Policy	12. Documentation		1-4. Security Policy & Regulations	1. Entity -wide security
5	Contingency Planning		9. Contingency Planning	5. Backup & recovery Measures	1-6. Contingency Planning/ Disaster Recovery	4.Continuity of services & operations
6	Risk Management		1. Risk Management		1-3. Security Management	1. Entity -wide security
7	External-Party Security Management	2. Organizational security			1-5. Collaborative Security Management	1. Entity -wide security
8	Incident Response & Management		14. Incident Response Capability	6. End-user Control	2-3. Staff Security	1. Entity -wide security
9	Human Resource Security	4. Personnel Security	6. Personnel Security	2. Personal Policy & Practices	2-3. Staff Security	1. Entity -wide security
10	Physical Security	5. Physical & Environmental Security	7. Physical Security	3. Physical security	2-1. Physical Security	2. Access Control
11	Asset Classification	3. Asset classification & Control				2. Access Control
12	Change Control & Life-Cycle Security	6. System Development & Maintenance	3. Life Cycle 8. Production, Input, Output Control 10. HW & Systems SW Maintenance	4. Business Process Control
13	System & Network Management	6. Communication & Operation Management	11. Data Integrity	7. Network Security8. Internet Security9. Web Security10. Telecom Security	2-2. IT Security (System & Network Management)	2. Access Control
14	Access Control	7. Access Control	15. Identification & Authentication 16. Logical Access Control		2-2. IT Security (Authentication & Authorization)
15	Encryption			4. Business Process Contro	2-2. IT Security (Encryption)	2. Access Control
16	Vulnerability Management				2-2. IT Security (Vulnerability Management)
17	Review, Monitor & Audit	10. Compliance	17. Audit Trail 2. Review of security Control 4. Authorize Processing	4. Business Process Control	2-2. IT Security (Monitoring & Auditing)	2. Access Control 3. Segregation of duties

<표4> 실행기준들의 비교

4. 결론

본 글은 몇 가지 대중적인 기법/프레임웍 들 안에 포함되어 있는 'good practices' 또는 'best practices'들을 '실행기준'의 관점에서 그 특징을 살펴보고 구조를 비교해보았다.
불행히도 본 글은 논문이 아니므로 세부적인 내용까지 분석하려 하지 않았다.
단지 본 글을 이러한 내용들을 포괄적으로 알지 못하는 독자들을 대상으로 입문을 제시하여, 이를 통해 세부 내용들을 조금 더 검토하기를 권고하는 목적에서이다.
그러므로 어느것이 대상 기업에 적합하다는 판단은 독자들이 세부내용을 검토한 후에 할 수 있을 것이다.
물론 가장 좋은 방법은 여러 곳에 흩어져 있는 장점들을 추출하여 종합해보는 것이다.
이러한 작업이 용이하지는 않지만 숙련된 보안관리자들이나 컨설턴트들이라면 시도해 볼 충분한 가치가 있을 것이다.

참고문헌

Carnegie Mellon, OCTAVE Method Implementation Guide Version 2.0, 2001
BSI, Information security management Part1, 2, 1999
DISC, PD3003 Are you ready for a BS7799 audit?, 1999
CSI, IPAK, 1997
KPMG, Vulnerability Assessment Framework 1.1, 1998
NIST, Security Self-Assessment guide for Information Technology Systems, 2001
ISACA, COBIT III, 2000
NWS, Information security guideline for NSW Government Agencies, 2001
KISA, 정보보호관리기준, 2001