초록 열기/닫기 버튼
IT제품 및 시스템 획득에 대한 기준 및 체계를 마련한 안전한 정보보호시스템을 구축하고 있다. 국내에서는 국외 획득체계와 유사한 체계와 유사한 체계를 가지고 있으나 각 제도 간 상호연관관계 및 정보보호시스템 획득 단계에서 각 제도에 대한 활용 및 체계가 미흡하여 제도 자체에 대한 중복평가 등의 문제점이 발생하고 있다.본 논문에서는 중복평가 등의 문제점을 해결하기 위해서 첫째, 국내에서 시행중인 암호검증제도, 정보보호시스템 평가제도, 보안성검토제도를 각각 분석하였다. 둘째, 미국의 획득체계인 DITSCAP 및 국방 IA 조달 가이드 등을 분석하였고, 기타 주요국들의 정보보호시스템 획득체계를 분석하였다. 셋째, 획득체계에서 근간이 되는 ISO/IEC에서 작업 중인 운영시스템에 대한 보안성 평가와 System CC/CEM 등에 대해 분석하였다. 마지막으로, 이와 같은 분석을 바탕으로 정보보호시스템 획득체계 모델을 제안하였다.주요용어 : 정보보호시스템, 인증서, 정보보호, 획득체계, 평가기준.
Recently, a secure information security system has been implemented with criteria and organization for acquisition of IT products and systems. Korea has the acquisition organization like foreign countries. But it is not enough to apply the criteria and organization in phase of mutual relation and acquisition of information security system. Also there is a problem of overlapping evaluation for system itself.In this paper, for solving the problem of overlapping evaluation, first of all the verification system of cryptography/security and the evaluation system of information security system were analyzed. Secondly the DITSCAP and IA of supply guide of USA was analyzed, and the acquisition organization of information security system of the other principle countries was analyzed. Third the security evaluation and system CC/CEM for the operating system under ISO/IEC were analyzed. Lastly a model of the acquisition organization of the information security system based on these analyses was proposed.
키워드열기/닫기 버튼
Information Security System, Acquisition organization, Evaluation Criteria, Certificate.
