As the organizations become more dependent on information system (IS), IS security becomes more important. Nonetheless, the risk management methodology or tool for Korea is absent although the risk management is basic process for IS security. This thesis attempts to develop the conceptual framework of the Korea-specific risk management system. Although this system framework remains in conceptual level, it can be the guideline to future development of risk management system in Korea. For the theoretical background of the system framework, the contingency model for threat identification is presented and validated. This model suggests the relation of the organizational context variables to the importance of threats. In order to test the possibility of applying CBR technique to risk management system, CBR experiment is performed. The hit ratio of CBR experiment is about 60%. This result shows that CBR technique can be applied to risk management area. The risk management system framework is developed on the basis of the contingency model and CBR experiment. This system framework follows the traditional risk management process. Nevertheless, each stage of the system uses various techniques: CBR, rule-based system and checklist method.

최근에는 어느 조직을 살펴 보더라도, 정보 시스템에 대한 의존도가 높아지고 있다. 이에 따라, 정보 시스템의 보안이 중요한 사항으로 대두되고 있는 실정이다. 하지만, 위험 관리가 정보 시스템의 보안을 위한 기본적인 절차임에도 불구하고, 국내에서는 위험 관리에 대한 방법론이나 도구가 개발되어 있지 않다. 본 논문에서는 한국 상황에 적합한 위험 관리 시스템의 개념적 틀을 제시하고 있다. 이 틀이 개념적인 수준에 머무르고 있기는 하지만, 한국에서의 위험 관리 시스템을 개발하는데 있어서의 지침이 될 수 있으리라 생각한다. 본 논문에서는, 시스템의 틀에 대한 이론적 배경으로, 위협 규명에 대한 상황 모형을 제시하고 있다. 이 상황 모형을 통하여 각 조직의 상황 변수와 위협의 중요도간의 관계를 규명할 수 있다. 또한, 사례 기반 추론이 위험 관리 시스템에 적용될 수 있는지를 조사하기 위하여, 사례 기반 추론에 대한 실험이 수행되었다. 이 실험의 결과, 사례 기반 추론을 이용하여 위협의 중요도를 측정하는 적중률이 약 60% 정도 되었다. 이러한 결과는 사례 기반 추론 기법이 위험 관리 분야에 적용될 수 있음을 나타내고 있는 것이다. 이러한 상황 모형과 사례 기반 추론에 대한 실험을 바탕으로 하여, 위험 관리 시스템에 대한 개념적 틀이 개발되었다. 이 틀은 일반적인 위험 관리의 절차를 그대로 따르고 있지만, 시스템의 각 단계에서는 사례 기반 추론 및 규칙 기반 시스템, 체크리스트 방법 등의 다양한 방법을 사용하고 있다.