Every company continually strives to develop a reliable information system in order to achieve a competitive business environment through the establishment of information security. Thus it is critical to properly evaluate current information security levels of companies to improve their information security levels. In this paper, we consider differences in the importance of the security index or control items that represent the index, depending on the industry or business of each company. We aim to develop proper security indexes weighted toward issue areas of financial institutions. In order to get the proper weighting for the indexes, first, we use each financial institution`s list of vulnerable points produced by identifying asset values, threats and analyzing vulnerabilities. In addition, we extract a standardized control list to develop the specific priorities the control areas. Therefore, the weight that is suitable for financial institutions is set from the assigned priority. After setting the weight, for the purpose of a case study, the information security level of a certain financial institution is evaluated based on BS7799, and these weights are applied. In conclusion, control countermeasures focus on areas such as personnel security, security policy and access control, and the weights are 30.5%, 17.8% and 15.2% respectively. The implication is that almost all financial institutions might need to make an effort to improve their security levels, especially in these areas.

정보 보호는 시스템의 신뢰성을 확보하고 경쟁력 있는 비즈니스 환경을 조성하기 위해 요구되는 최우선 과제이며, 이를 위해 각 기업에서는 많은 노력을 하고 있다. 기업의 취약한 분야를 파악하고, 지속적으로 관리하여 기업의 정보보호 수준을 향상시키기 위해서는 먼저 현 상태의 정보 보호 수준을 정확히 측정 해야 한다. 본 연구에서는 정보 보호 수준 평가 시 산업 혹은 기업의 비즈니스에 따라 중요시되는 정보보호 지표, 혹은 지표를 나타내는 통제 항목의 중요도 간에 차이가 발생할 수 있음을 고려하였다. 즉, 정보보호 수준을 평가하는데 있어, 지표에 대한 일반적인 가중치를 적용하는 것이 아닌 금융기관에서 이슈가 되는 영역에 더 높은 가중치를 갖는 측정 지표를 도출하고자 한다. 연구 방법은 다음과 같다. 먼저 금융기관 각 각에 대해 자산식별, 위협파악 및 취약성 분석을 통하여 얻은 해당 기관의 취약성 목록을 이용한다. 각 기관의 취약성 목록에서 자산 별 위험 완화를 위해 사용되는 통제 목록을 도출하여 BS7799에서 제시하는 통제 항목들로 표준화 하고, 종합하여 가장 많이 사용되는 통제 항목의 순으로 우선 순위를 파악한다. 각 기관의 통일된 용어로 정리된 통제 항목 결과들을 토대로 금융 산업의 주요 통제 영역들을 설정하고, 가중치를 부여하여 금융 기관에 특화된 정보보호 수준 계량화 지표를 도출 한다. 또한, 실제 금융기관에 대한 정보보호 수준을 BS7799를 기반으로 평가 한 뒤, 가중치 적용 전과후의 차이에 대해 알아본다. 금융기관에서 가장 취약한 부분으로 판단 되어, 통제 대책이 집중되는 영역은 인적 보호(30.5%), 정보 보호 정책(17.8%), 접근 통제(15.2%) 영역이다. 최근 금융기관의 취약성 목록들을 살펴본 결과 이를 완화 시키기 위해 보완 되어야 할 통제 대책들이 위의 3가지 영역에 집중 되어 있다고 볼 수 있다. 즉, 가장 리스크가 큰 부분이 인적 보호(사람 관리)에 관한 영역이며, 두 번째가 정보 보호 정책/절차와 같은 지침의 수립 및 공유 부분의 취약, 세 번째가 접근 통제 영역으로 연구 결과 분석 되었다.