정보보안 경영시스템 어떻게 구축하고 유지하여야 하나? 김려성 소프트꼬레아 저자

집중분석-정보보안 경영시스템(ISMS)Ⅱ

 

정보보안 경영시스템 어떻게 구축하고 유지하여야 하나?

 

김려성 소프트꼬레아 저자

2013년 12월 11일 검찰(창원지검)은 C 은행 및 S 은행에서 각각 3만 4천 건, 10만 3천 건의 고객정보가 대출모집인에게 대량 유출된 사실을 발표했다. K, L, N 등 신용카드 3사에서 1억 건이 넘는 개인 신용정보가 빠져나가면서 이에 편승한 사기 범죄가 우려된다고 했다. 유출 사고를 낸 3개 카드사에 접수된 카드 해지와 회원 탈퇴 신청건수, 재발급 신청건수는 2013년 12월 26일 오후 6시 현재 550만건에 달했다. 이번 달에는 경영활동에 영향을 미치는 정보 유출의 위험요인과 정보보안 경영시스템의 구축과 유지에 대해 알아보자.외부용역직원에 의해 고객정보 유출

2014년 1월 8일 검찰은 3개 카드사로부터 약 1억 4백만 건의 고객정보를 불법 유출한 외부용역직원(K 신용회사 직원)과 동 정보를 구매한 대출광고업자 및 대출모집인을 추가로 기소하였다. 정보의 유출은 금융회사가 보관중인 고객정보를 내부인 또는 외부인에 의해 USB 메모리 등에 다운로드, 복사, 사진촬영 등의 방법으로 금융회사 외부로 반출하는 일체의 행위를 의미한다. USB 메모리에 수록된 정보는 성명, 전화번호, 직장명 등 단순정보이며, 예금계좌번호, 비밀번호 등 금융거래 관련 민감 정보는 포함되지 않은 것으로 발표하였으나 2차, 3차의 연쇄 금융 사고를 우려하고 있다.

 

금융당국의 대책

금융당국은 3개 카드사가 이번 정보 유출 건에 대해 회원의 불편 및 피해를 최소화하는 등 적절히 조치하고 있는지를 지속해서 점검하고, 고객 정보 유출 사고를 계기로 금융회사의 고객정보 관리에 대해 더 근본적으로 문제점을 진단하고, 종합적이고 체계적인 개선방안을 마련하겠다고 발표했다. 정보보호관련 금융회사와 최고경영자의 책임을 강화하고 법 위반 시 처벌수준을 강화하는 내용을 포함하고 있다. 법 위반 금융회사에 대해서는 신속하게 제재 조치를 취하고 고객 정보 유출 사고를 초래한 당사자에 대해서는 형사처벌과 별도로 최고한도의 행정제재를 강화하는 안을 발표하였다.

 

정보보안 환경의 변화

정보통신 환경이 빠르게 변화하고 있다. 다양한 네트워크와 복합 단말장치를 통해서 기업의 일상적인 업무가 사이버 공간에서 지역과 시간에 상관없이 전자상거래로 처리되고 결제되고 있다. 인터넷 환경을 통해서 고객 정보가 유통되고 통합되는 과정에서 정보유출, 해킹 또는 바이러스에 노출되는 새로운 취약점들이 위험요소로 증가하고 있다. 더구나 더욱더 지능적인 웜 바이러스, 분산서비스 거부공격(DDoS) 등도 좀비 PC를 통해서 시도되고 있다. 그래서 위협과 취약성을 고려한 위험도의 등급을 올리고, 정보 자산이 손상을 입게 될 잠재적 개연성을 사전에 보호하기 위해서 정보보안 경영대책이 시급하다고 하겠다.

 

정보보안 경영시스템(ISMS)이란?

정보보안 경영시스템이란 사업상 유용한 정보나 고객 정보가 외부로 유출되는 위험에 대처하기 위한 정보보호체계를 말한다. 정보보안 경영시스템(ISMS: Information Security Management System)은 조직의 비즈니스 연속성 확보를 위하여 각종 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동이다. 따라서 정보통신망의 안정성을 확보하고 조직의 정보자산을 보호하기 위해 물리적, 기술적, 관리적 정보보안대책을 구현하고 지속해서 관리·운영하는 종합적 시스템이라 정의된다.

 

정보보안 경영시스템(ISMS)의 구축

2000년대에 접어들어 정보자산에 대한 새로운 보안위협 및 취약성이 기하급수적으로 증가함에 따라 기업들은 과거의 기술적 방법으로는 대응에 한계가 있음을 인식하고, 정보보안의 지속적인 관리를 통해 위험을 감소시키는 방안에 대해 관심을 두기 시작했다. 따라서 정보보안 경영시스템(ISMS)의 도입을 시도하고 있으며, 현재 많은 기업이 ISMS 구축에 관심과 노력을 기울이고 있다. 하지만 정보보안 경영시스템(ISMS)을 한번 구축하였다고 해서 기업에 유용한 고객 정보나 기업의 영업 정보를 계속해서 보호할 수는 없다. 정보보안 경영시스템을 계속 개선하기 위해서는 ①정보보안의 방침 및 목표수립(Plan) ②통제 프로세스의 실행(Do) ③보안요구사항의 성과 점검 및 측정(Check) ④효과성 및 효율성 증대를 위한 시정 및 예방 조치(Act)가 지속해서 반복되어야 한다.

 

정보보안 경영시스템(ISMS)의 수립

그럼 정보보안 경영시스템은 어떻게 수립하는 게 좋을까? 먼저 정보보안 경영시스템의 범위와 영역을 정의하여야 한다. 조직의 전체 업무 활동과 당면한 위험사항에 대처하고 문서로 된 정보보안 경영시스템을 수립, 설치, 운영, 감시, 검토, 유지하고 개선하여야 한다. 그리고 정보보안 경영시스템의 방침을 차례로 정의하여야 한다.

 

①목표 설정의 모델: 전체적인 방향과 원칙을 수립한다,

②보안 의무 식별: 법규 및 업무상 법적 규정사항 준수 여부(Compliance), 계약상 보안사항을 식별한다.

③조직의 전략: 조직의 위험관리 방향과 일치해야 한다.

④위험 평가 기준 수립: 위험 평가를 시행하는 세부 절차에 따라 위험 평가 기준을 구체적으로 정의한다.

⑤최고 경영자의 승인: 정보보호 관리과정, 정보보호 대책, 잔여 위험에 대해 최고경영자의 승인을 취득해야 한다.

 

위험평가 방법과 위험을 식별해야

정보보안 경영시스템을 수립하기 위해서 먼저 위험평가방법을 정의하여야 한다. 수립하고자 하는 정보보안 경영시스템의 모델, 업무의 정보보안 요구사항, 법규와 법적 규정사항 준수 여부(Compliance)에 합당한 위험평가 방법론을 찾아야 한다. 위험 수용기준을 정하고 수용 가능한 위험 수준을 확인하여야 하며, 다음과 같은 제반 위험을 식별하고 적시하여야 한다.

○ ISMS 범위 내의 자산 및 관리 책임자 식별

○ 자산에 대한 외부로부터의 위협 식별

○ 위협에 악용될 소지가 있는 자산의 취약점 식별

○ 자산의 기밀성, 무결성, 가용성의 손실로 인한 악영향 식별

 

정보보안 경영시스템의 자산의 유형(예시)

정보시스템을 구성하고 있는 자산을 식별하고, 해당 자산의 기밀성, 무결성, 가용성 정도를 평가하여 이로부터 자산의 가치를 산정한다. 제시된 기준에 의하여 각 담당자는 정보 자산 목록을 작성하고 이 목록은 최종 책임자의 확인 및 점검을 받아야 한다. 자산의 식별은 자산보호의 궁극적인 관리 책임이 있는 자산관리책임자가 작성하여야 하며 정보자산은 다음에 예시한 바와 같은 대상을 식별하여야 한다.

 

- 인력: 정보보호책임자. 관리자, 운영자, 개발자, 사용자 등 정보처리인력

- 컴퓨터: 소프트웨어가 탑재된 서버, 워크스테이션, PC 등의 컴퓨터

- 네트워크: 네트워크 장비, 통신회선, 기타 통신장치

- 소프트웨어: 시스템 소프트웨어, 유틸리티 프로그램, 응용소프트웨어

- 데이터: 디지털 정보를 말한다. 문서파일, 데이터파일, 데이터베이스 내의 데이터

- 기억장치: 디지털 정보를 저장하는 장치로서 이동 가능한 디스크, 테이프

- 문서: 종이로 된 정보를 말한다. 보고서, 계약서, 설명서, 각종 대장

- 시설: 건물, 사무실, 정보시스템실, 기억장치 보관실, 데이터 센터 등 물리적 시설

- 공조시설: 전력 공급, 환기시설, 방재시설, CVCF, 무정전 설비, 발전설비

 

위험 분석 평가와 위험 처리 대책

위에서 예시한 자산에 담긴 정보가 유출되어 보안에 실패할 경우, 그 결과가 조직에 얼마나 악영향을 미치게 될지를 평가하여야 한다. 보안이 실패할 수 있는 현실적 가능성과 현재 설치된 통제대책을 자세히 점검하고 평가하여야 한다. 그리고 위험 수준을 평가하고 위험 수용 가능성 및 위험처리 여부를 판단하여야 한다. 위험처리 대책을 식별하고 평가하여야 하며, 위험 수준에 따른 적절한 대책을 적용하고 위험을 수용할 것인지, 아니면, 위험을 회피할 것인지, 즉, 보험업자나 공급자에게 위험을 전가할 것인지 등을 결정하여야 한다.

 

통제 요구사항 및 보안대책의 선정

정보보안 경영시스템 설치 운영에 관한 허가 및 권한을 취득하고 이러한 사항을 적용보고서에 작성하여야 한다. 적용보고서에는 통제목표와 대책을 선정한 이유, 현재 실행 중인 대책과 통제 목표 그리고 통제목표, 대책 중에서 제외된 사항은 그에 합당한 이유를 기술하여야 한다. 다음에 열거하는 정보보호 관리과정(필수항목) 및 정보보호 대책(선택항목)과 보안대책을 선정하고 잔여 위험에 대한 최고경영자의 승인을 취득해야 한다.

 

정보보호 관리과정 요구사항(필수항목)

정보보안 경영시스템은 정보보호 정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호대책 구현, 사후관리의 5단계 과정을 거쳐 수립, 운영된다. 이 관리 과정은 일회적인 단계가 아니라 지속해서 유지 관리되는 순환 주기의 형태를 보인다. ①5단계 정보보호 관리과정에 따라 정보보안 경영시스템을 수립하고 운영해야 하며, ②정보보안 경영시스템 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 문서로 만들어야 하고, ③위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 정보보호 대책을 구현하고 운영해야 한다.

 

정보보호대책 요구사항(선택항목)

정보보안 경영시스템은 정보보호에 관련된 위험을 통제하기 위해 정보보호 대책을 구현하고 관리하는 체계이다. 정보보안 경영시스템 통제항목은 다음의 13개 통제 분야에 대하여 92개 통제사항 등을 식별하여야 한다. ①정보보호 정책 ②정보보호 조직 ③외부자 보안 ④정보자산 분류 ⑤정보보호 교육 ⑥인적 보안 ⑦물리적 보안 ⑧시스템개발 보안 ⑨암호통제 ⑩접근통제 ⑪운영관리 ⑫침해사고 관리 ⑬IT 재해복구 등이며 이에 대한 세부 통제사항은 감사저널 2013년 9월호 제17권 15호(통권82) 55p ~ 56p를 참조하기 바란다.

 

임직원에게 어떤 보안 교육을 시행해야 하나?

○일반사용자와 임직원에게는 다음의 교육을 시행하여야 한다.

1. 정보보호 기본교육: 정보보호 개요, 통제기법과 해킹 도구, PC 보안

2. 비상대응체제: 비상대응 체계 조직구조, 조직별 기능, 비상대응체계 프로세스

3. 법규준수를 위한 교육: 개인정보보호 지침, 비밀유지 서약서

○시스템 관리자와 정보처리요원에게는 다음 사항을 숙지하도록 교육하여야 한다.

1. 정보보호개요 2. 공격기법 및 해킹 도구 3. 네트워크 보안

4. 윈도 보안 5. 유닉스 보안 6. 웹 보안 7. PC 보안 교육 등

 

정보보안 경영시스템을 설치하고 운영해야

구현된 정보보안 경영시스템(ISMS)을 설치하고 적절히 운영하기 위하여 다음 절차를 수행하여야 한다.

①위험처리 계획 수립

②보안 대책의 설치, 운영

③보안 대책의 효과성 측정

④교육, 훈련 모듈 설치, 운영

⑤보안 인력관리

⑥정보자원관리

⑦운영관리

⑧정보보안 사고의 탐지 및 대응방안 등의 과정으로 진행하여야 한다.

 

위험 평가 방법론(위험 분석 모델)

위험 분석 및 평가방법론은 과학적이고 정형적인 과정으로 위험을 알아내고 측정하려는 절차이다. 위험 분석을 효과적으로 수행하기 위해서는 우선 당해 조직의 정보시스템의 중요도를 파악하여 위험분석 시행 범위와 깊이를 결정해야 한다. 위험분석의 수준에 따라 수행 절차가 복잡하거나 시간과 인력이 많이 소모되므로, 시스템 환경에 맞는 위험 분석 수준을 선택하는 것은 대단히 중요하다. 본격적인 위험분석 수행에 앞서 사전 위험 분석을 통하여 위험 분석 수준을 결정해야 한다. 수준이 결정되면 위험 분석을 기본 통제 방식으로 할 것인지, 상세 위험 분석으로 할 것인지를 결정하여야 한다. 위험 분석 모델은 ①보안정책 ②자산식별 ③자산분석 ④위협 분석 ⑤취약성 분석 ⑥대응책 분석 ⑦위험 산출 ⑧위험 수용 ⑨보안상 각종 제약 및 규제의 식별 ⑩대응책 도출 ⑪잔류위험 평가 ⑫보안계획 수립 순으로 모델을 적용할 수 있다.

 

위험 평가 정의

정보보안 경영시스템에 적용할 위험평가 방법에 대해 살펴보자. 위험평가 방법은 애플리케이션, 조직의 업무범위, 목표로 하는 정보보호 수준에 따라 달라질 수 있다. 위험 평가를 시행하는 세부 절차에 따라 다음의 기준을 구체적으로 정의하여야 한다.

 

○자산 가치 평가기준: 자산의 중요도를 평가하는 기준이다.

○위협 평가기준: 위협의 발생 가능성을 평가하기 위한 기준이다.

○취약성 평가기준: 자산이 위협에 이용될 가능성을 평가하기 위한 기준이다.

○위험도 평가기준: 상기 항목들에 근거하여 위험도를 평가하기 위한 기준이다.

○위험 결정 수준: 대상 기관이 수용할 수 있는 위험도를 결정하기 위한 기준이다.

 

정보시스템을 위협하는 해커들

일반적으로 해커들은 시스템의 보안 취약점을 알아낸 후, 보안 취약점을 공격하여 시스템 통제 권한을 얻는다. 보안 취약점 점검 및 분석이란 정보시스템에 보안취약점이 존재하고 있는지에 대한 점검 작업을 수행한 후, 그 결과로써 정보시스템의 보안 수준을 분석하는 것을 말한다. 정보시스템에는 다음과 같은 위협들이 존재한다.

- 불법적인 사용자의 접근을 허용할 수 있는 위협

- 정상적인 서비스를 방해하는 위협

- 중요 데이터의 유출, 변조, 삭제에 대한 위협

 

위협의 분류(예시)

정보보안 경영시스템 구축 시 위협의 종류는 사람에 의한 의도적인 위협과 실수이거나 환경적 요인에 의해 발생하는 비의도적인 위협이 있다.

○의도적인 위협

절도: 기밀정보 불법 취득, 시스템/컴퓨터 자원의 절도

정보시스템 손상: 정보의 삭제/변조, 시스템 파손

자원 오용: 정보의 불법복제, 불법 소프트웨어 사용, 개인적인 용도로 자원 사용

비 인가된 접근: 도청, 감청, 시스템 해킹, 악성코드에 의한 정보 유출/삭제/변조

권한 남용: 사용자의 권한 오용, 관리자의 특권남용, 유지보수 및 운영요원의 지위남용

 

○비의도적인 위협

사용자 실수: 사용자/운영요원/유지 보수자의 실수로 인한 피해

바이러스 감염: 선의에 의한 바이러스 유포, 바이러스 감염 후 유출/삭제/변조

분실: 실수에 의한 기밀 정보 유출, 시스템 자원의 분실 또는 누락

하드웨어 장애: 하드웨어 오작동, 장애, 중지, 파손 또는 손상

소프트웨어 장애: 소프트웨어 오류, 오작동, 중지, 삭제

통신 장애: 회선 불량, 혼선, 통신 서비스 불량

전력 장애: 정전, 과전압, 저전압, UPS CVCF 장애, 비상발전기 장애, 배터리 방전

환경 재해: 화재, 홍수, 지진, 낙뢰, 폭풍, 미세 먼지 및 스모그, 공기 오염, 환경오염

 

보안 취약점이란?

보안 취약점은 좁은 의미로 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 시스템 설계상 허점으로 인해 사용자, 특히, 악의를 가진 공격자에게 허용된 권한 이상으로 작동케 하거나 정보 열람을 가능케 하는 약점이다. 넓은 의미로는 사용자와 관리자의 부주의나 기술 환경을 포함한 정보 체계의 모든 정보 보안상의 위험성을 말한다. 악의를 가진 공격자는 이러한 약점을 이용하여 공격 대상 컴퓨터 또는 정보화 기기를 공격자의 의도대로 작동케 하거나 특정한 정보를 탈취하려고 한다.

 

보안 취약점은 어떤 게 있을까?

○물리적 및 환경적 취약성

- 물리적 취약성: 출입통제시스템, 출입구나 창문의 잠금장치 등 물리적 보안 미흡 상태

- 환경적 취약성: 화재, 홍수, 침수, 낙뢰, 방진 시설 미흡, UPS CVCF 등 부재,

 

○기술적 취약성

- 시스템 보안취약점: 시스템 구성, 계정 및 비밀번호, 접근통제, 암호통제 등

- 네트워크 보안취약점: 불필요한 서비스와 정보 제공, 서비스 거부 공격 등

- 응용프로그램 취약점: 웹 서버, 방화벽 서버, 시스템 개발보안 취약 등

 

○관리적 취약성

- 운영적 취약성: 업무절차의 미흡, 정보자산의 보호 관리체계 미흡 등

- 정보보안 관리 취약성: 정보보호 조직과 인력 부재, 정보보호 정책과 지침의 부재

- 인력의 취약성: 정보관리 인력의 부재, 정보보호 인식 부재 등

위험도 산정

위험을 구성하는 요소는 자산의 중요도, 위협 가능성, 취약성 정도라 할 수 있다. 많은 현금이나 수표를 넣어 둔 금고를 집에 보관하고 있다면 도둑이나 강도에 의해 도난당할 개연성이 높다. 위협 가능성은 도둑이나 강도, 도난이라는 용어처럼 자산의 손실을 초래할 수 있는, 원치 않은 사건의 잠재적인 원인이나 행위라 할 수 있다. 금고를 쉽게 찾을 수 없도록 은행에 보관하거나 접근통제를 잘 이루어진 안전한 곳에 보관한다면 취약성 정도는 낮아진다. 위협 개연성은 취약성을 이용하여 발발하고 그로 인해 자산이 손상을 입게 될 잠재적 개연성이 바로 위험이다. 이렇게 식별된 자산, 위협, 취약성을 정리하여 위험도를 평가하여야 한다. 위험도에는 자산의 가치, 관련된 취약성의 정도, 관련된 위협의 개연성 그리고 자산을 보호하기 위해 구현 중인 보안통제를 고려하여 계산한다. 그리고 당해 기관의 정보가 유출될 때 어느 정도의 위험이 수용 가능한지 가늠하는 위험관리수준을 결정하여야 한다.

 

위험 결정 수준(예시)

위험분석 결과 나타난 위험에 대해 조직이 수용 가능한 위험도의 수준을 결정하는 것이다. 즉, 도둑에게 얼마까지 도난을 당해도 괜찮은지를 묻는 거와 같다. 이때 수용 가능한 목표 위험 수준은 조직의 최고 책임자가 결정하여야 한다. 위험도 평가 결과를 토대로 해당 위험도를 수용 가능한 위험관리수준까지 낮추기 위한 보호 대책을 산정하게 된다. 이러한 보호 대책을 마련하기 위해 지급해야 하는 비용효율과 실효성 등을 고려하여 자산의 주인이 결정하여야 한다. 예를 들어 쉽게 비유해서, 10캐럿의 다이아몬드 반지를 도난당하지 않기 위해서 보호 대책 비용을 얼마까지 책정할지를 결정하는 것이 위험관리수준이다.

 

위험 처리 전략

존재하는 위험이 조직에서 견디기 어려운 수준을 넘어선다면 이 위험을 어떤 방식으로든 처리해야 한다. 위험처리 전략은 다음과 같다.

○위험수용: 현재의 위험을 받아들이고 잠재적인 손실비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로 일정수준까지는 위험을 감수하고 사업을 진행한다.

○위험 관리: 잠재위험으로 주변 환경의 변화에 따라 위험요인으로 변화될 수 있으므로 지속해서 검사를 시행한다.

○위험 감소: 직접적인 피해가 발생할 수 있는 중대한 위험이 잠재되므로 정보보호 대책을 선택하여 구현한다.

○위험 회피: 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다.

○위험 전가: 보험이나 외주 등으로 잠재적인 비용을 제삼자에게 전가하거나 할당하는 것이다.

 

사후관리

○정보보안 경영시스템 재검토

당해 기관의 목표, 방침, 내·외부의 환경변화, 내부 감사결과, 보안사고 등을 고려하여 정보보호 관리체계의 효율성, 범위의 적절성, 잔여 위험의 수준, 절차 등 정보보안 경영시스템을 공식적이고 정기적으로 재검토하여야 한다.

 

○정보보안 경영시스템의 검사 및 개선

정보보안 경영시스템이 기관의 정보보호정책과 목적을 충족시키는지를 검사하여 개선사항을 식별하고 적절한 수정이나 예방조치를 통하여 효과적으로 개선하여야 한다. 이에 관련된 조치와 결과는 경영진에게 보고하고, 정보시스템 전문가에게 자문하여야 한다.

 

○내부감사

정보보안 경영시스템이 계획된 절차에 따라 효과적으로 시행되는지를 점검하기 위하여 감사의 기준, 범위, 주기 및 방법을 규정하고 계획된 주기로 내부감사를 수행하여야 한다. 또한, 감사의 기획 및 수행, 그리고 결과보고, 기록유지 및 이행 검사에 대한 책임과 요구사항을 문서로 된 절차에 의해 규정하여야 한다. 피검사분야의 관리자는 발견된 보완조치 사항을 처리하고, 개선한 후 보고하여야 한다.

 

정보보호 위험에 적극적으로 대처해야

앞으로 기업들은 새롭게 증가하는 정보보호 위협에 대처하기 위하여 내부적으로 통제를 강화하고, 정보자산 취약점을 개선하는 등 정보보호 위험에 적극적으로 대비하여야 한다. 공신력 있는 인증기관의 ISMS 인증 제도를 적극적으로 활용하고, 정보보호 사전점검, 정보보호 예산 및 인력 확대, 정보보호 최고 책임자 지정, 전문기관에 정보보안 컨설팅 의뢰, 정보보호 연구개발(R&D)비 증액 등 기업의 정보보호기반을 구축하여야 한다. 앞으로 정보기술 융합 및 신규 정보기술 서비스의 정보보호 위협을 식별하고 대응방안을 연구·개선하는 등 기업의 정보보호 중장기 계획을 수립하고 이와 더불어 정보보안 경영체제의 운영 유지를 위한 시스템화 및 자동화에 많은 노력을 기울여야 하겠다. <끝>

 

참고자료

김려성 컴퓨터 犯罪의 實態와 豫防 對策 학술지 기술사 82('88.6) pp.36-46 한국기술사회 1988년 사회학 서지 링크 국회도서관(청구기호 605 ㄱ489)

김려성 시스템 운용(operation) 경영 관리자를 위한 컴퓨터의 脈 p141~142 주식회사 민컴 출판부 1986. 2nd Edition

김려성 감사 실무의 정보화, 감사절차(監査節次)의 자동화, 감사저널 2008.2. (사)한국감사협회

김려성 정보보호[情報保護] 해커(Hacker)냐? 보안관이냐? 감사저널 2008.3. (사)한국감사협회

김려성 cyber 범죄의 전자증거 제출, 컴퓨터 포렌식(Computer Forensic), 감사저널 2008.4. (사)한국감사협회

김려성 IT 감사, 리스크 관리[Risk Management] 너는 누구냐?, 감사저널 2008.7. (사)한국감사협회

김려성 IT 감사-GRC(Governance Risk management Compliance) 指向 ‘e-감사’에센스(Essence), 감사저널 2008.11. (사)한국감사협회

김려성 감사실 정보화! 이것이 알고 싶다, 소프트꼬레아(Soft Corea) 2010.6.15. (주)진한엠엔비

김려성 정보보호[情報保護] 개인정보영향평가를 어떻게 실시하는 게 좋을까? 감사저널 2012.11/12. (사)한국감사협회

김려성 IT감사-금융회사 정보기술 부문의 보호업무 모범규준 해설 2013. 신년호 (사)한국감사협회

김려성 IT감사-금융회사 정보기술 부문의 보호업무 모범규준 내부통제 2013.3~5 (사)한국감사협회

김려성 IT감사-금융회사 정보기술 부문의 보호업무 모범규준 금융감독 2013.6-8 (사)한국감사협회

김려성 정보보안경영시스템(ISMS) 무엇을 인증받아야 하나? 2013.9~10 (사)한국감사협회

미래창조과학부 한국인터넷진흥원 정보보호 관리체계(ISMS) 인증제도 안내서_v0.8 (2013.3)

방송통신위원회 네트워크정책국 기업 정보보호 관련 재개정 고시 설명회 자료집

(방통위고 시_제2013-4호)_정보보호_관리체계_인증에_관한_고시_전부 개정

행정안전부, 한국정보화진흥원 개인정보영향평가 전문교육교재 ⅠⅡⅢⅣⅤ 2012.12.03.~ 2012.12.07

행정안전부, 한국인터넷진흥원 개인정보 암호화 조치 안내서 (V e r 1 .0) 2012. 10.

행정안전부, 한국인터넷진흥원 개인정보 영향평가수행안내서 2011. 12

행정안전부 개인정보의 안전성 확보조치 기준 및 해설서 2011.9

금융위원회 중소금융과, 서민금융과, 전자금융과, 금융감독원 여신전문검사실, 2014.1.19. 보도자료 :「카드사 금융정보 유출 대응 현황 및 계획」점검회의

금융위원회, 금융감독원 금융회사 정보기술(IT) 부문 보호업무 모범규준 2012. 10,

금융감독원 일반은행검사국 여신전문검사실, 2014.1.19. 보도자료: 최근 고객정보 유출 관련 현황 및 대응방안

금융감독원 IT 감독국 IT 보안팀 2013.5.27. 보도자료: 금융권 IT 보안실태 점검 및 개선방안 마련을 위해 테마검사 시행

한국인터넷진흥원 홈페이지 http://www.kisa.or.kr 정보보호 및 개인정보보호 관리체계인증

한국인터넷진흥원 ISMS 인증기준 세부점검항목 (2013.5.15)

한국정보통신기술협회 공공정보시스템 보안을 위한 위험분석 표준_위험분석 방법론 모델

ISO27001:2005 ISMS (Information Security Management Systems) - Requirements