오늘 날 세계는 과학기술과 정보통신의 비약적인 발전으로 정보화 기반 아래 실시간 정보공유와 의사소통이 가능한 거대한 하나의 공동체로 발전되고 있으며 전통적으로 중시된 물리적인 가치보다는 정보의 가치가 더욱 중요하게 되고 있다(이준택, 2007). 그러나 이러한 정보화의 이면에는 해킹, 바이러스 등에 의한 정보자산의 침해, 사이버 테러, 개인 정보 및 중요 정보 자산의 무단 유출과 같은 역기능은 지속적으로 증가하여 심각한 문제로 대두되고 있으며, 이에 대한 사회적 관심과 ...
오늘 날 세계는 과학기술과 정보통신의 비약적인 발전으로 정보화 기반 아래 실시간 정보공유와 의사소통이 가능한 거대한 하나의 공동체로 발전되고 있으며 전통적으로 중시된 물리적인 가치보다는 정보의 가치가 더욱 중요하게 되고 있다(이준택, 2007). 그러나 이러한 정보화의 이면에는 해킹, 바이러스 등에 의한 정보자산의 침해, 사이버 테러, 개인 정보 및 중요 정보 자산의 무단 유출과 같은 역기능은 지속적으로 증가하여 심각한 문제로 대두되고 있으며, 이에 대한 사회적 관심과 정보보안을 위한 다양한 노력이 요구되고 있다(한영묵, 2005). 이러한 현상은 대부분의 국가에서 전략적 목적 아래 IT 산업의 확장과 정보화 인프라 구축을 위한 정책 구현으로 정보화 기반환경 조성에는 유용하게 기여하였으나, 정보보안관리를 위한 구조적이고 제도적인 대책과 보안의 주체인 인원에 대한 인식 및 이해 수준 향상에 대한 노력은 상당 부분 부족한 것으로 판단되며, 특히 인원에 의한 보안위협은 치명적인 중요한 보안관리 과제로 대두되고 있다. Solms(2006)은 정보보안의 변천 과정을 4가지 단계의 물결로 구분하였으며, 1단계는 기술 중심, 2단계는 관리 중심, 3단계는 제도 중심, 4단계는 정책과 내부통제 중심의 통합관리로 구분하였다. 4단계 정보보안 물결은 정보보안에 대한 기술적인 부분과 물리적인 부분이 연계된 인원의 내부통제와 인적요인을 포함한 통합적인 관리의 중요성을 강조하였다. 또한 Philip(2008)은 정보보안 관리 중에 인원보안 관리가 가장 핵심적이며 근원적인 중요한 관리 요인이라 하였으며, Contons와 Kleiman(2008)은 정보자산에 대한 공격의 동기가 탐욕, 권력, 복수, 정치적 이해, 두려움, 불만, 일반적인 악 등에서 비롯된다고 하였다. Pleeger(2005)는 정보보안의 위협 요인에 관하여 기술과 지식과 도구를 포함한 방법, 공격 달성을 위하여 소요되는 시간과 접근성의 용이, 공격을 수행하려는 이유를 통하여 위협이 유발된다고 하였으며, RAND 연구소(2002)는 조직내부로 부터 정보자산에 접근 권한이 부여된 사람으로부터 야기되는 위협을 가장 민감하게 평가하고 있다. 즉, 인원보안 취약점은 '인가된 사람이, 인가된 절차를 통하여, 인가된 정보에 접근하여, 무단 유출하는 내부 구성원에 의한 보안위협이 가장 취약하고 통제가 어려운 상태'라고 요약할 수 있다. 최근 보안사고 분석 자료에 의하면 보안사고는 외부요인 보다 내부요인에 의하여 발생빈도가 높게 나타나고 이러한 내부 위협이 보다 위험한 것으로 평가되며 내부위협에 의한 보안 사고는 해마다 증가하고 있는 것으로 나타난다(IDC, 2007). 이러한 내부 위협은 인가된 인원이 인가된 절차에 따라 보안환경의 취약점을 인지하여 공격이 이루어지므로 양질의 중요 정보자산에 대하여 빠르고 쉽게 공격할 수 있으므로(US CERT, 2008) 보다 적극적인 대응이 요구된다. 또한 위협과 공격의 패턴은 합법적이고 지능적인 공격의 양상, 공격 사이클의 단축, 다양한 공격 동기의 변화 등의 특성(이재우, 2008)을 가지고 있으므로 인원보안 관리 시 위협의 추세와 특성을 고려하여 신뢰할 수 있는 적격인원 선발과 더불어 엄격하고 철저한 인원보안 관리가 필요하다고 할 수 있다(Tittel, 2004). 이와 더불어 인원보안에 관한 연구수준을 살펴보면 기존의 정보보안분야의 연구는 기술적 분야에 치중하여 관리적인 보안과 인원보안 차원의 연구가 부진한 점도 위협 대응을 효과적으로 수행할 수 없는 하나의 요인으로 볼 수 있으므로 인원보안에 대한 활발한 연구가 필요하다(Elliott et al., 2003). 이 연구의 목적은 이러한 보안환경과 인원에 의한 내부 위협 추세를 고려하여 인원보안에 관한 관리 지표를 도출하고 실증적으로 검증하기 위한 것이며, '인원보안에 관한 연구는 필요한가?'라는 연구질문으로 부터 시작되었다. 또한 인원보안 관리 시 구체적으로 어떠한 지표를 적용하면 보다 효과적인 인원 보안 관리가 수행되는지, 관리 항목들은 인원보안 관리 수준에 어느 정도의 영향을 미치는지에 관하여 추가 질문을 가지게 되었으며, 이를 연구하기 위하여 포괄적인 이론적 고찰과 부합성 분석, 다중회귀분석 등 실증적인 방법을 통하여 인원보안 관리 지표를 개발하였다. 물론 현재, 인원보안에 관하여 일부 기준이나 지표는 제시되어 있으나, 이를 적용하기에는 내용이 미흡하여 무리가 있는 것이 현실이므로 여기 저기 파편처럼 분산되어 있는 인원보안 지표와 관련항목을 이론적으로 통합하고 새롭게 연구하여 지표 도출하고 제시하고자 하는 것이 연구의 주목적이다. 이 연구의 진행은 이론적 고찰과 관련 문헌의 선행연구를 통하여 이론적 체계를 정립하고, 인원보안 관리 연구지표를 선정하여 전문가 토의를 거쳐 도출하였다. 또한 설문자료의 부합성 분석 및 다중회귀분석을 통하여 새로운 인원보안 관리지표를 검증하였다. 연구 결과, 정보보안에서의 인원보안 관리 지표는 3가지 분야의 9가지 항목과 26개의 지표로 개발되었으며 아래와 같다. 첫째, 인원 보증(Personnel Assurance)은 배경조사, 자력평가, 보안인증 항목으로 구성되어 있으며 인원의 신뢰성에 중점을 두고 관리하는 항목이다. 배경조사 항목은 조사대상의 범위, 신원조사의 실시, 조사범위의 선정을 지표로 구성하였으며, 자력평가 항목은 인터뷰, 추천 또는 보증, 보안자력이나 이력을 평가하는 지표로 구성되었고, 보안인증 항목은 서약이나 동의, 해지 또는 중지, 승인 변경에 관한 지표로 구성되어 있다. 둘째, 개인 역량(Personnel Competence)은 보안의식, 보안교육, 보안평가 항목으로 구성되어 있으며 개인의 보안업무 수행 능력을 관리하는 항목으로 되어 있다, 보안의식 항목은 보안관리 의식, 사회 규범적 윤리 의식, 직업의식으로 구성되고, 보안교육 항목은 보안 프로그램의 시행, 개인별 필수 교육의 이수, IT 지식 및 이해를 위한 교육으로 구성되어 있으며, 보안평가 항목은 인센티브 적용, 개인별 보안평가, RED 팀에 의한 평가로 구성되어 있다. 셋째, 보안 통제(Security Control)는 업무 통제, 사고 통제, 접근 통제 항목으로 구성되어 있으며 개인이 수행하는 보안업무 간 보안사고 방지를 위한 개인적 관점의 통제 분야이다. 업무통제 항목은 임무구분, 업무교환, 업무 분장으로 구성되고 사고통제 항목은 사고대응, 사후조치, 신고의무로 분류되어 있으며 접근통제 항목은 정보시스템과 시설에 대한 접근통제로 구성되어 있다. 위와 같이 인원보안 관리지표 도출 후, 추가 연구로 보안관리 항목과 보안수준 항목 간에 대한 상관관계를 분석하였으며 연구결과는 아래와 같다. 앞에서 부합성 분석 절차를 거쳐 검증된 독립변수인 인원보안 관리항목은 인원보증, 개인역량, 보안통제 분야의 9개이며, 이론적 연구를 통하여 도출된종속 변수인 인원보안 관리수준 항목은 보안인지, 규칙준수, 실수억제의 3개 항목으로 구성되었다. 이 항목 간 관계분석은 유의성에 관한 가설을 설정하고 다중회귀분석을 통하여 상관관계를 분석하였으며 다중회귀분석 결과, 가설은 부분적으로 채택되었고 관계 간 서로 영향을 미치는 것으로 분석되었다. 인원 보증을 위한 배경조사 항목은 중요한 요인으로 분석되었고, 자력평가 항목은 보안대책 항목 중 규칙준수 항목과 실수억제 항목에 유의하였으며, 보안교육 항목과 보안통제 항목은 보안인지 항목과 규칙 준수 항목에 유의하였다. 또한 사고통제 항목은 보안인지 항목과 규칙준수 항목에 유의하였으며, 접근통제 항목은 보안인지 항목과 실수억제 항목에 영향이 있는 것으로 나타났다. 이 연구는 국제 보안표준에 준거한 국내외 인원보안 기준을 선행 연구 자료로 고찰하고 미국, 영국, 호주 등 일부 국가의 현행 인원보안 가이드라인과 국내외 최신 인원보안 관련 연구 자료 및 기준을 참조하였으며 개인적으로 국제 조직의 보안 관리자(CSO) 경험과 보안 전문가들의 토의와 의견수렴 과정을 거쳐 작성되었다. 본 연구에서 도출된 인원보안 관리지표는 인원보안 관리에 관한 새로운 관리지표로써 인원보안 관리의 중요한 이정표가 되리라 기대된다. 또한 이 연구는 이론적 가치와 실용성을 겸비한 연구로 인원에 의한 보안 위협이 심화되는 현 추세에 부합되어 정보보안 및 인원보안 관리에 크게 기여하리라 생각된다.
오늘 날 세계는 과학기술과 정보통신의 비약적인 발전으로 정보화 기반 아래 실시간 정보공유와 의사소통이 가능한 거대한 하나의 공동체로 발전되고 있으며 전통적으로 중시된 물리적인 가치보다는 정보의 가치가 더욱 중요하게 되고 있다(이준택, 2007). 그러나 이러한 정보화의 이면에는 해킹, 바이러스 등에 의한 정보자산의 침해, 사이버 테러, 개인 정보 및 중요 정보 자산의 무단 유출과 같은 역기능은 지속적으로 증가하여 심각한 문제로 대두되고 있으며, 이에 대한 사회적 관심과 정보보안을 위한 다양한 노력이 요구되고 있다(한영묵, 2005). 이러한 현상은 대부분의 국가에서 전략적 목적 아래 IT 산업의 확장과 정보화 인프라 구축을 위한 정책 구현으로 정보화 기반환경 조성에는 유용하게 기여하였으나, 정보보안관리를 위한 구조적이고 제도적인 대책과 보안의 주체인 인원에 대한 인식 및 이해 수준 향상에 대한 노력은 상당 부분 부족한 것으로 판단되며, 특히 인원에 의한 보안위협은 치명적인 중요한 보안관리 과제로 대두되고 있다. Solms(2006)은 정보보안의 변천 과정을 4가지 단계의 물결로 구분하였으며, 1단계는 기술 중심, 2단계는 관리 중심, 3단계는 제도 중심, 4단계는 정책과 내부통제 중심의 통합관리로 구분하였다. 4단계 정보보안 물결은 정보보안에 대한 기술적인 부분과 물리적인 부분이 연계된 인원의 내부통제와 인적요인을 포함한 통합적인 관리의 중요성을 강조하였다. 또한 Philip(2008)은 정보보안 관리 중에 인원보안 관리가 가장 핵심적이며 근원적인 중요한 관리 요인이라 하였으며, Contons와 Kleiman(2008)은 정보자산에 대한 공격의 동기가 탐욕, 권력, 복수, 정치적 이해, 두려움, 불만, 일반적인 악 등에서 비롯된다고 하였다. Pleeger(2005)는 정보보안의 위협 요인에 관하여 기술과 지식과 도구를 포함한 방법, 공격 달성을 위하여 소요되는 시간과 접근성의 용이, 공격을 수행하려는 이유를 통하여 위협이 유발된다고 하였으며, RAND 연구소(2002)는 조직내부로 부터 정보자산에 접근 권한이 부여된 사람으로부터 야기되는 위협을 가장 민감하게 평가하고 있다. 즉, 인원보안 취약점은 '인가된 사람이, 인가된 절차를 통하여, 인가된 정보에 접근하여, 무단 유출하는 내부 구성원에 의한 보안위협이 가장 취약하고 통제가 어려운 상태'라고 요약할 수 있다. 최근 보안사고 분석 자료에 의하면 보안사고는 외부요인 보다 내부요인에 의하여 발생빈도가 높게 나타나고 이러한 내부 위협이 보다 위험한 것으로 평가되며 내부위협에 의한 보안 사고는 해마다 증가하고 있는 것으로 나타난다(IDC, 2007). 이러한 내부 위협은 인가된 인원이 인가된 절차에 따라 보안환경의 취약점을 인지하여 공격이 이루어지므로 양질의 중요 정보자산에 대하여 빠르고 쉽게 공격할 수 있으므로(US CERT, 2008) 보다 적극적인 대응이 요구된다. 또한 위협과 공격의 패턴은 합법적이고 지능적인 공격의 양상, 공격 사이클의 단축, 다양한 공격 동기의 변화 등의 특성(이재우, 2008)을 가지고 있으므로 인원보안 관리 시 위협의 추세와 특성을 고려하여 신뢰할 수 있는 적격인원 선발과 더불어 엄격하고 철저한 인원보안 관리가 필요하다고 할 수 있다(Tittel, 2004). 이와 더불어 인원보안에 관한 연구수준을 살펴보면 기존의 정보보안분야의 연구는 기술적 분야에 치중하여 관리적인 보안과 인원보안 차원의 연구가 부진한 점도 위협 대응을 효과적으로 수행할 수 없는 하나의 요인으로 볼 수 있으므로 인원보안에 대한 활발한 연구가 필요하다(Elliott et al., 2003). 이 연구의 목적은 이러한 보안환경과 인원에 의한 내부 위협 추세를 고려하여 인원보안에 관한 관리 지표를 도출하고 실증적으로 검증하기 위한 것이며, '인원보안에 관한 연구는 필요한가?'라는 연구질문으로 부터 시작되었다. 또한 인원보안 관리 시 구체적으로 어떠한 지표를 적용하면 보다 효과적인 인원 보안 관리가 수행되는지, 관리 항목들은 인원보안 관리 수준에 어느 정도의 영향을 미치는지에 관하여 추가 질문을 가지게 되었으며, 이를 연구하기 위하여 포괄적인 이론적 고찰과 부합성 분석, 다중회귀분석 등 실증적인 방법을 통하여 인원보안 관리 지표를 개발하였다. 물론 현재, 인원보안에 관하여 일부 기준이나 지표는 제시되어 있으나, 이를 적용하기에는 내용이 미흡하여 무리가 있는 것이 현실이므로 여기 저기 파편처럼 분산되어 있는 인원보안 지표와 관련항목을 이론적으로 통합하고 새롭게 연구하여 지표 도출하고 제시하고자 하는 것이 연구의 주목적이다. 이 연구의 진행은 이론적 고찰과 관련 문헌의 선행연구를 통하여 이론적 체계를 정립하고, 인원보안 관리 연구지표를 선정하여 전문가 토의를 거쳐 도출하였다. 또한 설문자료의 부합성 분석 및 다중회귀분석을 통하여 새로운 인원보안 관리지표를 검증하였다. 연구 결과, 정보보안에서의 인원보안 관리 지표는 3가지 분야의 9가지 항목과 26개의 지표로 개발되었으며 아래와 같다. 첫째, 인원 보증(Personnel Assurance)은 배경조사, 자력평가, 보안인증 항목으로 구성되어 있으며 인원의 신뢰성에 중점을 두고 관리하는 항목이다. 배경조사 항목은 조사대상의 범위, 신원조사의 실시, 조사범위의 선정을 지표로 구성하였으며, 자력평가 항목은 인터뷰, 추천 또는 보증, 보안자력이나 이력을 평가하는 지표로 구성되었고, 보안인증 항목은 서약이나 동의, 해지 또는 중지, 승인 변경에 관한 지표로 구성되어 있다. 둘째, 개인 역량(Personnel Competence)은 보안의식, 보안교육, 보안평가 항목으로 구성되어 있으며 개인의 보안업무 수행 능력을 관리하는 항목으로 되어 있다, 보안의식 항목은 보안관리 의식, 사회 규범적 윤리 의식, 직업의식으로 구성되고, 보안교육 항목은 보안 프로그램의 시행, 개인별 필수 교육의 이수, IT 지식 및 이해를 위한 교육으로 구성되어 있으며, 보안평가 항목은 인센티브 적용, 개인별 보안평가, RED 팀에 의한 평가로 구성되어 있다. 셋째, 보안 통제(Security Control)는 업무 통제, 사고 통제, 접근 통제 항목으로 구성되어 있으며 개인이 수행하는 보안업무 간 보안사고 방지를 위한 개인적 관점의 통제 분야이다. 업무통제 항목은 임무구분, 업무교환, 업무 분장으로 구성되고 사고통제 항목은 사고대응, 사후조치, 신고의무로 분류되어 있으며 접근통제 항목은 정보시스템과 시설에 대한 접근통제로 구성되어 있다. 위와 같이 인원보안 관리지표 도출 후, 추가 연구로 보안관리 항목과 보안수준 항목 간에 대한 상관관계를 분석하였으며 연구결과는 아래와 같다. 앞에서 부합성 분석 절차를 거쳐 검증된 독립변수인 인원보안 관리항목은 인원보증, 개인역량, 보안통제 분야의 9개이며, 이론적 연구를 통하여 도출된종속 변수인 인원보안 관리수준 항목은 보안인지, 규칙준수, 실수억제의 3개 항목으로 구성되었다. 이 항목 간 관계분석은 유의성에 관한 가설을 설정하고 다중회귀분석을 통하여 상관관계를 분석하였으며 다중회귀분석 결과, 가설은 부분적으로 채택되었고 관계 간 서로 영향을 미치는 것으로 분석되었다. 인원 보증을 위한 배경조사 항목은 중요한 요인으로 분석되었고, 자력평가 항목은 보안대책 항목 중 규칙준수 항목과 실수억제 항목에 유의하였으며, 보안교육 항목과 보안통제 항목은 보안인지 항목과 규칙 준수 항목에 유의하였다. 또한 사고통제 항목은 보안인지 항목과 규칙준수 항목에 유의하였으며, 접근통제 항목은 보안인지 항목과 실수억제 항목에 영향이 있는 것으로 나타났다. 이 연구는 국제 보안표준에 준거한 국내외 인원보안 기준을 선행 연구 자료로 고찰하고 미국, 영국, 호주 등 일부 국가의 현행 인원보안 가이드라인과 국내외 최신 인원보안 관련 연구 자료 및 기준을 참조하였으며 개인적으로 국제 조직의 보안 관리자(CSO) 경험과 보안 전문가들의 토의와 의견수렴 과정을 거쳐 작성되었다. 본 연구에서 도출된 인원보안 관리지표는 인원보안 관리에 관한 새로운 관리지표로써 인원보안 관리의 중요한 이정표가 되리라 기대된다. 또한 이 연구는 이론적 가치와 실용성을 겸비한 연구로 인원에 의한 보안 위협이 심화되는 현 추세에 부합되어 정보보안 및 인원보안 관리에 크게 기여하리라 생각된다.
The Information-Oriented Era has arrived. Information is a core and fundamental asset of any organization, and new information technologies will allow more interaction creating a global evolution. The Information has greatly changed society including knowledge, culture, and economy and the right eff...
The Information-Oriented Era has arrived. Information is a core and fundamental asset of any organization, and new information technologies will allow more interaction creating a global evolution. The Information has greatly changed society including knowledge, culture, and economy and the right effects of information are increasingly expanded in a variety of areas. However, the reverse effects of information such as illegal leak, misuse, hacking, and virus spread have become an emerging issue. In particular, the information illegal leak by insider is being raised as a fatal and acute security management problem. Contons and Cleiman(2008) explained that the motive for an attack is resulted from such elements as greed, power, vengeance, political interest, fear, or vice. Pleeger(2005) mentioned that such an attack could be executed when the following danger-inducing prerequisites existed: a method with technology, knowledge, and tools; necessary time to perform the attack and easily obtainable opportunity; and motive as a cause of performing the attack. The RAND Research Institute(2002) has most sensitively assessed the threat caused by someone who is authorized for access to information assets by organization. Recent researches by domestic and international information security related institutes and linked organizations shows that security troubles take place more frequently by internal causes than by external reasons and the internal threats were considered more dangerous. Security incidents from internal threats have increased every year(IDC, 2007) and Internal threats have assessed as the most serious type of threats in that authorized personnel have capability to attack vulnerable information environment using designated procedures and to attack critical assets in a fast and easy way(DOD, 2007). This research developed New Personnel Security Management Indicators against the vulnerability of personnel security by an authorized person through theoretically reviewing, empirical study and the multiple regression analysis using SPSS 12.0. As a result, Personnel Security Management indicators were identified as 26 indicators in 9 items out of 3 categories, and the correlation between levels of security management were studied through verified indicators by further researches. The key points and results of the research are as follows. Firstly, Personnel Assurance consists of background investigation, competence assessment, and security authentication and is managed based on personnel trust. The background investigation was conducted based on these indicators: the range of investigation respondents, the execution of background inquiry, and the selection of investigation scope. The competence assessment is composed of indicators that assessed interviews, recommendations or guarantee, and security capacity or career. The security authentication consists of indicators on pledge or agreement, cancellation or suspension, and change of approval. Secondly, Personnel Competence was reviewed according to the indicators such as security awareness, security training, and security evaluation, which are the elements of managing individual security performance ability. The security awareness consists of security management awareness, ethical awareness of social norms, and professional awareness. The security training has indicators of implementation of security programs, completion of individual training requirement, and training on IT knowledge and understanding. The security assessment has indicators such as application of incentives, individual security assessment, and assessment by the RED team. Thirdly, Personnel Security Control is comprised of three categories of business control, incident control, and access control. This is an area to control individuals’ points of view to prevent any security related violations while they are performing security duties. The business control is classified into business classification, business exchange, and business division, the incident control into breaching response, follow-up measures, and report requirement, and the access control into access regulation on information systems and facilities. The Personnel Security Management Indicators verified by the process of compatibility analysis were finally identified as 26 ones out of initial 27 research indicators with one 'regulation compliance from the capacity assessment' excluded. An hypothesis on the interrelation between the 3 independent variables 'Personnel Security, Personnel Competence, and Personnel Security Control' and 3 dependent variables 'Security Awareness, Regulation Observance, and Restraint Error' at the level of Personnel Security Management, and the correlations were analyzed by the multiple regression analysis. Some characteristics of the multiple regression analysis include these: the hypothesis was partially adapted and verified to have an effect on the correlations; the background indicator for personnel security was assessed as a significantly important element; the capacity assessment factors was reviewed with the consideration of the regulation observance, and restraint error in the security response category; the security training and security control indicators were analyzed with the focus on the security awareness and regulation compliance categories. In addition, it can be said that in the trouble control indicators, security threats done by insiders accessing official information and privately leaking confidential information through security awareness and regulation observance element process are the most vulnerable and uncontrollable case. The purpose of this study is to develop personnel security related management indicators belonging to the managerial security in the Information Security and to verify them in an empirical method based on the above mentioned security environment and the trend of insider threats. The study began with the question, ‘Are researches on personnel security necessary?’ Additional inquiries were raised concerning which specific indicators can be applied for effective Personnel Security Management and to what level the indicators influence to Personnel Security Management. In order to answer the inquiries, Personnel Security Management indicators were developed by the empirical research through theoretical consideration and discussion with security experts. Although some standards or indicators on personnel security had already been presented, their contents were practically insufficient to application. This study takes it a major purpose to present new indicators by theoretically integrating personnel security indicators and relevant categories dispersed as fractions here and there and reviewing them from a new perspective. As a process of the study, theoretical foundations were constructed based on theoretical considerations and preceding researches on related literate, Personnel Security Management research indicators were selected, discussion with specialists were conducted; and a compatibility questionnaire on the indicators was taken into consideration. It was also revealed that the access control indicators have an influence on security awareness and restraint error category. This study reviewed domestic and international personnel security bases and standards in compliance with the international security standard as preceding research material, referenced to the existing personnel security guidelines of some counties including the United States, the United Kingdom, and Australia and recent domestic and international researches and standards on personnel security, and was prepared based on the researcher’s personal experience as an international security control officer and through the process of converging opinions from discussion with security professionals. The Personnel Security Management Indicators drawn by this study are newly established management indicators and expected to work as an important milestone to Personnel Security Management. They are also expected to greatly contribute to the management of security control and personnel security as a product with both the theoretical background and practical scientific research.
The Information-Oriented Era has arrived. Information is a core and fundamental asset of any organization, and new information technologies will allow more interaction creating a global evolution. The Information has greatly changed society including knowledge, culture, and economy and the right effects of information are increasingly expanded in a variety of areas. However, the reverse effects of information such as illegal leak, misuse, hacking, and virus spread have become an emerging issue. In particular, the information illegal leak by insider is being raised as a fatal and acute security management problem. Contons and Cleiman(2008) explained that the motive for an attack is resulted from such elements as greed, power, vengeance, political interest, fear, or vice. Pleeger(2005) mentioned that such an attack could be executed when the following danger-inducing prerequisites existed: a method with technology, knowledge, and tools; necessary time to perform the attack and easily obtainable opportunity; and motive as a cause of performing the attack. The RAND Research Institute(2002) has most sensitively assessed the threat caused by someone who is authorized for access to information assets by organization. Recent researches by domestic and international information security related institutes and linked organizations shows that security troubles take place more frequently by internal causes than by external reasons and the internal threats were considered more dangerous. Security incidents from internal threats have increased every year(IDC, 2007) and Internal threats have assessed as the most serious type of threats in that authorized personnel have capability to attack vulnerable information environment using designated procedures and to attack critical assets in a fast and easy way(DOD, 2007). This research developed New Personnel Security Management Indicators against the vulnerability of personnel security by an authorized person through theoretically reviewing, empirical study and the multiple regression analysis using SPSS 12.0. As a result, Personnel Security Management indicators were identified as 26 indicators in 9 items out of 3 categories, and the correlation between levels of security management were studied through verified indicators by further researches. The key points and results of the research are as follows. Firstly, Personnel Assurance consists of background investigation, competence assessment, and security authentication and is managed based on personnel trust. The background investigation was conducted based on these indicators: the range of investigation respondents, the execution of background inquiry, and the selection of investigation scope. The competence assessment is composed of indicators that assessed interviews, recommendations or guarantee, and security capacity or career. The security authentication consists of indicators on pledge or agreement, cancellation or suspension, and change of approval. Secondly, Personnel Competence was reviewed according to the indicators such as security awareness, security training, and security evaluation, which are the elements of managing individual security performance ability. The security awareness consists of security management awareness, ethical awareness of social norms, and professional awareness. The security training has indicators of implementation of security programs, completion of individual training requirement, and training on IT knowledge and understanding. The security assessment has indicators such as application of incentives, individual security assessment, and assessment by the RED team. Thirdly, Personnel Security Control is comprised of three categories of business control, incident control, and access control. This is an area to control individuals’ points of view to prevent any security related violations while they are performing security duties. The business control is classified into business classification, business exchange, and business division, the incident control into breaching response, follow-up measures, and report requirement, and the access control into access regulation on information systems and facilities. The Personnel Security Management Indicators verified by the process of compatibility analysis were finally identified as 26 ones out of initial 27 research indicators with one 'regulation compliance from the capacity assessment' excluded. An hypothesis on the interrelation between the 3 independent variables 'Personnel Security, Personnel Competence, and Personnel Security Control' and 3 dependent variables 'Security Awareness, Regulation Observance, and Restraint Error' at the level of Personnel Security Management, and the correlations were analyzed by the multiple regression analysis. Some characteristics of the multiple regression analysis include these: the hypothesis was partially adapted and verified to have an effect on the correlations; the background indicator for personnel security was assessed as a significantly important element; the capacity assessment factors was reviewed with the consideration of the regulation observance, and restraint error in the security response category; the security training and security control indicators were analyzed with the focus on the security awareness and regulation compliance categories. In addition, it can be said that in the trouble control indicators, security threats done by insiders accessing official information and privately leaking confidential information through security awareness and regulation observance element process are the most vulnerable and uncontrollable case. The purpose of this study is to develop personnel security related management indicators belonging to the managerial security in the Information Security and to verify them in an empirical method based on the above mentioned security environment and the trend of insider threats. The study began with the question, ‘Are researches on personnel security necessary?’ Additional inquiries were raised concerning which specific indicators can be applied for effective Personnel Security Management and to what level the indicators influence to Personnel Security Management. In order to answer the inquiries, Personnel Security Management indicators were developed by the empirical research through theoretical consideration and discussion with security experts. Although some standards or indicators on personnel security had already been presented, their contents were practically insufficient to application. This study takes it a major purpose to present new indicators by theoretically integrating personnel security indicators and relevant categories dispersed as fractions here and there and reviewing them from a new perspective. As a process of the study, theoretical foundations were constructed based on theoretical considerations and preceding researches on related literate, Personnel Security Management research indicators were selected, discussion with specialists were conducted; and a compatibility questionnaire on the indicators was taken into consideration. It was also revealed that the access control indicators have an influence on security awareness and restraint error category. This study reviewed domestic and international personnel security bases and standards in compliance with the international security standard as preceding research material, referenced to the existing personnel security guidelines of some counties including the United States, the United Kingdom, and Australia and recent domestic and international researches and standards on personnel security, and was prepared based on the researcher’s personal experience as an international security control officer and through the process of converging opinions from discussion with security professionals. The Personnel Security Management Indicators drawn by this study are newly established management indicators and expected to work as an important milestone to Personnel Security Management. They are also expected to greatly contribute to the management of security control and personnel security as a product with both the theoretical background and practical scientific research.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.