본 논문은 인적자산 보안관리에 관한 프레임워크를 개발하였고 이를 기반으로 관리지표와 보안수준 제고 요인을 도출하고 이를 실증적으로 분석한 연구이다. 인적자산 보안관리 프레임워크는 인원보증(Personnel Assurance), 개인역량(Personnel Competence), 보안 통제(Security Control) 분야로 구성되어 있으며, 관리지표는 9개 항목의 26개 지표로 도출되었다. 또한 보안수준 제고 요인은 보안인지, 규칙준수, 실수억제 항목으로 도출되었다. 연구결과, 보안관리 지표와 관리수준 제고 항목의 실증분석 결과는 대부분 부합성과 유의성을 가지고 있었으며 조직의 인적자산 보안관리 시 유용하게 적용될 것으로 기대된다.
본 논문은 인적자산 보안관리에 관한 프레임워크를 개발하였고 이를 기반으로 관리지표와 보안수준 제고 요인을 도출하고 이를 실증적으로 분석한 연구이다. 인적자산 보안관리 프레임워크는 인원보증(Personnel Assurance), 개인역량(Personnel Competence), 보안 통제(Security Control) 분야로 구성되어 있으며, 관리지표는 9개 항목의 26개 지표로 도출되었다. 또한 보안수준 제고 요인은 보안인지, 규칙준수, 실수억제 항목으로 도출되었다. 연구결과, 보안관리 지표와 관리수준 제고 항목의 실증분석 결과는 대부분 부합성과 유의성을 가지고 있었으며 조직의 인적자산 보안관리 시 유용하게 적용될 것으로 기대된다.
This study is to develop a human resource (HR) security framework, and related HR security indicators in the context of information security. The HR security framework consists of three constructs, personnel assurance, personnel competence, and personnel security control. Based on the framework, HR ...
This study is to develop a human resource (HR) security framework, and related HR security indicators in the context of information security. The HR security framework consists of three constructs, personnel assurance, personnel competence, and personnel security control. Based on the framework, HR security management indicators are derived as 26 indicators in 9 items out of 3 categories. An empirical research has been performed to verify the relevance and consistency between the indicators by conducting a questionnaire-based survey. Also, interrelationships between the proposed indicators and HR related security level were analyzed by the multiple regression analysis. As a result, the proposed hypothesis were mostly accepted, showing the significant relationships between the indicators and security level.
This study is to develop a human resource (HR) security framework, and related HR security indicators in the context of information security. The HR security framework consists of three constructs, personnel assurance, personnel competence, and personnel security control. Based on the framework, HR security management indicators are derived as 26 indicators in 9 items out of 3 categories. An empirical research has been performed to verify the relevance and consistency between the indicators by conducting a questionnaire-based survey. Also, interrelationships between the proposed indicators and HR related security level were analyzed by the multiple regression analysis. As a result, the proposed hypothesis were mostly accepted, showing the significant relationships between the indicators and security level.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문은 기존 선행연구의 고찰, 인적 자산에 의한 사고의 동기와 위협 등을 포괄적으로 연구하고 정보보호에서의 인적자산 보안관리를 위한 프레임워크와 관리지표를 개발하는 목적으로 수행되었다. 연구방법은 선행연구와 전문가 의견수렴 과정을 거쳐 연구지표를 도출하고, 도출된 지표의 내적일관성과 타당성, 용이성, 신뢰성에 대한 부합성 분석을 실시하였다.
본 논문에서 인적자산 보안관리 지표를 개발하기 위하여 기존 문헌을 참조하고 한미국방 정보보호 전문가의 의견을 수렴하여 인적자산 보안관리 프레임워크를 개발하였다. 인적자산 보안관리 프레임워크는 ①신뢰할 수 있으며 개인적인 능력과 자질을 갖춘 인원을 획득하고[10,12], ② 개인 보안관리를 충분하게 지지할 수 있는 개인적인 보안역량을 구비하고[16,17], ③ 임무 수행 중 지속적인 관리와 개인의 보안통제를 유기적으로 실행[5,11]하고 순환하는 것이며 [그림 1]에서 보는 바와 같다.
본 연구모형은 도출된 지표들이 보안수준 제고에 얼마나 유의한지에 관한 연구 질문을 실증적으로 분석하기 위하여 설계되었다. 즉 지표의 항목들이 보안수준에 영향을 미치는지에 관한 연구이며 유의한 영향을 미칠 경우, 지표들은 실질적인 보안수준 제고에 유용할 것으로 평가될 수 있을 것이다.
첫째, 본 논문은 정보보호를 위한 인적자산 보안관리 지표에 대한 최초의 학술연구이다. 또한 인적자산 보안관리 분야와 현존하는 보안위협 요인 및 대책을 포괄적으로 연구하여 시의성과 실용성을 갖추고 있다.
가설 설정
9는 인원보증을 철저하게 할수록 보안 수준 항목이 높아진다. 가설 2.1~2.9는 개인역량 관리를 철저하게 할수록 보안 수준 항목이 높아진다. 가설 3.
9는 개인역량 관리를 철저하게 할수록 보안 수준 항목이 높아진다. 가설 3.1~3.9는 보안통제를 철저하게 할수록 보안 수준 항목이 높아진다고 설정하였으며 가설 중 인원보증과 보안수준 제고의 항목 간 가설은 [표 2]와 같다.
제안 방법
그러나 이를 제외한 모든 지표들은 본 연구에서 도출한 지표들이 일관성과 부합성을 충분히 확보하고 있음을 뒷받침하는 것으로 판단된다. 그러므로 산술평균 분석에서 3.0 이상에 부합되지 않는 법규준수 지표 (PA23)를 제외한 총 3개 분야, 9개 항목, 26개 지표를 인적자산 보안관리 지표로 채택하였다.
둘째, 인적자산 보안관리에 관한 실증적인 연구를 통하여 인적자산 보안관리 프레임워크와 인적자산 보안 관리지표(3개 분야. 9개 항목, 26개 지표)를 도출 하였다. 이는 정보보호에서 인적자산 보안관리에 대한 이론적 배경이 될 뿐만 아니라, 국가 차원이나 기업 차원의 인적자산 보안관리의 참고가 되는 지표로 유용할 것이다.
셋째, 인적자산 보안관리 수준 제고를 위한 항목을 개발하고 이를 실증적인 방법으로 검증하였다. 도출된 보안관리 제고 항목을 인적자산 보안관리 시 참조 기준으로 적용하면 유용할 것으로 기대된다.
연구 가설은 인적자산 보안관리와 보안수준 제고 간의 관계 검증을 위하여 구성하였다. 가설 1.
따라서 본 논문은 기존 선행연구의 고찰, 인적 자산에 의한 사고의 동기와 위협 등을 포괄적으로 연구하고 정보보호에서의 인적자산 보안관리를 위한 프레임워크와 관리지표를 개발하는 목적으로 수행되었다. 연구방법은 선행연구와 전문가 의견수렴 과정을 거쳐 연구지표를 도출하고, 도출된 지표의 내적일관성과 타당성, 용이성, 신뢰성에 대한 부합성 분석을 실시하였다. 또한 도출된 관리지표들이 보안수준 제고에 유의 한지에 관하여 SPSS 12를 이용한 다중회귀분석을 실시하였다.
인적자산 보안관리 지표 도출을 위한 부합성 분석은 도출된 지표의 내적일관성을 검증하고 개별 지표들에 대한 지표의 타당성, 유의성, 신뢰성을 평가하였다. 분석 절차는 개별 지표의 타당성, 용이성, 신뢰성을 순차적으로 평가하고 모든 항목에 부합되는 지표에 한하여 최종 지표로 채택하였으며 [그림 2]에서 보는 바와 같다.
대상 데이터
본 연구의 설문조사는 리커드 척도 5를 적용하였고 국방분야 보안관계자를 대상으로 실시되었다. 배포한 설문은 총 85부이며 이중 65부가 회수되어 약 76%의 회수율을 보였다. 자료수집의 인구통계학적 특성은 다음과 같다.
본 연구에서 인적자산 관리지표는 3개 분야, 9개항목, 26개 지표로 구성되어 있다. 보안수준 제고 분야는 인적자산 보안관리 프레임워크에서 제시된 인원보증, 개인역량, 보안통제로 구성되어 있으며 [표 1] 과 같다.
데이터처리
0 이상의 경우에 한하여 관리지표로 채택하였다. 또한 다중 회귀분석에서 Pearson 상관 계수가 유의수준 0.01, 0.05, 0.001에서 통계적으로 유의한지를 검증하였으며 이를 위한 분석도구로서 SPSS 12를 사용하였다.
연구방법은 선행연구와 전문가 의견수렴 과정을 거쳐 연구지표를 도출하고, 도출된 지표의 내적일관성과 타당성, 용이성, 신뢰성에 대한 부합성 분석을 실시하였다. 또한 도출된 관리지표들이 보안수준 제고에 유의 한지에 관하여 SPSS 12를 이용한 다중회귀분석을 실시하였다.
위에서 도출된 관리지표의 실증 분석을 위하여 ① 관리지표 검증을 위한 부합성 분석, ② 도출된 관리지표와 보안수준 제고 간 유의성 검증을 위한 다중회귀 분석을 실시하였다. 부합성 분석에서 내적일관성 (Cronbach’s α) 계수 값이 0.
위에서 도출된 관리항목은 다중회귀분석을 통하여, 독립변수(인원보증, 개인역량, 보안통제)와 종속변수 (보안인지, 규칙준수, 실수억제) 간 상관관계를 분석 하였다. 분석 결과를 종합하면 인원보증과 개인역량 항목이 보안통제 항목보다 보안수준 제고에 보다 유의한 것으로 나타났으며 세부결과는 [표 4]와 같다.
이론/모형
본 연구의 보안관리 지표는 인적보안에 관한 선행 연구 자료의 참조문헌과 주한 유엔군 사령부 및 한미연합군사령부의 한미 정보보안 전문가들로 구성된 전문가들의 토의와 의견 수렴을 통하여 도출되었다, 또한 김정덕(2003), 김정덕과 김기윤(1998)의 기존 연구에서 제시된 정보보호 지표의 고려요소인 타당성, 객관성, 용이성, 기술과 환경 요소 등을 참조 하고 반영하였다.
본 연구의 설문조사는 리커드 척도 5를 적용하였고 국방분야 보안관계자를 대상으로 실시되었다. 배포한 설문은 총 85부이며 이중 65부가 회수되어 약 76%의 회수율을 보였다.
성능/효과
이는 보안인증이 개인의 접근통제와 취급 정보의 분류를 중심으로 구분되므로 실수 억제에는 유의성이 미흡한 것으로 판단된다. 개인역량 분야의 보안의식과 보안교육은 중요한 보안수준 제고의 항목으로 모두 유의성을 가지고 있으나, 개인의 보안평가가 실수를 억제하는 것에 대한 유의성은 미흡한 것으로 나타났다. 이는 보안평가의 이론적 내용보다 실질적인 운영 능력이 실수억제에 보다 유의한 것으로 판단된다.
법규준수 지표(PA23) 의 탈락은 지표의 내용이 보안인증 항목과 중복되어있으므로 타당성에서 유효하지 못한 것으로 평가되었다. 그러나 이를 제외한 모든 지표들은 본 연구에서 도출한 지표들이 일관성과 부합성을 충분히 확보하고 있음을 뒷받침하는 것으로 판단된다. 그러므로 산술평균 분석에서 3.
보안통제 분야의 업무통제는 보안수준 제고의 실수 억제 항목에는 유의하나, 보안인지와 규칙준수에는 유의성이 미흡한 것으로 나타났다. 이는 업무통제의 영역이 업무분장과 개인의 역할 및 의무를 강조하는 사항이므로 보안인지과 규칙 준수와 유의성이 상대적으로 미흡한 것으로 판단된다.
위에서 도출된 관리항목은 다중회귀분석을 통하여, 독립변수(인원보증, 개인역량, 보안통제)와 종속변수 (보안인지, 규칙준수, 실수억제) 간 상관관계를 분석 하였다. 분석 결과를 종합하면 인원보증과 개인역량 항목이 보안통제 항목보다 보안수준 제고에 보다 유의한 것으로 나타났으며 세부결과는 [표 4]와 같다.
이는 업무통제의 영역이 업무분장과 개인의 역할 및 의무를 강조하는 사항이므로 보안인지과 규칙 준수와 유의성이 상대적으로 미흡한 것으로 판단된다. 사고 통제는 보안인지와 규칙준수에는 유의하나 실수억제에는 유의성이 미흡한 것으로 나타났다. 이는 사고통제가 실수를 억제하는 어느 정도의 순기능은 있으나, 사후 통제의 개념이 강하므로 유의성이 미흡한 것으로 판단된다.
위의 검증결과를 종합적으로 해석하면, 도출된 보안관리 지표와 보안수준 제고의 항목은 대체로 유의한 것으로 나타났다. 또한 기각된 항목일지라도 보안관리시 모든 항목이 중요하므로 실증분석의 통계적 유의성과 이론적 타당성을 고려하여 조직의 특성과 보안환경에 부합되도록 이를 고려하여 적용하는 것이 바람직할 것이다.
이는 사고통제가 실수를 억제하는 어느 정도의 순기능은 있으나, 사후 통제의 개념이 강하므로 유의성이 미흡한 것으로 판단된다. 접근통제는 보안인지와 실수억제에 유의하나, 규칙준수에는 유의성이 미흡한 것으로 나타났다. 이는 접근통제의 항목이 기술적인 방법을 강구하여 시스템적인 조치로서 통제는 가능하나 개인적 관점의 통제로는 유의성이 미흡한 것으로 판단된다.
후속연구
그러나 본 연구에서 도출된 지표를 이용한 조직에서의 실제적인 적용 평가는 제한되었다. 향후, 본 논문을 통하여 제시된 연구결과를 실제 조직에서 적용하고 이를 분석하거나 성과를 측정하는 등의 후속적인 연구가 필요하다.
셋째, 인적자산 보안관리 수준 제고를 위한 항목을 개발하고 이를 실증적인 방법으로 검증하였다. 도출된 보안관리 제고 항목을 인적자산 보안관리 시 참조 기준으로 적용하면 유용할 것으로 기대된다.
위의 검증결과를 종합적으로 해석하면, 도출된 보안관리 지표와 보안수준 제고의 항목은 대체로 유의한 것으로 나타났다. 또한 기각된 항목일지라도 보안관리시 모든 항목이 중요하므로 실증분석의 통계적 유의성과 이론적 타당성을 고려하여 조직의 특성과 보안환경에 부합되도록 이를 고려하여 적용하는 것이 바람직할 것이다.
또한 본 논문은 주한 유엔군사령부 및 연합군사령부에 근무하는 한미 국방보안 실무전문가들의 숙련된 경험 요인들이 포함되어 있으므로 본 연구에서 제시된미 국방부와 일부 외국군에게 적용되고 있는 ‘신고의무’, ‘RED팀 평가’ 등의 지표들은 유효할 것으로 기대 된다.
그러나 본 연구에서 도출된 지표를 이용한 조직에서의 실제적인 적용 평가는 제한되었다. 향후, 본 논문을 통하여 제시된 연구결과를 실제 조직에서 적용하고 이를 분석하거나 성과를 측정하는 등의 후속적인 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
보안수준 제고 분야는 인적자산 보안관리 프레임워크 구성요소는 무엇인가?
첫째, 인원보증(Personnel Assurance)은 배경 조사, 자력평가, 보안인증 항목으로 구성되어 인원의 신뢰성에 중점을 두고 관리하는 항목이다. 배경 조사 항목은 조사대상의 범위, 신원조사, 범위의 선정을 지표로 구성 되어 있으며, 자력평가 항목은 인터뷰, 추천 또는 보증, 보안자력이나 이력을 평가하는 지표로 구성되어 있다. 보안인증 항목은 서약이나 동의, 해지 또는 중지, 승인 변경에 관한 지표로 구성되어 있다. 둘째, 개인 역량(Personnel Competence)은 보안 의식, 보안교육, 보안평가 항목으로 구성되어 있으며 개인의 보안업무 수행 능력에 관한 항목이다. 보안 의식 항목은 보안관리 의식, 사회 규범적 윤리 의식, 직업의식으로 구성되어 있으며 보안교육 항목은 보안 프로그램의 시행, 개인별 필수 교육의 이수, IT 지식및 이해를 위한 교육으로 구성되어 있다. 보안평가 항목은 인센티브 적용, 보안평가로 구성되어 있다.
셋째, 보안 통제(Security Control)는 업무통제, 사고통제, 접근통제 항목으로 되어 있으며 보안업무간 보안사고 방지를 위한 개인관점의 통제 분야이다. 업무통제 항목은 임무구분, 업무교환, 업무 분장으로 구성되어 있으며 사고통제 항목은 사고대응, 사후조치, 신고 의무로 구성되어 있다. 접근통제 항목은 정보시스템과 정보보호 시설의 접근통제로 되어 있다.
인적자산 보안에 대한 개념이란?
인적자산 보안에 대한 개념은 조직의 구성원이나 협업관계에 있는 인원이 조직의 보안정책에 따라 보안 업무를 안전하게 수행하기 위한 개인적 관점의 업무영역이다[10]. 본 논문에서는 인적자산 보안관리 대상을 조직의 내부의 구성원과 외부의 인가된 인원으로 설정하였다.
정보보호 변천과정을 4가지 단계분류는?
Solms(2006)은 정보보호 변천과정을 4가지 단계로 구분하였으며, 첫 번째 단계는 정보보호 기술 중심, 두 번째 단계는 정보보호 관리 중심, 세 번째 단계는 조직화/제도화 중심, 네 번째 단계는 정보보호 거버넌스 중심으로 분류하였다[20]. 따라서 현재 선진국에서는 최고경영층의 정보보호에 대한 역할과 책임을 강조하는 거버넌스 체계가 구축 중에 있다.
참고문헌 (21)
김정덕, "개인정보보호를 위한 관리체계와 거버넌스," 정보보호학회지, 18(6), pp. 1-5, 2008년 12월
※ AI-Helper는 부적절한 답변을 할 수 있습니다.