정보자산보호 성과가 조직성과에 미치는 영향에 관한 연구: 관리활동과 통제활동을 중심으로 A Study on the Effects of the Information Asset Protection Performance on the Organization Performance: Management Activity and Control Activity원문보기
최근 기업에서는 정보자산을 여러 가지 통제 및 관리 수단을 통해 보호활동을 하고 있다. 그러나 보호수준을 높게 요구할수록 업무 수행의 불편함으로 단기적인 효율성 및 생산성이 감소하게 되었다. 이와 함께 조직의 정보보호를 위한 투자가 지속적으로 증가함에도 불구하고 정보보호 성과측정을 위한 체계적인 방법이 제시되지 않아 정보보호 투자 의사결정 및 정보보호 개선 방향 도출이 어려운 것이 현실이다. 본 연구에서는 기업의 정보자산의 보호에 대한 개념을 정립하고자 하였다. 이를 위해 문헌연구를 바탕으로 정보자산보호를 위한 활동의 유형을 관리활동과 통제활동으로 분류하여 이들이 정보자산보호활동의 성과와 조직 성과에 미치는 영향을 연구하였다. 본 연구를 위해 이론연구와 더불어 실증적 연구분석을 위해 설문조사를 실시하였으며, 수집된 자료는 PLS(Partial Least Square)를 이용하여 측정모형 및 가설검증을 실시하였다. 통계분석 결과, 정보자산보호 관리활동은 정보자산보호 성과에 긍정적 영향을 미치며, 정보자산보호 통제활동은 정보자산보호 성과에 유의한 영향을 미치지 않는 것으로 나타났다. 또한 정보자산보호 성과는 조직 성과에 대해 긍정적인 영향을 미치는 것으로 나타났다. 이 외에 본 연구결과에 대한 의의 및 한계점을 논의하였으며, 향후 연구에 대한 시사점도 언급하였다.
최근 기업에서는 정보자산을 여러 가지 통제 및 관리 수단을 통해 보호활동을 하고 있다. 그러나 보호수준을 높게 요구할수록 업무 수행의 불편함으로 단기적인 효율성 및 생산성이 감소하게 되었다. 이와 함께 조직의 정보보호를 위한 투자가 지속적으로 증가함에도 불구하고 정보보호 성과측정을 위한 체계적인 방법이 제시되지 않아 정보보호 투자 의사결정 및 정보보호 개선 방향 도출이 어려운 것이 현실이다. 본 연구에서는 기업의 정보자산의 보호에 대한 개념을 정립하고자 하였다. 이를 위해 문헌연구를 바탕으로 정보자산보호를 위한 활동의 유형을 관리활동과 통제활동으로 분류하여 이들이 정보자산보호활동의 성과와 조직 성과에 미치는 영향을 연구하였다. 본 연구를 위해 이론연구와 더불어 실증적 연구분석을 위해 설문조사를 실시하였으며, 수집된 자료는 PLS(Partial Least Square)를 이용하여 측정모형 및 가설검증을 실시하였다. 통계분석 결과, 정보자산보호 관리활동은 정보자산보호 성과에 긍정적 영향을 미치며, 정보자산보호 통제활동은 정보자산보호 성과에 유의한 영향을 미치지 않는 것으로 나타났다. 또한 정보자산보호 성과는 조직 성과에 대해 긍정적인 영향을 미치는 것으로 나타났다. 이 외에 본 연구결과에 대한 의의 및 한계점을 논의하였으며, 향후 연구에 대한 시사점도 언급하였다.
Recently, enterprises are protecting information assets with the various means of control and management. Nevertheless, they are confronted with the dilemma which the higher securitylevel they request, the lesser efficiency and productivity in short terms they acquire by the inconvenience of busines...
Recently, enterprises are protecting information assets with the various means of control and management. Nevertheless, they are confronted with the dilemma which the higher securitylevel they request, the lesser efficiency and productivity in short terms they acquire by the inconvenience of business process. In addition, in spite of the steady increase of organization's investment on information protection, the systematic way for the performance measurement of information protection has not been suggested, so that in reality, it is difficult to make the decision to invest on information-protection and elicit the direction to improve it. For this reason, this study intended to establish the concept of the protection and security of information assets of enterprises and to categorize the type of activities to protect information assets into management activity and control activity, and analyze the effects of management activity and control activity for information asset protection on the performance of information asset protection activity and organization. For this research, questionnaire survey was conducted with literature study and the PLS(Partial Least Square) was used to analyze the measurement model and hypotheses testing. The PLS analysis results indicate that management activity for information asset protection affects information asset protection performance. Further, organizational performance is influenced by information asset protection performance. Practical implications of these findings and future research implications are also discussed.
Recently, enterprises are protecting information assets with the various means of control and management. Nevertheless, they are confronted with the dilemma which the higher securitylevel they request, the lesser efficiency and productivity in short terms they acquire by the inconvenience of business process. In addition, in spite of the steady increase of organization's investment on information protection, the systematic way for the performance measurement of information protection has not been suggested, so that in reality, it is difficult to make the decision to invest on information-protection and elicit the direction to improve it. For this reason, this study intended to establish the concept of the protection and security of information assets of enterprises and to categorize the type of activities to protect information assets into management activity and control activity, and analyze the effects of management activity and control activity for information asset protection on the performance of information asset protection activity and organization. For this research, questionnaire survey was conducted with literature study and the PLS(Partial Least Square) was used to analyze the measurement model and hypotheses testing. The PLS analysis results indicate that management activity for information asset protection affects information asset protection performance. Further, organizational performance is influenced by information asset protection performance. Practical implications of these findings and future research implications are also discussed.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
또한 정보보호는 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적·기술적 수단을 강구하는 것을 말한다. 또한 정보자산보호란 발생 가능한 모든 정보자산의 유출 및 다양한 위협으로부터 기업의 가치 있는 정보자산을 보호하며, 기업비밀 및 정보자산이 관계자 외 또는 타 경쟁기업에 공개 혹은 유출되지 않도록 하는 유형 무형의 모든 예방 조치이며 위험 상황 발생 시 사업에 피해를 최소화하여 사업의 연속성을 유지하기 위한 것을 말한다. 구체적으로, 정보자산의 주체가 의도하지 않은 정보의 누출, 변경, 파괴를 방지하는 것을 말하며, 정보자산의 생성, 처리, 저장, 전송, 출력 등 정보순환의 모든 과정에서 정보의 기밀성, 무결성, 가용성, 추적성, 인증성, 신뢰성을 확보하기 위한 제반 수단과 활동을 의미한다(Solms 등 1990).
본 연구는 기존 연구 문헌들과 실제 사례 및 현황 조사를 토대로 정보자산보호 활동이 정보자산보호 성과에 영향을 미친다는 전제 하에 정보보호 성과에 영향을 미치는 정보자산보호 활동을 직접적인 통제활동과 정보자산 보호 성과를 효율화, 효과 극대화를 위한 정책, 관리활동으로 측정 항목을 도출하여 유의성을 살펴 보았고, 이어서 이러한 정보자산보호 성과가 조직의 본질적인 성과에 미치는 영향을 살펴보았다.
둘째, 조직 특성별 영향 요인이나 차이에 대한 설명이 부족하다. 본 연구에서는 조사 대상인 조직별 특성들을 고려하지 않고 정보자산보호 활동에 관한 자료 수집과 조사가 이루어졌기 때문에 이러한 세부적 차이에 대한 설명이 부족하다. 이들 특성들이 분석대상으로 포함되었다면 연구결과에 대해 좀 더 일반론적인 대표성을 가질 수 있었을 것이다.
이에 본 연구에서는 정보자산의 보호에 대한 개념을 알아보고 정보자산보호를 위한 활동의 유형을 관리적 활동과 기술기반의 통제적 활동으로 분류하여 분석하며, 효과적인 정보자산보호활동 방안 마련을 위해 정보자산보호 성과와 조직 성과에 미치는 정보자산보호를 위한 관리활동과 통제활동의 영향을 연구하고자 한다. 본 연구목적을 위해서 문헌연구를 통한 정보자산보호의 개념 및 관련 연구와 정보자산보호 활동 등에 대하여 알아보고, 국내 기업을 대상으로 한 설문 조사를 통하여, 각 기업조직의 정보자산보호 관련 관리 및 통제 활동과 성과에 대한 자료를 수집하여 이를 실증적으로 분석하였다.
2.5 연구 가설의 설정
정보자산보호 활동에 대한 본 연구에서는 정보자산보호 활동이 정보자산보호 성과에 영향을 미치며, 정보자산보호 성과가 조직의 본질적인 성과에 기여한다는 것이 관련 연구들을 통하여 제시되어 이를 검증하고자 하며, 다음과 같은 가설을 설정하였다. 이에 대한 연구 모형이 <그림 1>에 제시되어 있다.
가설 설정
가설1, 정보자산보호 관리활동은 정보자산보호 성과에 영향을 미친다.
제안 방법
이 연구의 목적도 인과관계 증명에 있으며, 설문대상이 조직이므로 표본 수 확보에 대한 제한성으로 PLS가 본 연구에 적합하다고 판단된다. 가설 검증을 위한 구조 모형(structural model) 검증에 앞서 측정치의 신뢰성과 타당성 분석을 위한 측정 모형(measurement model)의 검증을 수행하였다.
위 연구에서 설명한 바와 같이 본 연구에서는 문헌 연구를 통해 정보자산보호 성과에 미치는 요인으로 정보자산보호 관리 및 통제활동을 설정하였다. 또한 조직 성과에 영향을 미치는 요인으로 정보자산보호 성과를 설정하였다.
정보자산보호 관리활동은 정보자산보호 성과라는 목표를 달성하기 위하여 조직이 수행하는 행위로써 직접적인 기능보다는 효과적이며 효율적인 정보보호 성과를 위한 관리활동의 정도로 정의된다. 보호대상 정보자산 식별 및 평가 리스크 분석 및 평가, 조직체계 수립 및 교육, 정보자산보호 정책수립, 사고대응 및 사후관리로 이어지는 정보자산보호 아키텍처 수립활동 내용을 이론적 고찰을 통하여 변수로 구성하였다. 본 연구에서는 위 조작적 정의를 바탕으로 해당 9개 측정항목을 리커트 5점 척도로 측정하였다.
이에 본 연구에서는 정보자산의 보호에 대한 개념을 알아보고 정보자산보호를 위한 활동의 유형을 관리적 활동과 기술기반의 통제적 활동으로 분류하여 분석하며, 효과적인 정보자산보호활동 방안 마련을 위해 정보자산보호 성과와 조직 성과에 미치는 정보자산보호를 위한 관리활동과 통제활동의 영향을 연구하고자 한다. 본 연구목적을 위해서 문헌연구를 통한 정보자산보호의 개념 및 관련 연구와 정보자산보호 활동 등에 대하여 알아보고, 국내 기업을 대상으로 한 설문 조사를 통하여, 각 기업조직의 정보자산보호 관련 관리 및 통제 활동과 성과에 대한 자료를 수집하여 이를 실증적으로 분석하였다.
조직 성과는 기술/서비스보호를 통한 자산 손실 방지, 비즈니스 연속성 및 기회 성과, 이미지손실 방지에 따른 이미지 유지 성과, 고객 유지 및 고객기반 확대 성과에 따른 매출 증대 성과의 정도로 정의된다. 본 연구에서는 위 조작적 정의를 바탕으로 해당 3개 측정항목을 리커트 5점 척도로 측정하였다.
정보자산보호 성과는 조직이 목표로 보안사고 감소 성과, 직원의 인식제고와 만족도 향상, 협력사 간의 정보교류 신뢰도 향상, 개인정보보호에 대한 고객 신뢰도 향상과 같은 정보자산보호 활동 성과의 정도로 정의된다. 본 연구에서는 위 조작적 정의를 바탕으로 해당 5개 측정항목을 리커트 5점 척도로 측정하였다.
이러한 불법적 접근에 의한 마지막 보호 수단인 암호화와 정보보호정책에 의거하여 적절하게 운영되고 있는 지를 확인하는 통제활동인 운영적 통제를 변수로 구성하였다. 본 연구에서는 위 조작적 정의를 바탕으로 해당 8개 측정항목을 리커트 5점 척도로 측정하였다.
보호대상 정보자산 식별 및 평가 리스크 분석 및 평가, 조직체계 수립 및 교육, 정보자산보호 정책수립, 사고대응 및 사후관리로 이어지는 정보자산보호 아키텍처 수립활동 내용을 이론적 고찰을 통하여 변수로 구성하였다. 본 연구에서는 위 조작적 정의를 바탕으로 해당 9개 측정항목을 리커트 5점 척도로 측정하였다.
본 연구의 자료수집은 대한상공회의소 선정 100대 기업 및 기관(2007년 매출액 기준) 중 50여 개 기업 및 기관을 대상으로 2008년 11월 10일부터 11월 30일까지 약 3주간 설문조사 방법으로 실시하였다. 본 연구의 분석 단위는 조직이며, 설문대상자는 각 기업 및 기관의 정보보호 관련 업무 종사자와 또는 유관업무 종사자를 대상으로 기업 및 기관당 1명씩 설문지를 배포, 수집하였다. 설문 회수 현황은 다음 <표 1>과 같이 총 52부의 설문이 배포되어 39부의 설문지가 회수되었으며, 설문 중 결측치를 포함하는 8개의 설문지를 제외한 31개의 설문지로 최종 분석하였다.
연구 모형에 포함되어 있는 변수의 측정을 위한 설문 항목들의 신뢰성(reliability)과 개념타당성(construct validity)을 확인적 요인 분석(confirmatory factory analysis)으로 평가하였다. 이를 위해 기본적으로 각 변수별 개별항목 신뢰성(individual item reliability), 내적 일관성(internal consistency), 그리고 판별타당성(discriminant validity)을 분석하였다.
정보자산보호 활동과 정보자산보호 성과 및 조직 성과에 대한 본 연구의 개념적 모형은 <그림 1>에 나타나 있다. 위 연구에서 설명한 바와 같이 본 연구에서는 문헌 연구를 통해 정보자산보호 성과에 미치는 요인으로 정보자산보호 관리 및 통제활동을 설정하였다. 또한 조직 성과에 영향을 미치는 요인으로 정보자산보호 성과를 설정하였다.
정보에 대한 인가된 사람에게 접근을 허용하고 인가되지 않은 사람에게는 접근을 통제하는 물리적 보안 활동, 네트워크, 응용시스템에 대한 기술적 접근통제활동과 외부인의 불법적인 접근시도와 내부 관련자들의 부주의나 고의적인 행동에 의해 불법 접근이 이루어질 가능성은 항상 존재한다. 이러한 불법적 접근에 의한 마지막 보호 수단인 암호화와 정보보호정책에 의거하여 적절하게 운영되고 있는 지를 확인하는 통제활동인 운영적 통제를 변수로 구성하였다. 본 연구에서는 위 조작적 정의를 바탕으로 해당 8개 측정항목을 리커트 5점 척도로 측정하였다.
연구 모형에 포함되어 있는 변수의 측정을 위한 설문 항목들의 신뢰성(reliability)과 개념타당성(construct validity)을 확인적 요인 분석(confirmatory factory analysis)으로 평가하였다. 이를 위해 기본적으로 각 변수별 개별항목 신뢰성(individual item reliability), 내적 일관성(internal consistency), 그리고 판별타당성(discriminant validity)을 분석하였다. 개별항목 신뢰성은 측정하고자 하는 개념(construct)과 관련된 설문 항목들의 요인 적재값(factor loading)으로 평가된다.
대상 데이터
본 연구의 자료수집은 대한상공회의소 선정 100대 기업 및 기관(2007년 매출액 기준) 중 50여 개 기업 및 기관을 대상으로 2008년 11월 10일부터 11월 30일까지 약 3주간 설문조사 방법으로 실시하였다. 본 연구의 분석 단위는 조직이며, 설문대상자는 각 기업 및 기관의 정보보호 관련 업무 종사자와 또는 유관업무 종사자를 대상으로 기업 및 기관당 1명씩 설문지를 배포, 수집하였다.
설문 회수 현황은 다음 과 같이 총 52부의 설문이 배포되어 39부의 설문지가 회수되었으며, 설문 중 결측치를 포함하는 8개의 설문지를 제외한 31개의 설문지로 최종 분석하였다.
데이터처리
7 이상이면 각 변수의 측정이 내적 일관성이 있다고 판단된다. 판별타당성의 평가는 추출된 평균분산(AVE: average variance extracted)의 제곱근 값을 사용한다(Barclay et al. 1995). 각 측정 항목은 모형 내의 다른 개념보다 자신이 나타내고자 하는 개념과 더 큰 분산을 공유하여야 하는데, 추출된 평균분산의 제곱근 값이 다른 측정 변수와의 분산 공유 정도보다 높고 0.
이론/모형
6 이상의 경우 개별항목 신뢰성이 있는 것으로 간주하였다. 내적 일관성은 종합요인 신뢰성 지수(composite scale reliability index)를 사용하여 분석하였다. 종합요인 신뢰성 지수가 0.
본 연구에서는 자료 분석을 위하여 PLS(Partial Least Squares)를 사용하였다. PLS는 AMOS 등의 구조 방정식 분석기법에 비해 상대적으로 적은 수의 표본을 대상으로도 사용 가능하며, 변수의 타당성을 측정하는 측정 모델(measurement model)과 변수의 경로와 설명력을 나타내는 구조 모형(structural model)을 동시에 측정할 수 있다(Yoo and Alavi 2001).
성능/효과
구조 모형의 분석 결과, 정보자산보호 관리활동은 정보자산보호 성과에 긍정적인 영향을 미치는 것으로 나타났다(가설 2의 채택, t=7.851, p=0.001). 그리고 정보자산보호 성과 또한 조직의 본질적인 성과에 긍정적인 영향을 미치는 것으로 밝혀졌다(가설 3의 채택, t=18.
001). 그리고 정보자산보호 성과 또한 조직의 본질적인 성과에 긍정적인 영향을 미치는 것으로 밝혀졌다(가설 3의 채택, t=18.855, p=0.001). 그러나, 정보자산보호 통제활동은 정보자산보호 성과에 미치는 영향은 기각 되었다(가설 1의 기각, t=1.
연구분석 결과, 정보자산보호 관리활동은 정보자산보호 성과에 영향을 미치지만 정보자산 통제활동은 정보자산보호 성과에 미치는 영향은 미약한 것으로 검증되었으며, 이어서 정보자산보호 성과는 조직의 본질적인 성과에 대한 영향에 대한 검증도 채택되었다. 정보자산보호 통제활동이 정보자산보호 성과에 유의한 영향을 미치지 못하는 것으로 나타난 결과는 국내기업들이 정보자산보호를 위한 통제활동에 대한 투자 등 리소스 투입의 노력에 비하여 성과에 대한 결과가 미흡하거나 불확실한 것으로 인식되고 있는 것으로 사려된다.
기업 및 조직에서는 정보자산을 여러 가지 통제 및 관리 수단을 통해 보호활동을 하고 있으나, 보안수준을 높게 요구할수록 업무 수행의 불편함으로 단기적인 효율성 및 생산성이 감소하게 되는 딜레마에 빠지게 된다. 이러한 상황으로 인해 정보자산보호 활동이 조직적이고 체계적으로 수행할 수 있는 정보자산보호 아키텍처와 같은 관리적/정책적 프로세스 정립이 요원하며 단편적인 통제활동 중심으로 이루어지고 있으나, 본 연구 결과에서 나타났듯이 조직이 정보자산보호 성과를 극대화시키기 위해서는 단편적인 통제활동보다는 체계적인 관리활동이 유의함이 증명 되었으며, 이와 같은 정보자산보호 활동에 대한 투자에 따른 성과가 조직의 본질적인 성과에 긍정적인 영향을 미치는 것으로 나타났다. 본 연구의 결과는 기업 등 조직에서 통제 중심의 정보보호 활동을 장단기에 걸친 관리 및 투자 중심으로 확대하고 정보자산보호 활동방향 수립 시 관리적, 정책적 요소의 중요성이 반영되고, 조직의 성과와 정보자산보호에 대한 리소스 투입 간의 관계된 의사결정 시 긍정적인 방향으로 기여 할 것으로 기대된다.
또한 Ariss(2001)는 정보자산보호 활동에 대해 정보시스템 및 네트워크와 같은 정보자산에 대한 통제를 통해 정보 자산의 남용 방지뿐만 아니라 법 준수와 같은 공공만족의 성과를 가진다고 하였다. 이상의 선행연구를 살펴본 결과, 정보자산보호 기술들과 정책들은 정보자산보호 활동의 현실과 기술적 불완전함을 얼마나 또는 어떻게 잘 극복해 나갈 것인가라는 문제와 직결된다고 할 수 있다. 따라서 조직에서 정보자산보호 활동의 성과를 위해서는 정보자산보호 활동에 대한 투자 성과를 기반으로 의사결정에 대한 권한과 책임이 필요하며 통제적, 정책적 모든 활동이 함께 반영되고 정보자산보호 활동과 조직의 목표 사이의 균형을 맞출 필요가 있음을 알 수 있다(Smith 2001).
28). 즉, 정보자산보호 성과를 위해서는 강제적이고 단편적인 통제 중심의 활동보다는 체계적인 관리적, 정책적 활동과 이에 따른 위한 조직구성, 구성원의 정보보호에 대한 인식변화가 긍정적인 영향을 미치며, 이와 같은 정보자산보호 활동을 통한 보안사고 감소, 임직원의 정보보호 인식제고와 같은 정보자산보호 성과 또한 고객 기반 확대, 매출 증대 등 조직의 본질적인 성과에 긍정적인 영향을 미치는 것으로 분석되었다.
정보자산보호 통제활동이 정보자산보호 성과에 유의한 영향을 미치지 못하는 것으로 나타난 결과는 국내기업들이 정보자산보호를 위한 통제활동에 대한 투자 등 리소스 투입의 노력에 비하여 성과에 대한 결과가 미흡하거나 불확실한 것으로 인식되고 있는 것으로 사려된다. 즉, 정보자산보호 성과를 위해서는 강제적이고 단편적인 통제중심의 활동보다는 체계적인 관리적, 정책적 활동과 이에 따른 조직구성, 구성원의 정보보호에 대한 인식변화가 긍정적인 영향을 미치며, 이와 같은 정보자산보호 활동을 통한 보안사고 감소, 임직원의 정보보호 인식제고와 같은 정보자산보호 성과 또한 고객 기반 확대, 매출 증대 등 조직의 본질적인 성과에 긍정적인 영향을 미치는 것으로 분석되었다.
후속연구
이들 특성들이 분석대상으로 포함되었다면 연구결과에 대해 좀 더 일반론적인 대표성을 가질 수 있었을 것이다. 또한 기업 및 조직내 정보보호 담당자라는 조직 단위의 설문대상의 제한성으로 절대적인 샘플 확보가 부족하여 분석결과에 한계가 있다.
연구의 한계에서도 지적했듯이 향후 연구 방향은 정보자산보호 활동에 대한 더욱 많은 영향 요소들을 고려한 포괄적인 연구모델의 개발의 필요성이 제기된다. 또한 정보자산의 종류와 기업 업종에 따른 연구가 이루어진다면 더욱 구체적이고 실제적인 연구결과로서 활용할 수 있을 것으로 생각된다. 정보자산보호 활동의 핵심요인 도출 및 성과에 대한 실증적 연구가 부족한 상황이다.
이러한 상황으로 인해 정보자산보호 활동이 조직적이고 체계적으로 수행할 수 있는 정보자산보호 아키텍처와 같은 관리적/정책적 프로세스 정립이 요원하며 단편적인 통제활동 중심으로 이루어지고 있으나, 본 연구 결과에서 나타났듯이 조직이 정보자산보호 성과를 극대화시키기 위해서는 단편적인 통제활동보다는 체계적인 관리활동이 유의함이 증명 되었으며, 이와 같은 정보자산보호 활동에 대한 투자에 따른 성과가 조직의 본질적인 성과에 긍정적인 영향을 미치는 것으로 나타났다. 본 연구의 결과는 기업 등 조직에서 통제 중심의 정보보호 활동을 장단기에 걸친 관리 및 투자 중심으로 확대하고 정보자산보호 활동방향 수립 시 관리적, 정책적 요소의 중요성이 반영되고, 조직의 성과와 정보자산보호에 대한 리소스 투입 간의 관계된 의사결정 시 긍정적인 방향으로 기여 할 것으로 기대된다.
연구의 한계에서도 지적했듯이 향후 연구 방향은 정보자산보호 활동에 대한 더욱 많은 영향 요소들을 고려한 포괄적인 연구모델의 개발의 필요성이 제기된다. 또한 정보자산의 종류와 기업 업종에 따른 연구가 이루어진다면 더욱 구체적이고 실제적인 연구결과로서 활용할 수 있을 것으로 생각된다.
Barclay 등(1995)은 PLS가 정보시스템과 관련된 조직 및 사회 현상을 연구하는 데적합한 도구라고 설명하였으며, 이 연구에서와 같이 측정 도구가 개발되지 않았거나 측정 모형이 탐험적인 연구에 PLS 연구가많이 사용되고 있다. 이 연구의 목적도 인과관계 증명에 있으며, 설문대상이 조직이므로 표본 수 확보에 대한 제한성으로 PLS가 본 연구에 적합하다고 판단된다. 가설 검증을 위한 구조 모형(structural model) 검증에 앞서 측정치의 신뢰성과 타당성 분석을 위한 측정 모형(measurement model)의 검증을 수행하였다.
본 연구에서는 조사 대상인 조직별 특성들을 고려하지 않고 정보자산보호 활동에 관한 자료 수집과 조사가 이루어졌기 때문에 이러한 세부적 차이에 대한 설명이 부족하다. 이들 특성들이 분석대상으로 포함되었다면 연구결과에 대해 좀 더 일반론적인 대표성을 가질 수 있었을 것이다. 또한 기업 및 조직내 정보보호 담당자라는 조직 단위의 설문대상의 제한성으로 절대적인 샘플 확보가 부족하여 분석결과에 한계가 있다.
본 연구는 다음과 같은 한계점을 가지고 있다. 이와 같은 한계점은 향후 연구에서 보완되어 더욱 발전적인 방향으로 나아가도록 해야 할 것이다.
첫째, 정보자산보호 활동과 관련하여 횡단적(cross-sectional) 연구를 수행하여 보호 활동 이전과 이후에 대한 성과 관련성에 관한 연구를 수행하지 못했다는 점이다. 정보자산보호 활동 이전과 이후에 대한 차이 분석이 수행될 필요가 있으므로, 차후의 연구에서는 종단적(longitudinal) 차원의 연구가 수행된다면 현재의 연구보다 진보된 연구로 평가될 것이다.
첫째, 정보자산보호 활동과 관련하여 횡단적(cross-sectional) 연구를 수행하여 보호 활동 이전과 이후에 대한 성과 관련성에 관한 연구를 수행하지 못했다는 점이다. 정보자산보호 활동 이전과 이후에 대한 차이 분석이 수행될 필요가 있으므로, 차후의 연구에서는 종단적(longitudinal) 차원의 연구가 수행된다면 현재의 연구보다 진보된 연구로 평가될 것이다.
정보자산보호 활동의 핵심요인 도출 및 성과에 대한 실증적 연구가 부족한 상황이다. 향후 연구에서는 기업 및 조직의 정보자산보호 활동의 효과를 극대화하고 보편화한 연구가 진행될 필요가 있으며, 이는 정보자산보호 활동 연구에 있어서 큰 의의가 있을 것으로 판단된다.
질의응답
핵심어
질문
논문에서 추출한 답변
정보자산이란?
정보자산(Information Asset)이란 기업이 비즈니스 목표를 달성하도록 지원하기 위해 사용하는 정보시스템 및 프로그램, 그리고 그 정보시스템이 만들거나 소유하고 있는 데이터를 포괄하는 개념이며, 기업의 서비스, 이미지, 브랜드 등 조직에 가치 있는 모든 정보를 포함한다(이준택 2007). 정보자산은 정보가 들어 있는 모든 매체인 정보매체를 통해 분류될 수 있다.
정보자산보호란?
또한 정보보호는 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적·기술적 수단을 강구하는 것을 말한다. 또한 정보자산보호란 발생 가능한 모든 정보자산의 유출 및 다양한 위협으로부터 기업의 가치 있는 정보자산을 보호하며, 기업비밀 및 정보자산이 관계자 외 또는 타 경쟁기업에 공개 혹은 유출되지 않도록 하는 유형 무형의 모든 예방 조치이며 위험 상황 발생 시 사업에 피해를 최소화하여 사업의 연속성을 유지하기 위한 것을 말한다. 구체적으로, 정보자산의 주체가 의도하지 않은 정보의 누출, 변경, 파괴를 방지하는 것을 말하며, 정보자산의 생성, 처리, 저장, 전송, 출력 등 정보순환의 모든 과정에서 정보의 기밀성, 무결성, 가용성, 추적성, 인증성, 신뢰성을 확보하기 위한 제반 수단과 활동을 의미한다(Solms 등 1990).
정보자산보호의 목표 세 가지는?
정보자산보호의 목표는 보안사고를 사전에 방지하고, 발생 시에도 조직의 손실을 최소화하여 사업의 연속성을 보장하고 손실은 저감하고, 이익을 최대화하기 위하여 다양한 위협으로부터 정보자산을 보호하는 것으로 이런 목표는 세가지 목표로 귀결된다. 즉 기밀성, 무결성, 가용성을 유지하는 것이다. 기밀성(Confidentiality)은 비인가된 개인, 단체, 프로세스 등으로부터 중요한 정보를 보호하는 것이다.
Aron, J. L., O’Leary, M. Gove, R. A. Azadegan, S. ,and Schneider, M. C. 2002. “The Benefits of a Notification Process in Addressing the Worsening Computer Virus Problem: Results of a Survey and a Simulation Model.” Computer & Society, 21(2): 142-163.
Badenhorst, K. P. and Eloff, J. H. P. 1994. “TOPM: a Formal Approach to the Optimization of Information Technology Risk Management.” Computers and Security, 13(5): 411-435.
Barclay, D., Higgins, C., and Thompson, R. 1995. “The Partial Least Squares [PLS] Approach to Causal Modeling, Personal Computer Adoption and Use as an Illustration.” Technology Studies, 2(2): 285-309.
Blight. J. 1997. “Customer Privacy versus Customer Service.” Information Security Technical Report, 21(1): 43-46.
Caminada, M., Reind van de Riet, Arjen van Zanten, and Leendert van Doorn. 1998. “Internet Security Incidents, a Survey within Dutch Organizations.” Computer and Security, 17(5): 417-433.
Kabay, M. F. 1993. “Social Psychology and Information Security.” Datapro: 101- 105.
Moulton, R. T. and Moulton. M. E. 1996. “Electronic Communications Risk Management: A Checklist for Business Managers.” Computers and Security, 15(5): 377-386.
Solms, R., Eloff, J. J. P., and Solms, S. H. 1990. “Computer Security Management: A Framework for Effective Management Involvement.” Security, 12(4): 217-222.
Smith, S., Stephen, G., and Malampy, W. 1995. “A financial Management Approach for Selecting Optimal, Cost-Effective Safeguards Upgrades for Computer and Information Security Risk Management.” Computer and Security, 14(1): 28-29.
Yoo, Y. J. and Alavi, M. 2001. “Media and Group Cohesion: Relative Influences on Social Presence, Task Participation, and Group Consensus.” MIS Quarterly, 25(3): 371-390.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.