[논문]정보보호 거버넌스 프레임워크 개발에 관한 연구

이성일; 황경태

doi:10.21219/jitam.2011.18.2.091

정보보호 거버넌스 프레임워크 개발에 관한 연구
A Research on the Development of Information Security Governance Framework 원문보기

Journal of information technology applications & management = 한국데이타베이스학회지, v.18 no.2, 2011년, pp.91 - 108

Abstract ▼ AI-Helper

Enormous losses of shareholders and consumers caused by the risks threatening today's business (e.g., accounting fraud and inside trading) have ignited the necessity of international regulations on corporate ethics and internal control, such as Basel II and SOX. Responding to these regulations, companies are establishing governance system, applying it consistently to the core competency of the company, and increasing the scope of the governance system. Recently occurred security related incidents require companies to take more strict accountability over information security. One of the results includes strengthening of legislation and regulations. For these reasons, introduction of information security governance is needed. Information security governance governs the general information security activities of the company (establishment of information security management system, implementation of information security solutions) in the corporate level. Recognizing that the information security is not restricted to IT domain, but is the issue of overall business, this study develops information security governance framework based on the existing frameworks and systems of IT governance. The information security governance framework proposed in the study include concept, objective, and principle schemes which will help clearly understand the concepts of the information security governance, and execution scheme which will help implement proper organization, process and tools needed for the execution of information security governance.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 논문에서는 정보보호를 IT와 Non-IT 영역을 총망라한 기업의 전사적 거버넌스 대상으로 관리할 수 있는 정보보호 거버넌스 프레임워크를 제시하고자 한다
따라서, 본 연구는 다음의 과 같이 정보보호 거버넌스의 위상을 고려한 프레임워크를 제시하고자 한다.
본 연구는 기업 및 IT 거버넌스 영역과 연계 할 수 있는 정보보호 거버넌스 프레임워크를 제시함으로써 거버넌스 개념을 둘러싼 오류와 혼란을 최소화할 수 있도록 거버넌스의 분명한 개념을 정립하고, 거버넌스의 영역과 경계를 설정하였다. 또한 이를 토대로 거버넌스 추진의 원칙과 실행의 방향을 제시하였다.
본 연구에서는 IT 거버넌스 프레임워크에 대한 선행 연구를 고찰하여 정보보호 거버넌스 프레임워크의 구조를 수립하는데 참조하였다.
본 장에서는 기업 거버넌스, IT 거버넌스, 정보보호 거버넌스를 포함한 거버넌스의 개념, IT 거버넌스 프레임워크 등에 대한 이론적인 배경을 살펴보고, 정보보호 거버넌스 프레임워크의 필요성에 대해 알아본다.

가설 설정

둘째, 정보보호 거버넌스의 목표를 명시해야 한다. 선행 연구에서 제시하고 있는 정보보호 거버넌스의 개념은 정보보호 거버넌스의 개념, 목표, 활동이 혼재되어 있고 거버넌스 대상을 IT와 Non-IT로 구분하지 않으므로 IT 거버넌스와의 중복 이슈 등이 발생하고 있다.

제안 방법

정보보호 거버넌스 실행 체계는 요건을 기반으로 1) 거버넌스 조직, 2) 거버넌스 프로세스, 3) 거버넌스 도구의 3가지 범주로 구분하였고 각 항목은 선행연구의 결과를 적용하여 정의되었다.
본 연구는 기업 및 IT 거버넌스 영역과 연계 할 수 있는 정보보호 거버넌스 프레임워크를 제시함으로써 거버넌스 개념을 둘러싼 오류와 혼란을 최소화할 수 있도록 거버넌스의 분명한 개념을 정립하고, 거버넌스의 영역과 경계를 설정하였다. 또한 이를 토대로 거버넌스 추진의 원칙과 실행의 방향을 제시하였다.
본 연구에서는 IT 거버넌스 개념에 대한 선행 연구에서 제시한 6가지 핵심 요소를 ‘목표 요건’과 ‘실행 요건’으로 재구분하였다.
본 연구에서는 이 중에서 본 연구와 연구의 내용이 가장 유사한 Ozdemir and Miu[2009]의 중요성과 실현 가능성을 검증 항목으로 사용하여 과 같이 프레임워크의 적정성을 판단하였다.
선행 연구들을 요약해 보면, 거버넌스를 설명하기 위해 과 같이 의사결정권한, 책임성, 조직 통제, 지시, 성과 모니터링, 관리와의 구분 등 6가지 핵심 개념을 정의하고 있는데, 본 연구에서는 이를 ‘개념 요건’과 ‘실행 요건’으로 구분하였다.
설문은 도출된 정보보호 프레임워크 구성 요소의 중요성과 실현 가능성을 측정하기 위해 리커드 5점 척도를 사용하였고, 설문 종료 후 30분에 걸쳐 참여자들 간에 의견을 교환하고, 도출된 정보보호 프레임워크 구성 요소가 중요한 이유를 연구자의 주도하에 대화형식으로 토론하였다.
둘째, 정보보호 거버넌스 프레임워크의 개발 과정 및 방법을 서술하고, 본 연구에서 수립한 정보보호 거버넌스 프레임워크에 대해 설명한다. 셋째, 정보보호 분야 전문가들과의 포커스 면담을 통해 본 연구에서 제시한 정보보호 거버넌스 프레임워크의 필요성과 실현 가능성을 검증한다. 마지막으로 연구 결과를 종합하여 결론과 연구의 한계, 향후 연구 방향을 제시한다.
이에 따라 본 연구에서는 ‘전사 정보보호 아키텍처’와 ‘성과지표 모델’을 정보보호 거버넌스 도구 로 선정하였다.
첫째, 정보보호 거버넌스 프레임워크 개발을 위한 이론적 배경을 고찰하고, 정보보호 거버넌스 프레임워크의 필요성에 대해 살펴본다. 둘째, 정보보호 거버넌스 프레임워크의 개발 과정 및 방법을 서술하고, 본 연구에서 수립한 정보보호 거버넌스 프레임워크에 대해 설명한다.
포커스 그룹 인터뷰를 수행하기 위해 연구소 및 정보보호 분야의 전문가 25명이 참여한 포커스 그룹을 구성하여 설문과 심층 면접을 수행하였다. 설문은 도출된 정보보호 프레임워크 구성 요소의 중요성과 실현 가능성을 측정하기 위해 리커드 5점 척도를 사용하였고, 설문 종료 후 30분에 걸쳐 참여자들 간에 의견을 교환하고, 도출된 정보보호 프레임워크 구성 요소가 중요한 이유를 연구자의 주도하에 대화형식으로 토론하였다.

대상 데이터

현재 국내에는 정보보호 거버넌스를 구현한 사례가 전무한 실정이므로 본 논문에서는 정보보호 거버넌스 프레임워크의 적정성 평가를 위해 정보보호 거버넌스를 조직에 구현하는데 필요한 구성 요소들 중에서 우선순위가 높은 요소가 본 논문에서 제시한 프레임워크에 포함되어 있는지를 정보보호 분야의 전문가들로 구성된 포커스 그룹을 대상으로 확인하였다.

이론/모형

본 논문에서는 주제와 관련하여 공통된 특성을 가지고 있는 구성원들의 상호작용을 통하여 연구자가 정한 주제에 대한 자료를 수집하는 포커스 그룹 인터뷰(Focus Group Interview)를 사용하였다[김성재 등, 2007].
정보보호 거버넌스 프레임워크 구조요건(참조)에 따르면 원칙은 정보보호 거버넌스의 개념 및 목표에 따라 거버넌스 활동을 실행하기 위한 매개체의 역할을 수행하는 중요한 요건이므로 ISO/IEC 38500의 원칙까지 포괄하고 있는 이정훈 등[2007]의 IT 거버넌스 원칙 구조를 참조하였다.

성능/효과

중요성은 높지만 실현 가능성이 낮은 경우와 중요성은 낮지만 실현 가능성이 높은 경우에는 포커스 그룹의 의견을 수렴하여, 채택 및 기각 여부를 판단하였고, 중요성 및 실현 가능성이 2.5이하인 구성 요소는 정보보호 거버넌스 프레임워크의 구성요소로서 부적합한 것으로 판단하였다.
포커스 그룹 인터뷰 결과, 본 연구에서 제시하고 있는 정보보호 거버넌스 프레임워크의 구성 요소들은 “ 검증 매트릭스”의 채택 영역에 모두 포함되었다( 참조).
포커스 그룹에 포함된 전문가들은 정보보호 거버넌스 프레임워크의 구성 요소들이 중요성은 매우 높지만, 실현 가능성은 다소 높은 수준으로 평가하였다. 이러한 평가 결과는 전문가들이 정보보호 거버넌스의 중요성은 인정하지만, 실제 구현 가능성에 대해서는 중요성 만큼 높은 점수를 주지 못하고 있다는 것을 보여준다.

후속연구

또한, 컴플라이언스에 대한 지속적인 평가를 실행할 수 있는 지표 없이는 중요도에 비해 실행을 보장하기 어렵다는 것이 전문가의 견해였다. 따라서 정보보호 거버넌스의 실행 측면을 보완 할 수 있도록 본 연구에서 제시한 핵심성과지표 부문에 대해 정보보호 가치의 측정을 위한 지표 개발, 정보보호 관련 법/규정의 준수 여부를 측정하기 위한 지표 개발 등의 연구가 추가적으로 필요하다고 판단된다.
이러한 검증 결과는 객관성 확보 및 일반화가 어렵다는 한계점을 가지고 있다. 따라서, 향후의 연구에서는 본 논문의 프레임워크를 실제 기업에 적용한 사례 연구를 수행하여 본 프레임워크를 진화시키고 정보보호 우수기업의 경영층을 대상으로 한 포커스 그룹 인터뷰를 실시함으로서 연구 결과의 검증 부문 강화가 필요할 것으로 판단된다.
셋째, 정보보호 분야 전문가들과의 포커스 면담을 통해 본 연구에서 제시한 정보보호 거버넌스 프레임워크의 필요성과 실현 가능성을 검증한다. 마지막으로 연구 결과를 종합하여 결론과 연구의 한계, 향후 연구 방향을 제시한다.
본 연구가 제시한 정보보호 거버넌스 프레임 워크는 특정 거버넌스 방법론이나 기법에 고착되지 않는 포괄적 방안으로서, 조직은 이러한 프레임워크를 토대로 자신들의 거버넌스 노력을 점검, 조명, 설계, 추진할 수 있을 것으로 기대된다.
본 연구의 한계로는 정성적 분석방법에 의한 프레임워크의 검증을 들 수 있다. 이러한 검증 결과는 객관성 확보 및 일반화가 어렵다는 한계점을 가지고 있다.
포커스 그룹 인터뷰 결과에서 나타난 중요성과 실현 가능성의 편차는 실현 가능성 제고에 기여할 수 있는 추가적인 연구가 필요하다는 점을 시사한다( 참조).
현재 국내 기업의 경영 여건이 선진화 되는 과정이며 다양한 외부적 조건에 의해 많은 영향을 받고 있는 상황이므로 에 정의된 역할 및 책임을 충족하지 못할 수 있으나, 향후 바람직한 정보보호 거버넌스 본연의 목적을 달성하기 위해서는 이사회와 경영진의 명확한 분리를 통해 정보보호의 실천과 이에 대한 감독 및 상벌이라는 역할과 책임을 체계화하는 것이 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	OECD에 따르면 기업 거버 넌스란 무엇인가?	OECD(Organization for Economic Cooperation and Development) 원칙에 따르면 기업 거버 넌스는 “경영층, 이사회, 주주, 기타 이해관계자들 간의 관계를 포함하며, 또한 기업 전략 목표의 설 정, 목표 달성 방법, 성과 모니터링을 위한 체계를 제공한다.”로 정의되어 있다[OECD, 2004].
	정보보호 거버넌스 개념 재정립하기 위해 필요한 요구사항은?	첫째, 기업 거버넌스의 틀 안에서 정보보호 거 버넌스가 작동되어야 한다는 점을 명시해야 한다. 둘째, 정보보호 거버넌스의 목표를 명시해야 한다. 선행 연구에서 제시하고 있는 정보보호 거 버넌스의 개념은 정보보호 거버넌스의 개념, 목 표, 활동이 혼재되어 있고 거버넌스 대상을 IT 와 Non-IT로 구분하지 않으므로 IT 거버넌스와 의 중복 이슈 등이 발생하고 있다. 이러한 이슈 를 해결하기 위해서는 정보보호 거버넌스의 목 표를 달성하기 위한 정보보호 활동과 활동 대상 을 명확하게 개념 정의에 표현해야 한다.
	IT 거버넌스란 무엇인가?	정보기술에 대한 의존도가 높아짐에 따라 IT 의 효율적인 관리에 보다 많은 관심이 집중되었 고, 1990년대 이후 기업 거버넌스의 구현을 위한 관련 법규, 프레임워크 및 표준이 제정되는 과정 에서 IT를 거버넌스 대상으로 포함하게 되었다. 2008년 제정된 국제 표준인 ISO/IEC 38500(IT 거버넌스 표준)에서는 IT 거버넌스를 조직의 이 사회 및 최고 경영층이 IT가 효율적이고, 효과 적이며, 책임성 있게 활용될 수 있도록 평가, 지 시, 감독하는 체계로 정의하였다[ISO/IEC, 2008].

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증