선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 따라서 본 연구의 목적은 국내 정보보호 관리체계를 구축ㆍ운용하는 조직을 대상으로 관리체계가 정보 보호 성과에 영향을 미치는지 검증하기 위해 정보보호 관리과정인 PDCA(계획, 실행, 점검, 개선) 단계별 측정항목을 도출하고, 이를 토대로 정보보호 성과의 영향요인을 찾아내어 정보보호 관리체계 관리과정이 조직의 정보보호 성과에 미치는 영향을 실증적으로 분석하고자 하였다.
- 본 논문에서는 현재의 정보보호 관리체계인 ISO27001, NIST SP800-39, KISA ISMS, PIMS, G-ISMS, ISCS, CIIP등에 대해서 정보보호 관리과정을 비교 분석하여 공통 측정 항목을 도출하여 정보보호 관리과정과 정보보호 성과 측정 항목을 설정하여 실증분석을 통해 정보보호 관리 노력의 방향과 성과 향상 방법을 찾기 위한 기준을 제시하여, 경영성과 차원에서 효과적인 정보보호 투자와 의사결정을 하는데 도움을 주고자 하였다.
- 그동안 정보보호 관리체계에 관한 선행 연구는 주로 통제항목을 중심으로 이루어졌다. 본 연구는 이러한 분석 이외에 정보보호 관리체계의 관리과정인 계획, 실행, 점검, 개선 단계들이 원활하게 진행되었을 때 정보보호를 통한 성과가 충분히 달성될 수 있는지를 실증적으로 분석한다.
제안 방법
- 국내외적으로 수년전부터 적용 및 운용하고 있는 정보보호 관리체계인 ISO27001, NIST SP800-39, KISA ISMS, PIMS, G-ISMS, ISCS, CIIP 등에 대한 관리체계 프레임워크를 분석하여 정보보호 순환 구조에 대한 모형과 선행 연구를 통해 정보보호 성과에 대한 측정 항목을 도출하였다.
- 통계분석은 회수된 설문지를 분석하고 해석하는 장으로, 표본 특성을 대상으로 인구 통계적 특성분석, 이 연구의 측정변수들에 대한 신뢰성, 타당성, 상관성 분석 및 기술적 통계를 분석하였다. 그리고 본 연구에서 정립한 연구가설을 검정하고 상세하게 해석하였다.
- 다음으로 가설로 설정된 1차 요인에 대한 구조모형을 평가하기 위해 개별경로 간 유의성을 검정하였다. 구조모형의 분석결과에 따른 측정된 경로계수는 화살표 위에 표기하였으며, 괄호 안에 t-값을 표기하였다.
- 다음으로 가설로 설정된 구조모형을 평가하기 위해 개별 경로 간 유의성을 검정하였다. [그림 2] 에서 구조모형의 분석결과에 따른 측정된 경로계수는 화살표 위에 표기하였으며, 괄호 안에 t-값을 표기하였다.
- 다음으로 연구모형에서 2차 요인(second order factor)으로 개념화한 정보보호 관리과정과 정보보호 성과의 1차 요인을 통해 측정되는지를 살펴보았다. 통상 PLS가 2차 요인에 대한 분석을 지원하기 않기 때문에 복수의 측정항목으로 구성된 1차 요인을 PLS 분석에 적합하도록 단일 측정치로 변환하여 2차 구성 개념의 측정지표로 사용한다.
- 본 연구에서 구조모형에 대한 실증분석을 위해 전체 87개의 표본을 사용하였다. 또한 실증분석은 가설 검정 이전에 변수의 신뢰성, 수렴타당성과 판별타당성 분석을 통해 측정모형을 평가한 뒤 이의 분석결과를 바탕으로 구조모형을 평가함으로써 구성개념 간 경로의 유의성을 검증하였다. 이때 실증분석에서는 32개의 연구변수를 활용하였다.
- 먼저, 정보보호 관리과정과 정보보호 성과의 1차 요인에 대한 측정모형의 수렴타당성을 평가하기 위해 모든 측정항목의 요인적재량(item to construct loadings)을 구하였다. 개별 측정항목과 관련된 변수가 서로 공유한 분산(shared variance)이 오차분산(error variance)보다 크기 위해서는 요인적재량(standardized loadings)이 0.
- 본 연구는 조직에서 도입 및 운용중인 정보보호 관리체계 관리과정과 정보보호 성과들을 변수로 설정한 후, 이들 간의 상관관계를 연구하고자 다음 [그림 1]에서 보는 바와 같은 연구모형을 설정하였다.
- 본 연구에서는 선행 연구 분석을 통해 [표 2]처럼 정보보호 성과를 정보보호 안전, 정보보호 기반, 정보보호 경영성과 등 3개영역으로 구분하였다. 이에 따른 안전성과, 기반성과, 경영성과 등 종속변수를 선정하였다.
- 본 연구에서는 설정된 변수들이 정보보호 관리과정을 기반으로 하여 정보보호 성과에 미치는 영향정도를 상관분석을 실시하였다. 독립변수로는 계획단계, 실행 단계, 점검단계, 개선단계 등이고, 종속변수로는 안전성과, 기반성과, 경영성과로 설정한 결과 모든 변수 쌍에서 모두 통계적으로 유의한 상관관계를 확보하고 있는 것으로 판명되었다.
- 본 연구에서는 연구의 개념적 틀을 검정하기 위하여 16개의 가설로 연구문제를 설정하고, 관리과정 17개와 정보보호 성과에서 15개 총 32개의 측정항목을 통해 각 측정항목의 정도를 측정하기 위하여 리커트(Likert) 5점 척도로 측정하였다. 척도의 1은 `매우 아니다`로 그 변수가 미친 영향이 낮은 것을 의미하고, 척도의 5는 `매우 높다`로 그 변수의 영향이 아주 큰 것을 의미한다.
- 본 연구에서는 잠재변수 요인점수를 사용하여 정보보호 관리과정과 정보보호 성과에 대한 2차 요인의 측정모형을 평가하였다.
- 본 연구에서는 정보보호 관리과정이 정보보호 성과에 미치는 영향을 평가하기 위해 우선적으로 제3절을 통해 회귀분석 방법으로 탐색적인 분석결과를 제시하고 있으며, 본 제4절에서는 확인적인 분석 방법으로 연구모형의 설명력을 높이기 위해 구조방정식모형을 통한 연구모형에 대한 실증분석을 수행하였다.
- 첫째, 기존에는 정부나 조직에서 일방적으로 정보 보호 관리체계를 도입ㆍ운영해 왔으나 정보보호 성과에 미치는 영향에 관한 연구 자료가 여전히 부재하였다. 본 연구에서는 조직에서 운영하는 S-PDCA 모형이 정보보호 성과를 향상시키기 위한 방향을 제시하였고, 단순한 통제항목 중심의 정보보호 활동보다는 관리과정을 통해 조직 환경에 적합한 관리체계를 수립 운용함으로써 정보보호 활동을 통해 정보보호 성과를 향상시킬 수 있는 모형을 정립하였다.
- 본 연구의 실증분석에 사용되는 측정항목은 관련 연구와 전문가 검토를 통하여 그 타당성이 입증된 설문 측정항목을 수정하고 보완하여 설계하였다.
- 선행연구와 전문가 검토에서 개발된 측정도구는 정보보호 관리체계의 관리과정인 계획, 실행, 점검, 개선 등 분야에서 17개, 정보보호 성과 분야에서 15개 총 32개 측정항목을 리커트(Likert) 5점 척도로 측정하였다. 설문지는 크게 5부분으로 구성하였는데, 독립변수는 17개 측정항목으로 계획(Plan)에서는 4개 측정항목, 실행(Do)에서는 5개 측정항목, 점점(Check)에서는 4개 측정항목, 개선(Act)에서는 4개 측정항목을 리커트(Likert) 5점 척도로 측정하였다.
- 설문 설계를 통해 2011년 2월 예비조사(Pilot Test)를 실시하여 신뢰성을 저해 할 가능성이 있는 측정항목을 일부 수정하였으며, 본 조사는 2011년 2월 18일부터 03월 02일까지 정보보호 관리체계를 운용경험이 있는 전문기관(공공, 민간) 에 설문지를 배포하여 수집하였다.
- 선행연구와 전문가 검토에서 개발된 측정도구는 정보보호 관리체계의 관리과정인 계획, 실행, 점검, 개선 등 분야에서 17개, 정보보호 성과 분야에서 15개 총 32개 측정항목을 리커트(Likert) 5점 척도로 측정하였다. 설문지는 크게 5부분으로 구성하였는데, 독립변수는 17개 측정항목으로 계획(Plan)에서는 4개 측정항목, 실행(Do)에서는 5개 측정항목, 점점(Check)에서는 4개 측정항목, 개선(Act)에서는 4개 측정항목을 리커트(Likert) 5점 척도로 측정하였다.
- 셋째, 기존 연구를 통해 도출된 정보보호 관리체계 관리과정과 정보보호 성과 측정 항목의 타당성, 신뢰성, 유효성 측면에서 실제 조직에서 정보보호 관리체계를 구축 운용하는 정보보호 전문가를 대상으로 설문을 수집하였으며, 통계분석을 실시하여 보다 현실적이고 실증적인 결과를 도출하였다.
- 또한, 2차 요인들이 수렴타당성과 판별타당성의 기준을 상회하는 것으로 나타났다. 이때 2차 요인인 정보보호 관리과정은 계획단계, 실행단계, 점검단계, 개선단계에 관한 4개의 1차 요인을 측정한 총 17개의 항목으로 측정되었으며, 2차 요인인 정보 보호 성과는 안전성과, 기반성과, 경영성과의 3개 1차 요인을 측정한 15개의 측정항목으로 평가되었다.
- 정보보호 관리체계 단계별 관리과정이 정보보호 성과에 미치는 영향에 대해 분석하기 위하여 S-PDCA 모형을 기반으로 계획(Plan)단계, 실행(Do)단계, 점검(Check)단계, 개선(Act)단계의 독립변수와 정보 보호 성과를 종속변수로 정의하였다.
- 종속변수인 정보보호 성과를 측정하기 위한 정보보호 안전성과에서 5개, 정보보호 기반에서 5개, 정보보호 성과에서 5개 총 15개 측정항목을 리커트(Likert) 5점 척도로 측정하였다.
대상 데이터
- 본 연구에서 구조모형에 대한 실증분석을 위해 전체 87개의 표본을 사용하였다. 또한 실증분석은 가설 검정 이전에 변수의 신뢰성, 수렴타당성과 판별타당성 분석을 통해 측정모형을 평가한 뒤 이의 분석결과를 바탕으로 구조모형을 평가함으로써 구성개념 간 경로의 유의성을 검증하였다.
- 설문 회수 현황은 다음 [표 3]과 같이 총 400부의 설문을 배포하여 117개의 설문지가 회수되었으며, 설문 중 결측치를 포함한 30개의 설문지를 제외한 87개의 설문지로 최종 분석하였다.
- 조사 표본은 주요 정보제공자로서 정보보호 관리체계 구현 및 인증에 대하여 적극적으로 참여한 경험이 있는 조직의 정보보호 관리체계 담당자, 정보보호최고책임자 및 전문가를 중심으로 연구대상으로 수집하였다.
데이터처리
- 또한, 공분산 경로는 내생변수들 간에만 연결이 가능하며 연구개념 안에 경로분석 결과에 의한 내생변수 (endogenous)들의 설명된 분산(variance explained (R2))을 표기함으로써 연구 개념의 설명력을 나타내었다. 경로계수 아래 표시된 t-값은 부트스트랩(bootstrapping)을 통한 반복추출 서브샘플링 생성을 통해 계산된 값으로 서브샘플링의 수는 500회로 분석하였다.
- 또한, 연구개념 안에 경로분석 결과에 의한 내생변수(endogenous)들의 설명된 분산(variance explained (R2))을 표기함으로써 연구 개념의 설명력을 나타내었다. 경로계수 아래 표시된 t-값은 부트스트랩3)(bootstrapping)을 통한 반복추출 서브샘플링 생성을 통해 계산된 값으로 서브샘플링의 수는 500회로 분석하였다.
- 그리고 정보보호 관리과정 및 정보보호 성과를 구성하는 1차 구성개념에 대한 판별타당성을 평가하기 위해 AVE의 제곱근을 산출하였다. AVE 제곱근은 0.
- 본 논문에서는 가설 검정을 위해 각 독립변수가 정보보호 성과에 미치는 영향을 알아보기 위해 사회과학 분야에서 얻은 각종 자료를 컴퓨터를 이용해 쉽고 편리하게 분석하는 통계 전문 프로그램으로 전문 통계 패키지 중 가장 많이 쓰는 SPSS v17.0(Statistical Package for the Social Sciences)을 이용하여 통계분석을 실시하였다.
- 본 연구에서 구조방정식모형을 이용한 분석에 사용되는 도구(tool) 중에서 대표적으로 사용되는 최소부분자승법(PLS: Partial Least Square)를 이용하여 수집된 데이터를 분석하였으며, 연구모형의 분석을 위한 통계 패키지로 SmartPLS 2.0을 활용하였다.
- 통계분석은 회수된 설문지를 분석하고 해석하는 장으로, 표본 특성을 대상으로 인구 통계적 특성분석, 이 연구의 측정변수들에 대한 신뢰성, 타당성, 상관성 분석 및 기술적 통계를 분석하였다. 그리고 본 연구에서 정립한 연구가설을 검정하고 상세하게 해석하였다.
이론/모형
- 다음으로 구성개념에 대한 신뢰성 평가는 Cronbach-α와 유사한 종합요인 신뢰성 지수인 CSRI(composite scale reliability index)와 분산추출지수인 AVE(average variance extracted)값을 이용하였다.
성능/효과
- 2차 요인 역시 1차 요인에서 활용한 분석절차와 기준에 따라 수렴타당성, 내적일관성, 판별타당성이 평가되었으며, 2차 요인으로 구성한 요인 적재량의 t-값은 모두 2.576을 초과하여 1% 유의수준에서 유의한 것으로 나타났다. 또한, 2차 요인들이 수렴타당성과 판별타당성의 기준을 상회하는 것으로 나타났다.
- 넷째, 본 연구의 모형 및 측정 항목 내용은 전사적인 측면에서 정보보호관련 선행연구 및 문헌에서 제시하는 주요 항목을 대부분 반영하였기에 정보화 발전과 비즈니스 환경변화에 능동적으로 대응할 수 있으며, 어떠한 조직에서나 적용이 가능하고, 또한 정보보호 업무를 수행하는데 한층 더 실효성이 증진될 수 있게 하였다.
- 다섯째, 본 연구 결과를 적용하면, 정부는 정보보호 관리체계 도입에 대한 타당성을 검증할 수 있으며, 적극적인 제도 활성화 기반을 마련할 수 있다. 또한, 민간조직에서는 본 연구의 결과를 활용해 적극적인 정보 보호 관리체계 도입의 계기를 마련할 수 있으며, 이를 통해 기 운영 중인 정보보호 관리체계의 개선방향을 제시함으로써 정부뿐만 아니라 민간조직의 정보보호 수준제고에 크게 기여 할 것으로 사료된다.
- 본 연구에서는 설정된 변수들이 정보보호 관리과정을 기반으로 하여 정보보호 성과에 미치는 영향정도를 상관분석을 실시하였다. 독립변수로는 계획단계, 실행 단계, 점검단계, 개선단계 등이고, 종속변수로는 안전성과, 기반성과, 경영성과로 설정한 결과 모든 변수 쌍에서 모두 통계적으로 유의한 상관관계를 확보하고 있는 것으로 판명되었다.
- 둘째, 조직 내의 막연한 정보보호관리 활동에 대한 방향과 현재의 정보보호 위치, 수준을 측정하기 위한 기준을 제시하였고 효과적인 정보보호 투자와 비즈니스와 연계한 조직의 경영활동의 일환으로 정보보호활동이 존재한 다는 것을 입증하였다.
- 따라서 본 연구에서 사용된 구성개념들은 모두 판별타당성을 확보한 것으로 나타났다.
- 576을 초과하여 1% 유의수준에서 유의한 것으로 나타났다. 또한, 2차 요인들이 수렴타당성과 판별타당성의 기준을 상회하는 것으로 나타났다. 이때 2차 요인인 정보보호 관리과정은 계획단계, 실행단계, 점검단계, 개선단계에 관한 4개의 1차 요인을 측정한 총 17개의 항목으로 측정되었으며, 2차 요인인 정보 보호 성과는 안전성과, 기반성과, 경영성과의 3개 1차 요인을 측정한 15개의 측정항목으로 평가되었다.
- 또한, 연구모형의 개별 경로를 살펴보면 조직 내 정보보호 관리과정은 정보보호 성과에 긍정적인 영향 (t=22.701, p<0.01)을 미치는 것으로 나타나 ISMS 관리과정과 정보보호 성과 사이의 인과관계는 성립하는 것으로 나타났다.
- 본 연구모형의 개별 경로를 살펴보면 정보보호 관리체계 관리과정에서 계획단계는 기반성과에 긍정적 영향(t = 3.258, p < 0.01)을 미치는 것으로 나타났으며, 점검단계는 안전성과에 긍정적 영향(t =2.144, p < 0.05)을 미치는 것으로 나타났다.
- 본 연구에서 이용될 자료의 신뢰성과 타당성을 높이기 위해 정보보호 관리체계 외부전문가들(예: 정보 보호 컨설턴트, 학계, 인증심사원 등)의 면담을 통해 정보보호 관리체계 특성과 추진과정, 관리체계 이후의 방향성, 운용성과 및 오랜 실무경험 등을 토대로 연구 과정에서 오차를 최소화하였다.
- 본 연구에서 측정했던 변수들은 신뢰성 계수가 대부분 0.9이상이고, 가장 낮은 값을 보인 “정보보호 안전성과”도 0.904로 권장치를 초과하는 수치를 보여주고 있어 설문조사의 측정결과에 대한 신뢰성은 매우 높다고 할 수 있다.
- 여섯째, 최근 정부는 정보보호 관리체계에 대한 검증되지 않은 다양한 프레임워크를 개발하여 제도화 추진을 검토하고 있는데 본 연구를 통해 이러한 과정에서 발생할 수 있는 시행착오를 최소화하고 무분별한 모델 개발보다는 기존모델 검토를 통해 논리성, 타당성, 적합성 등의 심도 있게 검토하여 정보보호 관리체계를 선도할 수 있도록 조직에 적합한 모형을 개발하여 활용될 수 있게 하였다.
- 연구 결과 1차 요인의 구조모형 분석결과 총 12개 중 채택 3개, 기각 9개로 나타났으며, 2차 요인의 구조모형 분석결과 정보보호 관리과정이 정보보호 성과에 영향을 미치고 있음을 확인하였다. 정보보호 관리 체계 관리과정이 대부분 정보보호 성과에 영향을 미치나 계획단계, 실행단계, 점검단계가 직접적인 영향을 미치는 것으로 나타났다.
- 요약하면 연구가설에 대한 검정결과 계획단계에서는 기반성과, 점검단계에서는 안전성과와 경영성과의 인과관계가 통계적으로 유의하여 채택되었다. 하지만 요약하면 다음의 [표 5] 와 같이 연구가설에 대한 검정결과 계획단계에서는 기반성과, 점검단계에서는 안전성과와 경영성과의 인과관계가 통계적으로 유의하여 채택되었다.
- 이러한, 검증결과를 유추해 볼 때 Security PDCA 모형을 이용한 정보보호 성과의 영향요인을 통하여 도출된 4개 요인과 정보보호 성과와의 선형회귀분석(Linear Regression) 기법을 이용하여 분석한 결과 유의수준 5%를 기준으로 할 때 계획단계, 실행단계, 점검단계 등이 상관관계를 가지고 있으며, 정보보호 성과에 유의한 영향을 미치는 요소인 것으로 판별되었다.
- 7 이상의 수용기준이 요구된다. 이에 따라 측정항목에 대한 1차 요인적재량과 교차적재량을 분석한 결과 대부분의 요인적재량의 t-값(t-value)이 모두 2.576을 초과하여 1% 유의수준에서 유의한 것으로 나타났다.
- 연구 결과 1차 요인의 구조모형 분석결과 총 12개 중 채택 3개, 기각 9개로 나타났으며, 2차 요인의 구조모형 분석결과 정보보호 관리과정이 정보보호 성과에 영향을 미치고 있음을 확인하였다. 정보보호 관리 체계 관리과정이 대부분 정보보호 성과에 영향을 미치나 계획단계, 실행단계, 점검단계가 직접적인 영향을 미치는 것으로 나타났다.
후속연구
- 다섯째, 본 연구 결과를 적용하면, 정부는 정보보호 관리체계 도입에 대한 타당성을 검증할 수 있으며, 적극적인 제도 활성화 기반을 마련할 수 있다. 또한, 민간조직에서는 본 연구의 결과를 활용해 적극적인 정보 보호 관리체계 도입의 계기를 마련할 수 있으며, 이를 통해 기 운영 중인 정보보호 관리체계의 개선방향을 제시함으로써 정부뿐만 아니라 민간조직의 정보보호 수준제고에 크게 기여 할 것으로 사료된다.
- 세 번째로, 본 연구에서 적용한 설문대상자에도 문제가 있을 수 있다. 본 연구를 위해 정보보호 관리체계 운용에 대한 정보보호 성과를 민간 인증취득 기업뿐만 아니라 공공기관의 정보보호담당자 및 최고책임자에게 질문하였기 때문에 나타나는 문제라 판단할 수도 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.