[국내논문]조건부가치측정법(CVM)을 이용한 정보보호 관리체계(ISMS) 인증의 경제적 가치 추정 연구 Estimating The Economic Value of Information Security Management System (ISMS) Certification by CVM원문보기
국내 많은 기업들이 2002년부터 ISMS를 구축하고 인증을 받아 운영하고 있지만 인증 취득 필요성이나 경제적 효과성 등의 평가는 구체적으로 시행되고 있지 않다. 따라서 10년 이상 시행되고 있는 ISMS 인증 제도에 대해 어떠한 성과가 있고 기업 경영에 어떤 경제적 효과가 있는지 검증할 필요가 있다. 본 연구에서는 인증 취득에 따른 효과분석 모델 개발과 인증의 경제적 가치를 측정하여 제시하고자 하였다. 이를 위하여, ISMS 인증유지 조직을 대상으로 개방형 질문법을 이용 설문조사와 조건부가치측정법(CVM)을 통해 분석한 결과 인증 기업당 매년 1억 7,130만원 상당의 경제적 가치가 있는 것으로 추정되었다. 본 연구 에서는 조건부가치측정법을 활용한 ISMS 인증 서비스의 경제적 가치를 추정하는 방법을 제시하였으며, 측정 지표와 방법을 통해 기업 스스로 인증의 경제적 가치를 추정해봄으로써 ISMS 운영의 실효성을 확보하고 최고경영진의 정보보호 투자 등 의사결정에 많은 도움이 될 것으로 보인다.
국내 많은 기업들이 2002년부터 ISMS를 구축하고 인증을 받아 운영하고 있지만 인증 취득 필요성이나 경제적 효과성 등의 평가는 구체적으로 시행되고 있지 않다. 따라서 10년 이상 시행되고 있는 ISMS 인증 제도에 대해 어떠한 성과가 있고 기업 경영에 어떤 경제적 효과가 있는지 검증할 필요가 있다. 본 연구에서는 인증 취득에 따른 효과분석 모델 개발과 인증의 경제적 가치를 측정하여 제시하고자 하였다. 이를 위하여, ISMS 인증유지 조직을 대상으로 개방형 질문법을 이용 설문조사와 조건부가치측정법(CVM)을 통해 분석한 결과 인증 기업당 매년 1억 7,130만원 상당의 경제적 가치가 있는 것으로 추정되었다. 본 연구 에서는 조건부가치측정법을 활용한 ISMS 인증 서비스의 경제적 가치를 추정하는 방법을 제시하였으며, 측정 지표와 방법을 통해 기업 스스로 인증의 경제적 가치를 추정해봄으로써 ISMS 운영의 실효성을 확보하고 최고경영진의 정보보호 투자 등 의사결정에 많은 도움이 될 것으로 보인다.
Since 2002, many domestic companies have been certified for ISMS. On the other hand, certification, such as the need for ost-effectiveness evaluation, is not specifically enforced. Therefore, for more than 10 years, the ISMS implementation and certification system has been used for performance and c...
Since 2002, many domestic companies have been certified for ISMS. On the other hand, certification, such as the need for ost-effectiveness evaluation, is not specifically enforced. Therefore, for more than 10 years, the ISMS implementation and certification system has been used for performance and cost effective business management. In this study, a model for analyzing the effect of certification organizations, ISMS development, and an analysis of the effect of a standardized system for the study was prepared. To this end, the existing maintenance organizations ISMS certification survey was conducted through an analysis of the economic effects. ISMS certification continues to expand or maintain the policy for improvement. The survey data collected by the analysis mechanism for the economic effects of CVM was analyzed.
Since 2002, many domestic companies have been certified for ISMS. On the other hand, certification, such as the need for ost-effectiveness evaluation, is not specifically enforced. Therefore, for more than 10 years, the ISMS implementation and certification system has been used for performance and cost effective business management. In this study, a model for analyzing the effect of certification organizations, ISMS development, and an analysis of the effect of a standardized system for the study was prepared. To this end, the existing maintenance organizations ISMS certification survey was conducted through an analysis of the economic effects. ISMS certification continues to expand or maintain the policy for improvement. The survey data collected by the analysis mechanism for the economic effects of CVM was analyzed.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이에 따라 본 연구에서는 ISMS 운영이 침해사고 발생 시 피해를 최소화함으로써 침해사고시 막대한 경제적 손실을 줄일 수 있다는 것을 제시하고자 한다. 정보보호 성과를 가시적으로 증명하기는 매우 어려움이 있다.
정보보호 성과를 가시적으로 증명하기는 매우 어려움이 있다. 하지만 본 연구에서는 인증을 통해서 기업 이미지 개선, 신뢰 확보 등 정성적인 성과 보다는 계량적인 성과를 도출하고자 한다.
본 연구에서는 ISMS 인증서비스의 경제적 가치 측정을 위해 가상시장을 이용하여 직접적으로 측정하는 조건부가치측정법을 이용하고자 한다. ISMS 인증서비스는 범용적 특징을 갖고 있고 서비스가 공공재적 성격을 갖고 있기 때문에 시장에서의 수요를 직접 관찰하여 서비스의 가치를 측정하는 것은 불가능한 작업이다.
제안 방법
이 방법의 가장 큰 장점은 지불의사 유도가 유인 일치적이며(incentive-compatible) 저항적 지불의사(protest bids)를 사전에 방지할 수 있다는 것이다[14]. 본 연구에서는 ISMS 인증의 경제적 가치를 분석하기 위해 조건부가치 측정법을 사용하였으며 설문조사에서는 개방형 질문법을 선택하였다.
끝으로 ‘귀사의 정보보호 침해 및 기업 정보 유출을 막기 위한 ISMS 인증을 위해 연평균 투자된 비용은 얼마입니까?’에 대한 질문을 하였다. ISMS 인증을 위한 비용은 크게 ISMS 구축비용, ISMS 유지관리 운영비용, ISMS 인증 수수료, ISMS 운영관리 인건비로 나누어 질문하였다. 그 결과 [Table 6]과 같이 정보보호 관리체계(ISMS) 구축비용은 평균 21,400천원, ISMS 유지관리 운영비용은 평균 20,600천원, ISMS 인증 수수료는 평균 4,125천원, ISMS 운영관리 인건비는 평균 131,107천원으로 조사되었다.
본 연구에서는 ISMS 인증의 경제적 가치를 분석하기 위해 조건부가치 측정법을 사용하였다. 조건부가치측정에 사용되는 지불의사 유도방법으로는 개방형 질문법, 경매법, 지불카드법 등이 있지만 본 조사에서는 개방형 질문법을 선택하였다. 개방형 질문법(direct open-ended question)은 각 개인에게 어떠한 값도 제시하지 않고 최대 WTP를 직접 질문하는 방식으로, 본 조사에서는 예비조사와 본조사의 구분이 어렵기 때문에 개방형 질문법을 사용하였다.
대상 데이터
본 연구는 ISMS 인증의 경제적 가치추정을 분석하기 위해 [Table 1]과 같이 2013년도 ISMS 인증을 받은 조직을 대상으로 설문을 실시하였다. 경제적 가치추정을 위해 개방형 질문법을 활용하여 총 16문항을 실시하였으며, 분석 방법으로는 조건부가치측정법(CVM: Contingent Valuation Method)을 사용하였다.
모집단에 해당하는 2013년도 인증 취득 예정기업 257개(자율, 의무대상자 포함) 기업 중 159개 기업(조사 기간안에 인증 미 취득 또는 인증 취득 6개월 미만 기업 98개 기업 제외)을 대상으로 설문조사를 하여 응답기업 최종 116개 기업(작성 오류 18개, 미 응답 기업 25개 기업 제외)을 대상으로 분석하였다. 이는 본 연구에서 제시하고자하는 목적에 부합하는 적정 표본수를 가지고 있다고 해석할 수 있다.
이론/모형
본 연구는 ISMS 인증의 경제적 가치추정을 분석하기 위해 [Table 1]과 같이 2013년도 ISMS 인증을 받은 조직을 대상으로 설문을 실시하였다. 경제적 가치추정을 위해 개방형 질문법을 활용하여 총 16문항을 실시하였으며, 분석 방법으로는 조건부가치측정법(CVM: Contingent Valuation Method)을 사용하였다.
본 연구에서는 ISMS 인증의 경제적 가치를 분석하기 위해 조건부가치 측정법을 사용하였다. 조건부가치측정에 사용되는 지불의사 유도방법으로는 개방형 질문법, 경매법, 지불카드법 등이 있지만 본 조사에서는 개방형 질문법을 선택하였다.
성능/효과
셋째는 정보보호 관리체계를 수립하고 정착시킬 수 있도록 관련 담당조직에 상당한 힘을 실어줄 수 있게 된다. 넷째는 조직이 집중적으로 대처해야 할 위험 관리(Risk Management)체계를 유지하고 적절한 보호대책을 실시함으로써 정보보호 사고의 발생가능성을 줄이고 사고가 발생했을 경우에도 손실경감으로 기업 가치 향상과 비즈니스 연속성을 보장할 수 있다. 다섯째는 전직원의 정보보호 인식이 향상되고 정보보호에 대한 기업의 사회적 책임과 역할을 다하며, 정보보호 컴플라이언스 대응을 통해 보안 사고로 인한 법적 분쟁 발생시 대응에 유리하다[3,4,5].
ISMS 인증을 위한 비용은 크게 ISMS 구축비용, ISMS 유지관리 운영비용, ISMS 인증 수수료, ISMS 운영관리 인건비로 나누어 질문하였다. 그 결과 [Table 6]과 같이 정보보호 관리체계(ISMS) 구축비용은 평균 21,400천원, ISMS 유지관리 운영비용은 평균 20,600천원, ISMS 인증 수수료는 평균 4,125천원, ISMS 운영관리 인건비는 평균 131,107천원으로 조사되었다.
연구 결과, 정보보호 침해 및 기업정보 유출의 지불의사 금액을 응답한 기업은 평균적으로 연평균 매출액의 2.32%를 투자할 수 있다고 응답하였다. 응답 기업의 평균 매출액은 27,070,400천원으로 평균 매출액과 지불의사 금액의 평균 2.
이와 같이 조건부가치측정법(CVM)을 통하여 분석된 결과 인증 1건당 매년 1억 7,130만원 상당의 경제적인 가치가 있는 것으로 추정되었다.
후속연구
ISMS 인증 취득에 따른 정성적인 효과도 중요하지만 이와 같은 인증 취득 기업에서는 크지 않을 수 있으나, 많은 기업들이 보다 정확하고 객관적인 데이터를 반영한다면 그 효과는 매우 클 것으로 예상한다. 본 연구에서 제시한 연구 방법을 통해 기업 스스로 인증의 경제적 가치를 추정해봄으로써 ISMS 운영의 실효성을 확보하고 최고경영진의 정보보호 투자 등 의사결정에 많은 도움이 될 것으로 보인다.
향후연구가 필요한 사항으로 ISMS 인증제도의 보다 실효적인 효과성을 측정할 수 있도록 영역별 특성을 고려한 세부적인 효과측정 지표 및 측정 방법에 관한 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
ISMS 인증서비스의 서비스 가치를 측정하기 어려운 이유는?
본 연구에서는 ISMS 인증서비스의 경제적 가치 측정을 위해 가상시장을 이용하여 직접적으로 측정하는 조건부가치측정법을 이용하고자 한다. ISMS 인증서비스는 범용적 특징을 갖고 있고 서비스가 공공재적 성격을 갖고 있기 때문에 시장에서의 수요를 직접 관찰하여 서비스의 가치를 측정하는 것은 불가능한 작업이다. 따라서 간접적인 방법으로 시장수요를 추정하거나 대리변수를 이용하여 서비스의 가치를 측정할 수도 있고 소비자들의 선호를 직접적으로 조사하는 방식으로 가치를 측정하기도 한다[15].
ISMS 인증 제도의 도입 목적은?
정부는 DDoS, 개인정보 유출 등 각종 침해사고에 기업이 체계적이고 지속적으로 대응하도록 2002년도부터 정보보호 관리체계(ISMS : Information Security Management System) 인증 제도를 도입 ·운영하고 있다. 2013년에는 2004년부터 운영되던 정보보호 안전진단 제도를 폐지하고 기존 ISMS 인증 제도를 『정보통신망이용촉진 및 정보보호 등에 관한 법률』 개정을 통해 일정규모 이상의 기업에게 의무화(2013.
헤도닉 가격모형이란?
즉, 재화나 서비스가 시장에서 거래되는 경우 그 재화나 서비스의 가격이 재화의 가치가 된다. 두 번째 대상재화의 가치를 직접 알 수 없지만, 관련재화의 가치를 시장을 통해 알 경우 관련재화의 가치를 통해 대상재화의 가치를 간접적으로 유추하는 현실시장에서 간접적으로 측정하는 방법이다. 이와 관련된 대표적인 방법론은 헤도닉 가격모형(HPM: hedonic price model)이다.
참고문헌 (15)
Ministry of Legislation, "Information and Communication Network Utilization and Information Security Act", 2013.
Ministry of Science ICT and Future Planning , "Notice regarding Information Security Management System Certification", 2013.
KISA, 'Guide for Information Security Management System Certification Scheme', 2013.
KISA, 'Information Security Management System (ISMS) to build and operate training materials', 2013.
KISA, 'Corporate Information Security Survey' 2013.
Sinilsun, "The economic significance of information security Investigation", Information Security Review, Issue 1-1, pp.27-40. 2005.
KISA, "Index calculated level of national information security study and promotion of internationalization", 2006.
Gimjeongdeok, bakjeongeun, "ROI-based information security TCO (ROSI) for research", Digital Policy Institute, pp.251-261, 2003.
Seonhangil, "Statement of local companies and organizations Influence Factors of Information Security", The Korea Society of Management Information Systems, pp.1087-1095, 2005.
Gimjeongin, 'Economic Impact of Asian Dust Research Society (I)', National Institute of Environmental Research, 2008.
Gwonmisu, "Methodology Services measuring the value of information", NIA, 2004.
Ciriacy-Wantrup, "Capital Returns from Soil-Conservation Practices" American J. of Agricultural Economics Volume 29, Issue 4 Part II pp. 1181-1196. 1947.
Devine and Marion, "The Influence of Consumer Price Information on Retail Pricing and Consumer Behavior" American J. of Agricultural Economics Volume 61, Issue 2 pp. 228-237. 1979. DOI: http://dx.doi.org/10.2307/1232747
Gimcheolhoe, jomanhyeong, "Cost-benefit analysis of the national grid project - Empirical studies applying the contingent valuation method-, Korea Policy Research volume9-3, pp.1-16, 2009.
Simjaewoo, gujahun, 'Contingent valuation method (CVM) to estimate the economic value types using business school gongwonhwa', Seoul City Research, volume7-3, pp.51-64, 2006.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.