[논문]정보보호 관리체계(ISMS)가 기업성과에 미치는 영향에 관한 실증적 연구

장상수; 김상춘

정보보호 관리체계(ISMS)가 기업성과에 미치는 영향에 관한 실증적 연구
An Empirical Study on the Effects of Business Performance by Information Security Management System(ISMS) 원문보기

융합보안논문지 = Convergence security journal, v.15 no.3 pt.1, 2015년, pp.107 - 114

장상수 (한국인터넷진흥원) , 김상춘 (강원대학교)

초록
AI-Helper

2002년부터 시행해온 국내 정보보호 관리체계(ISMS) 인증 제도는 그간 정보통신서비스제공 기업의 지속적인 정보보호 수준을 제고하고 침해사고시 피해확산 방지와 신속한 대응 등 많은 성과가 있어온 것은 사실이다. 그러나 이러한 정보보호 관리체계 구축이 실제 정보보호에 대한 투자 일환으로 기업성과에 얼마나 영향을 미쳐왔는지는 아직까지 측정 지표나 방법에 대해 부족한 실정이다. 본 연구에서는 실제로 이러한 ISMS 인증이 기업의 성과에 얼마나 영향을 미치는 지를 실제 인증 취득기업을 대상으로 성과 평가 모델과 지표 개발하고 실증 사례 분석을 통해 유효성을 검증하였다. ISMS 인증 취득 기업을 대상으로 설문조사를 통해 경제적 효과성에 대해 정확한 평가를 함으로써 궁극적으로 조직의 정보보호 목적을 달성하도록 하고자 하였다. 또한 ISMS 자체가 정보보호 수준을 한단계 높이는 실효적인 인증 시스템이 되도록하여 보안 사고를 사전에 예방하고 기업성과를 향상시키는데 도움을 주고자 한다.

Abstract ▼ AI-Helper

Since 2002, information security management system has been implemented (ISMS) certification scheme whilst providing telecommunications services to enhance the level of enterprise information security was ongoing and Prevent accidents and avoid spread of infringement, such as rapid response and there is a lot of it came true. However, this system is the protection of the country or the investment company, as part of the actual information on how management affects the performance came from or how measures are still lacking for. In this study, the companies have their own privacy ISMS certification measures the level of activity continued to improve information security performance measures and methodology are presented. The government is also based on the validity of the certification system to ensure the overall implementation of the ISMS itself is this a step increase effective information security system is to be certified in advance to prevent security incidents and to improve business performance to help.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서 제시하고 있는 성과측정 모델 및 사례는 기업이 정보보호에 대한 지속적인 투자와 노력에 대한 성과를 기업 자체적으로 측정가능하게 하여 ISMS를 지속적으로 유지하고 관리하는데 도움을 주고자 하였다. 또한 ISMS 구축의 전반적인 이행의 근거와 타당성을 확보하여 ISMS 자체가 정보보호 수준을 한단계 높이는 실효적인 인증 시스템이 되도록하여 보안 사고를 사전에 예방하고 기업성과를 향상시키는데 도움을 주고자 하였다.
본 논문에서 제시하고 있는 성과측정 모델 및 사례는 기업이 정보보호에 대한 지속적인 투자와 노력에 대한 성과를 기업 자체적으로 측정가능하게 하여 ISMS를 지속적으로 유지하고 관리하는데 도움을 주고자 하였다. 또한 ISMS 구축의 전반적인 이행의 근거와 타당성을 확보하여 ISMS 자체가 정보보호 수준을 한단계 높이는 실효적인 인증 시스템이 되도록하여 보안 사고를 사전에 예방하고 기업성과를 향상시키는데 도움을 주고자 하였다.
본 연구는 ISMS 성과에 대한 실증 분석을 위해 기존 선행연구에서 도출된 측정 항목과 포커스그룹의 검토 항목을 기반으로 설문조사를 실시하였다. 조사 대상은 2014년 인증 취득 기업중 1년이상 유지 기업 277개 업체를 대상으로 2014년 12월 1일부터 12월 29일 동안 설문을 실시하였다.

제안 방법

ISMS 인증의 경제적 효과분석(KISA, 2010)에서는 다음 같은 논리 연관도를 이용하여 기업가치 상승과 정보보호산업 활성화(매출증대, 고용창출)를 핵심으로 기업당 경제적 효과를 분석하였다[6].
본 논문에서는 ISMS 구축에 따른 성과분석을 위한 선행 연구자료 분석을 통해 성과지표를 발굴하였으며, 설문조사를 통해 유효성 점증을 실시하였다. 성과분석은 설문조사를 통해 인증 취득기업을 대상으로 통계 분석하여 실적값을 반영하였다.
본 연구에서는 기존 선행 연구의 문제점을 개선하여 기업가치 증가를 최상위의 목표로 설정하고 이에 대한 직접 및 간접효과로 지표를 재정립 하여 아래와 같이 성과 측정 모형을 설계하였다.
기존의 정보보호 성과측정 선행연구에서 특히 ISMS 인증 유형별 분석, ISMS 효과분석 모형, 분석항목 적정성, 인증의 목표와 관련한 항목 및 자료조사 등 분석의 문제점은 <표 3>과 같다. 본 연구에서는 이러한 문제점을 개선하여 성과 분석의 모델을 정립하고 직접 및 간접효과를 도출하여 바람직한 ISMS 성과분석이 될 수 있도록 체계를 마련하였다[1,2,3,4,5,6,7,8].
조사 대상은 2014년 인증 취득 기업중 1년이상 유지 기업 277개 업체를 대상으로 2014년 12월 1일부터 12월 29일 동안 설문을 실시하였다. 설문은 ISMS 인증조직의 기본정보, 고객만족도 제고, 정보보호, 업무효율성 증진, 기업경영개선 등 총 21개 문항으로 구성되었다.
본 논문에서는 ISMS 구축에 따른 성과분석을 위한 선행 연구자료 분석을 통해 성과지표를 발굴하였으며, 설문조사를 통해 유효성 점증을 실시하였다. 성과분석은 설문조사를 통해 인증 취득기업을 대상으로 통계 분석하여 실적값을 반영하였다. 분석결과 고객만족도 제고 효과, 정보자산 보호효과, 업무효율성 증진효과가 높은 것으로 나타났으며 전반적인 기업경영 개선 효과는 높지 않은 것으로 나타났다.
정보보호 분야의 전문가 20명이 참여한 포커스 그룹을 구성하여 설문과 심층 면접을 통해 와 같이 측정항목을 검토하였다[1,2,3].

대상 데이터

본 연구는 ISMS 성과에 대한 실증 분석을 위해 기존 선행연구에서 도출된 측정 항목과 포커스그룹의 검토 항목을 기반으로 설문조사를 실시하였다. 조사 대상은 2014년 인증 취득 기업중 1년이상 유지 기업 277개 업체를 대상으로 2014년 12월 1일부터 12월 29일 동안 설문을 실시하였다. 설문은 ISMS 인증조직의 기본정보, 고객만족도 제고, 정보보호, 업무효율성 증진, 기업경영개선 등 총 21개 문항으로 구성되었다.

이론/모형

도출 항목의 적정성 여부를 평가하기 위해 정성적 연구방법의 하나인 포커스 그룹 인터뷰(Focus Group Interview) 방법을 이용하였다. 정보보호 분야의 전문가 20명이 참여한 포커스 그룹을 구성하여 설문과 심층 면접을 통해 <표 4>와 같이 측정항목을 검토하였다[1,2,3].

성능/효과

08점으로 가장 낮게 나타났다. ISMS 구축에 따른 책임성 강화와 경영진의 참여와 관심으로 침해 사고시 피해 확산 방지와 함께 피해 보상 및 복구 비용이 절감된 것으로 판단된다.
ISMS 인증조직을 대상으로 간접효과인 정보보호 산업 활성화와 관련된 비용을 조사한 결과, 2011년을 기준으로 정보보호 컨설팅 비용은 2,708만원, 정보보호 솔루션 비용은 7,513만원, 정보보호 서비스 비용(관제서비스 등)은 4,583만원, 정보보호 유지보수 비용은 3,350만원, ISMS 인증비용은 1,075만원이 소요된 것으로 분석되었다.
ISMS 인증조직의 고객기업수가 2011년 39개 기업에서 2013년 48개의 기업으로 매년 증가하고 있으며, 전체적으로 23%의 증대 실적(고객이탈방지효과)이 있는 것으로 분석되었다. 고객 수에서도 2011년 1만명에서 2013년 1만 2천명으로 20%가 증대되었으며, 3개년 동안 지속적으로 증가되고 있는 것으로 분석되었다.
고객만족도 제고 효과에서는 고객거래정보의 안전한 관리 및 활동 강화가 5.17점으로 가장 높게 분석되었으며, 고객 이탈 방지효과는 3.92점으로 가장 낮게 분석되었다. 고객정보에 대한 안전성 유지가 결국 고객만족도 제고에 기여하고 있는 것으로 분석된다.
ISMS 구축이 조직의 프로세스 개선활동의 일환으로 업무 효율성 측면에서 많은 기여를 하고 있는 것으로 보인다. 고객만족도 제고효과와 정보자산보호 효과 또한 높은 것으로 나타났다. 다만, 기업경영 개선 효과에 대해서는 기업경영 성과에 많은 요소들이 작용하기 때문에 ISMS만 특정화해서 유효성 여부를 가시적으로 인식을 못하는 것으로 판단된다.
기업경영 개선 효과로는 전반적으로 점수가 4.0에 미치지 못하고 있으며, 부가서비스 창출(정보보호산업측면)이 4.25점으로 가장 높게 나타났으며, 글로벌 비즈니스 기회확대가 3.42점으로 가장 낮게 나타났다. ISMS가 기업 비즈니스 연속성 확보를 위한 전략으로 경영체계 하나인 것은 분명하나 직접적으로 기업경영 개선효과로 측정하기 어려움 면이 있다.
42점으로 가장 낮은 점수로 분석되었다. 따라서 업무 효율성 증진영역 내에서 관리되는 지표인 매출증가, 글로벌사업 창출, 신규/부가비지니스, ISMS 경제효과, 서비스창출 등에 경제적 효과결과가 다른 영역에 비하여 낮게 분석되었다. 또한 간접효과로 정보보호산업 활성화와 정보보호 인력 고용 창출에도 많은 기여를 하고 있는 것으로 분석되었다.
따라서 업무 효율성 증진영역 내에서 관리되는 지표인 매출증가, 글로벌사업 창출, 신규/부가비지니스, ISMS 경제효과, 서비스창출 등에 경제적 효과결과가 다른 영역에 비하여 낮게 분석되었다. 또한 간접효과로 정보보호산업 활성화와 정보보호 인력 고용 창출에도 많은 기여를 하고 있는 것으로 분석되었다.
여기에서는 가치상승측면에서 경제적 효과분석을 실시한 결과, 연간업무 처리기간 단축 비용 42백만원, 종업원1인당 부가가치 20백만원, 연구개발비 손실비용 절감비 164백만원으로 분석되어 전체적으로 228백만원으로 도출되었다. 매출증대 측면에서 분석된 내용으로는 인증수수료 7.3백만원, 정보보호컨설팅 비용이 30백만원, 정보보호제품 및 서비스 비용이 178백만원으로 분석되어 전체적으로 215.3백만원으로 도출되었다. 고용창출 측면에서 분석된 결과는 정보보호컨설턴트, 정보보호심사원, 기업정보보호근무자 등을 합하여 연 평균적으로 2.
본 연구 표본의 전년도 매출액 평균 57,028백만원이었으며, 평균 종업원수는 129.5명, 정보화 인력은 평균 43.1명, 정보보호 인력은 평균 10.8명, ISMS 인력은 평균 4.1명, 담당자의 보안경력은 평균 8.2년으로 조사되었다. 정보화에 투자되는 예산은 평균 798백만원, 정보보호에 투자되는 예산은 65백만원, 정보보호 투자는 정보화 투자비의 8.
성과분석은 설문조사를 통해 인증 취득기업을 대상으로 통계 분석하여 실적값을 반영하였다. 분석결과 고객만족도 제고 효과, 정보자산 보호효과, 업무효율성 증진효과가 높은 것으로 나타났으며 전반적인 기업경영 개선 효과는 높지 않은 것으로 나타났다. 기업경영 개선 효과 자체는 정보보호 특성상 ISMS가 기업의 경영성과에 구체적으로 어떻게 얼마나 영향을 주는지 측정하기란 쉽지 않다는 것이다.
설문 분석 결과를 종합하면, 7점 척도(도입전보다 낮음:1 -> 아주높음:7)로 설문한 결과, 업무효율성 증진효과 영역(평균 4.90점)이 가장 높게 나타났으며, 이 중 조직내부 정보보호 인식제고가 가장 높은 점수(5.83점)를 받은 것으로 나타났다.
업무효율성 증진 효과에서는 조직 내부 정보보호 인식 제고가 5.83점으로 가장 높게 나타났으며, 정보보호 인력 감소는 3.92점으로 가장 낮게 나타났다. ISMS 목표 자체가 정보보호 수준제고로 조직내 정보보호 관리체계 수립은 모든 조직원들의 정보보호 인식제고 활동에 많은 효과가 있다고 판단된다.
여기에서는 가치상승측면에서 경제적 효과분석을 실시한 결과, 연간업무 처리기간 단축 비용 42백만원, 종업원1인당 부가가치 20백만원, 연구개발비 손실비용 절감비 164백만원으로 분석되어 전체적으로 228백만원으로 도출되었다. 매출증대 측면에서 분석된 내용으로는 인증수수료 7.
1%로 분석되었다. 이를 토대로 전년도 매출액 대비 정보보호 투자비율을 분석한 결과 0.12%로 나타났다.
정보보호 인력 고용 창출효과를 비교한 결과, 2011년 평균 0.5명의 직원에서 2013년 평균 2.31명으로 증가한 것으로 분석 되었으며, 보안 관련 인건비 지급총액은 정보보호 인력당 6,592천원으로 분석되었다.
정보자산 보호 효과에서는 패해 보상 및 복구비용 절감이 4.33점으로 가장 높게 나타났으며, 매출 손실 절감은 4.08점으로 가장 낮게 나타났다. ISMS 구축에 따른 책임성 강화와 경영진의 참여와 관심으로 침해 사고시 피해 확산 방지와 함께 피해 보상 및 복구 비용이 절감된 것으로 판단된다.
2년으로 조사되었다. 정보화에 투자되는 예산은 평균 798백만원, 정보보호에 투자되는 예산은 65백만원, 정보보호 투자는 정보화 투자비의 8.1%로 분석되었다. 이를 토대로 전년도 매출액 대비 정보보호 투자비율을 분석한 결과 0.
직접 효과에 대한 결과 분석 결과 업무효율성 증진 효과가 가장 높은 것으로 나타났으며, 기업경영개선을 위한 성과측정 도출이 가장 낮게 분석되었다. ISMS 구축이 조직의 프로세스 개선활동의 일환으로 업무 효율성 측면에서 많은 기여를 하고 있는 것으로 보인다.
직접적인 효과로는 고객만족도 제고, 정보자산보호, 업무효율성 증가, 기업경영 개선 등의 주요지표를 도출하고, 간접효과로는 보안산업 활성화와 보안인력의 고용창출 등을 주요지표로 도출하었다.

질의응답

핵심어	질문	논문에서 추출한 답변
	정보보호 관리체계(ISMS) 인증 제도에 대한 국내의 현 실정은?	국제 표준 규격인 ISO/IEC 27001과 별개로 국내 ICT 환경과 국가 정보보호 정책을 즉시 반영 가능하도록 한국형 ISMS 공통 프레임워크를 개발하여 적용하고 있다. 그러나 일부 기업이나 조직에서 인증 자체를 형식적이고 의무사항으로만 인식하여 ISMS 자체에 대한 본질이 퇴색되고 있는 상황이다. 2015년도 한국인터넷진흥원(KISA)으로부터 인증을 받아 유지하고 있는 대상은 약 470여개가 된다. 그러나 이들 조직들이 ISMS 구축의 효과보다는 제도에 대한 불만이나 어쩔수 없이 인증을 취득하고 있는 것으로 보인다.
	ISMS란 무엇인가?	25 사이버공격, 카드 3사 개인정보 유출, 한수원 해킹 공격 등 국가안보를 위협하는 대규모 사이버 공격이 지속적으로 발생하고 있다. 이러한 침해사고 등에 효과적으로 대응하기 위하여 정보 중심의 동적인 위험관리 방법을 적용한 정보 보호 관리체계(이하 ISMS, Information Security Management System) 구축 필요성이 대두되고 있다.
	국내 정보보호 관리체계 운영은 어떠한가?	국내에서는 2002년도부터 정보보호 관리체계(ISMS) 인증 제도를 도입 운영하고 있으며 2013년도에는 일정 규모 이상의 기업에게 ISMS 인증을 의무적으로 받도록 하고 있다. 국제 표준 규격인 ISO/IEC 27001과 별개로 국내 ICT 환경과 국가 정보보호 정책을 즉시 반영 가능하도록 한국형 ISMS 공통 프레임워크를 개발하여 적용하고 있다.

참고문헌 (8)

김영일, 이재훈, "개인정보보호투자의 성과측정방안에 관한 연구", 디지털융복합연구 제11권 제1호 (2013년 1월) pp.99-106, 2013.
김선양, "품질경영시스템이 기업성과에 미치는 영향에 관한 연구 : QMS인증 중소기업을 중심으로", 한양대학교 석사학위논문, 2005.
박대하, 이재훈, "개인정보보호 투자 성과측정 방안 선정에 관한 연구", 정보보호학회논문지 제22권 제6호 (2012년 10월) pp.15-21, 2012.
선한길, "국내기업의 정보보호 정책 및 조직 요인이 정보보호성과에 미치는 영향", 한국경영정보학회 춘계학술대회 논문집, pp.1087-1095, 2005.
신일순, "정보보호의 경제학적 의미에 대한 소고", Information Security Review, 제1호, 제1권, pp.27-40, 2005.
한국인터넷진흥원, "정보보호 관리체계(ISMS)인증의 경제적 효과 분석", 인터넷진흥원, 인터넷 & 시큐리티 이슈 제 2호. 2010.
Bodin, L.D., L.A and Loed, M.P., "Evaluating information security investment using the analytic hierarchy process," Communication of theACM, Vol.11, No3, pp.431-448, 2005.
Tsiakis, T. and S., George, "The economic approach of information security," Computers & Security, Vol. 24, No.2, pp105-108, 2005.

상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증