$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

정보보호 위원회 활동에 따른 정보보호 거버넌스 구현 효과에 관한 연구
A study on effects of implementing information security governance by information security committee activities 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.4, 2015년, pp.915 - 920  

김건우 (중앙대학교) ,  김정덕 (중앙대학교)

초록
AI-Helper 아이콘AI-Helper

정보보호 거버넌스의 주체는 최고경영층이지만 여전히 정보보호 활동에 대한 최고경영층의 참여는 미흡한 실정이다. 이러한 상황에서 정보보호 위원회는 최고경영층의 정보보호 활동 참여를 활성화 하는데 좋은 방법이 될 수 있으며, 결국 정보보호 위원회 활동은 정보보호 거버넌스 구현을 위한 필수 요소라 할 수 있다. 본 연구의 목적은 정보보호 위원회의 활동이 정보보호 거버넌스 구현과 보안효과에 미치는 영향을 확인하는 것이며, 실증연구 분석을 위해 설문조사를 실시하였고, 수집된 자료는 PLS(Partial Least Square)를 이용하여 측정모형 및 구조모형 검정을 실시하였다. 연구 결과, 가치전달과 관련된 가설이 기각되었으며, 향후 정보보호가 비즈니스에 긍정적인 가치를 전달 할 수 있는 방안에 대한 연구가 필요하다.

Abstract AI-Helper 아이콘AI-Helper

The commitment of top management is still insufficient for information security even the core of information security governance is dependent on the leadership of top management. In this situation, information security committee can be a good way to vitalize the commitment of top management and its ...

주제어

#Information Security Governance   #Information Security Committee  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 이에 본 연구에서는 정보보호 위원회 및 정보보호 거버넌스에 대한 개념을 알아보고, 정보보호 위원회 활동이 정보보호 거버넌스 구현 및 보안효과에 미치는 영향을 확인하고자 한다. 이를 위하여 국내 정보보호 담당자 및 전문가에 대한 설문조사를 통해 수집된 자료를 이용하여 이를 실증적으로 분석하였다.

가설 설정

  • H1(+): 정보보호 위원회 활동은 비즈니스와 정보보호의 전략적 연계에 긍정적인 영향을 미칠 것이다.
  • H2(+): 정보보호 위원회 활동은 정보보호 가치 전달에 긍정적인 영향을 미칠 것이다.
  • H3(+): 정보보호 위원회 활동은 정보보호 위험 보증을 위한 책임성 수립에 긍정적인 영향을 미칠 것이다.
  • H4(+): 비즈니스와 정보보호의 전략적 연계는 보안 효과에 긍정적인 영향을 미칠 것이다.
  • H5(+): 정보보호 가치 전달은 보안 효과에 긍정적인 영향을 미칠 것이다.
  • H6(+): 정보보호 위험 보증을 위한 책임성 수립은 보안효과에 긍정적인 영향을 미칠 것이다.
  • 본 연구에서는 Fig. 1.과 같이 정보보호 위원회의 활동이 정보보호 거버넌스 구현에 긍정적인 영향을 미칠 것이라는 가설(H1~H3)과 정보보호 거버넌스 구현이 보안 효과에 긍정적인 영향을 미칠 것이라는 가설(H4~H6)을 설정하였으며, 각각의 연구가설은 다음과 같다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
정보보호 위원회는 무엇인가? 정보보호 위원회는 지속적이고 포괄적인 정보보호 프로그램 지원을 위한 협의체를 의미하며[2], 일반적으로 CISO 및 CIO 등 정보보호 관련 임원과 HR, 법무 등 지원부서의 임원, 현업 임원 및 담당자로 구성된다. 국내 정보보호 분야의 학위논문 및 학술지에는 정보보호 위원회 관련 연구가 없으며, 정부차원에서 개인정보보호 위원회 등에 대한 일부 연구 존재하고, 해외의 경우 이론적으로는 Todd Fitzgerald의 연구, 실무적으로는 Gartner의 연구가 대표적이라고 할 수 있다[2][3].
Gartner에서 제시한 정보보호 위원회의 활동은? Todd Fitzgerald는 정보보호 위원회에 대하여 형성기, 갈등기, 규범기, 성과기의 라이프 사이클 관점에서 연구를 수행하였으며[2], Gartner에서는 정보보호 정책 및 전략 승인, 정보보호 예산 할당 및 승인, 정보보호 활동 결과 및 예외사항 검토, 갈등 조정의 정보보호 위원회의 6가지 활동을 제시하고 있다[3]. 또한 전사적 정보보호 활동을 위해서는 정보보호와 비즈니스와의 전략적 연계, 정보보호 위험 완화 등 정보보호 거버넌스 요구사항과 상충되는 다양한 갈등을 조정하는 것을 정보보호 위원회의 핵심으로 설명하고 있다.
정보보호 거버넌스의 성공적인 구현을 위해 전제되어야하는 최고경영층의 활동은? 또한, 계획에 따라 정보보호 투자를 최적화해야 하며[9], 정보보호 활동의 성과평가를 통해 미흡한 사항을 지속적으로 개선해야 한다[10]. 그리고 정보보호 위험 수준의 보증을 위하여 최고경영층은 업무상의 위험을 포함한 전사적 측면의 보안위험을 고려해야 하며[11], 위험관리 전략 수립 시 조직의 위험성향을 고려해야 한다[12]. 또한, 정보보호 관련 위험 완화를 위한 이해관계자들의 역할 및 책임을 명확히 정의해야 하며[13], 이에 따른 충분한 자원을 할당해야 한다[8]. 결국 정보보호 거버넌스의 성공적인 구현을 위해서는 위와 같은 목표달성 및 최고경영층의 활동이 전제가 되어야 한다고 할 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (17)

  1. Richard A. Caralli, Julia H. Allen, Pamela D. Curtis, David W. White, and Lisa R. Young, "CERT resilience management model version 1.0," Technical Report, CMU/SEI - 2010 - TR - 012, Carnegie Mellon University, May 2010. 

  2. Todd Fitzgerald, "Building management commitment through security councils," Information Systems Security, vol. 14, no. 2, pp. 27-36, Feb. 2015. 

  3. Tom Scholtz and F. Christian Byrnes, "Information security and governance: forums and committees," G00207477, Gartner, Oct. 2010. 

  4. ISO/IEC 27014, "Governance of information security," May 2013. 

  5. Shaun Posthumus and Rossouw von Solms, "A framework for the governance of information security," Computers and Security, vol. 23, no. 8, pp. 638-646, Dec. 2004. 

    상세보기 crossref

  6. Paul Williams, "Information security governance," Information Security Technical Report, vol. 6, no. 3, pp. 60-70, Sep. 2001. 

    상세보기 crossref

  7. Basie von Solms, "Information security governance: compliance management vs operational management," Computers & Security, vol. 24, no. 6, pp. 443-447, Sep. 2005. 

    상세보기 crossref

  8. Corporate Governance Task Force, "Information security governance: a call to action," USA, 2004. 

  9. Joan Hash, Nadya Bartol, Holly Rollins, Will Robinson, John Abeles, and Steve Batdorff, "Integrating IT security into the capital planning and investment control process," Special Publication 800-65, National Institute of Standards and Technology, USA, Jan. 2005. 

  10. Rossouw von Solms and Basie von Solms, "Information security governance: a model based on the direct-control cycle," Computers & Security, vol. 25, no. 6, pp. 408-412, Sep. 2006. 

    상세보기 crossref

  11. Rolf Moulton and Robert S. Coles, "Applying information security governance," Computers & Security vol. 22, no. 7, pp. 580-584, Oct. 2003. 

    상세보기 crossref

  12. Richard M. Steinberg, "Enterprise risk management: integrated framework," COSO, Sep. 2004. 

  13. W. Krag Brotby, "Information security governance guidance for boards of directors and executive management," IT Governance Institute, 2006. 

  14. Jacqueline H. Hall, Shahram Sarkani, and Thomas A. Mazzuchi, "Impacts of organizational capabilities in information security," Information Management & Computer Security, vol. 19, no. 3, pp. 155-176, 2011. 

    상세보기 crossref

  15. Chin W.W., "The Partial Least Squares Approach to Structural Equation Modeling," in G. A. Marcoulides(Ed.) Modern Methods for Business Research, Lawrence Erlbaum Associates, pp. 295-336, 1998. 

  16. Claes Fornell, and David F. Larcker, "Evaluating structural equation models with unobservable variables and measurement error," Journal of Marketing Research, vol. 18, no. 1, pp. 39-50, Feb. 1981. 

    상세보기 crossref

  17. Falk R.F. and Miller N.B., A Primer for Soft Modeling, The University of Akron Press, Akron, 1992. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로