기업의 정보보안 활동이 구성원의 정보보안 준수의도에 미치는 영향 연구 A Study on the influence of firm's Information Security Activities on the Information Security Compliance Intention of Employees원문보기
기업의 정보시스템에 대한 내 외부의 위협이 증가되고 있으며 이를 감소시키기 위해 많은 돈과 인력을 투자하고 있다. 하지만 이러한 투자에도 불구하고 보안위협과 사고는 지속적으로 발생하고 있다. 본 연구는 기업의 사고 방지를 위한 다양한 정보보호 활동을 예방 지향적과 억제 지향적으로 구분하고 건강신념모델을 이용하여 기업의 정보보안 활동이 구성원들에게 어떤 영향을 미치고 정보보안 정책을 준수하도록 하는지 연구하였다. 연구결과 예방 지향적 활동은 심각성에, 억제 지향적 활동은 유익성에 유의미한 영향을 주고, 심각성과 유익성은 각각 준수의도에 영향을 주었다. 이러한 결과로 미루어보아, 기업에서 교육, 홍보, 모니터링 등 사전적인 활동을 시행할 경우 미 준수로 발생할 수 있는 부정적인 결과에 대해 강조하여야 하며, 감사, 처벌 등 사후적인 활동을 통해 보안을 유지하고자 할 경우 기업의 의지를 보임으로써 보안 정책을 준수하는 것이 유익할 것이라는 판단을 구성원 스스로 하도록 하는 것이 더욱 효과적인 정보보안 활동이 될 것이다.
기업의 정보시스템에 대한 내 외부의 위협이 증가되고 있으며 이를 감소시키기 위해 많은 돈과 인력을 투자하고 있다. 하지만 이러한 투자에도 불구하고 보안위협과 사고는 지속적으로 발생하고 있다. 본 연구는 기업의 사고 방지를 위한 다양한 정보보호 활동을 예방 지향적과 억제 지향적으로 구분하고 건강신념모델을 이용하여 기업의 정보보안 활동이 구성원들에게 어떤 영향을 미치고 정보보안 정책을 준수하도록 하는지 연구하였다. 연구결과 예방 지향적 활동은 심각성에, 억제 지향적 활동은 유익성에 유의미한 영향을 주고, 심각성과 유익성은 각각 준수의도에 영향을 주었다. 이러한 결과로 미루어보아, 기업에서 교육, 홍보, 모니터링 등 사전적인 활동을 시행할 경우 미 준수로 발생할 수 있는 부정적인 결과에 대해 강조하여야 하며, 감사, 처벌 등 사후적인 활동을 통해 보안을 유지하고자 할 경우 기업의 의지를 보임으로써 보안 정책을 준수하는 것이 유익할 것이라는 판단을 구성원 스스로 하도록 하는 것이 더욱 효과적인 정보보안 활동이 될 것이다.
An internal and external threat against an information system has increased, and to reduce it, organization has spent a great deal of money and manpower. However, in spite of such investment, security threat and trouble have happened continuously. Organization has conducted information security acti...
An internal and external threat against an information system has increased, and to reduce it, organization has spent a great deal of money and manpower. However, in spite of such investment, security threat and trouble have happened continuously. Organization has conducted information security activity through various policies. The study classified such activities into prevention-oriented activity and control-oriented activity, and researched how information security activity of organization affects members of an organization and obeys information security policy by using health belief model. As a result of the study, prevention-oriented activity has a meaningful impact on seriousness, and this seriousness affects compliance intention for information security. Control-oriented activity has a meaningful impact on benefits, and the benefits have an effect on compliance intention. When an organization conducts prior activities such as education, PR, and monitoring, this organization should emphasize negative results that can happened because of deviation. In addition, in case of exposure and punishment through post activities such as inspection and punishment, if the organization emphasizes the positive effects of exposure and punishment rather than emphasis of negative parts, information security activity will be more effective.
An internal and external threat against an information system has increased, and to reduce it, organization has spent a great deal of money and manpower. However, in spite of such investment, security threat and trouble have happened continuously. Organization has conducted information security activity through various policies. The study classified such activities into prevention-oriented activity and control-oriented activity, and researched how information security activity of organization affects members of an organization and obeys information security policy by using health belief model. As a result of the study, prevention-oriented activity has a meaningful impact on seriousness, and this seriousness affects compliance intention for information security. Control-oriented activity has a meaningful impact on benefits, and the benefits have an effect on compliance intention. When an organization conducts prior activities such as education, PR, and monitoring, this organization should emphasize negative results that can happened because of deviation. In addition, in case of exposure and punishment through post activities such as inspection and punishment, if the organization emphasizes the positive effects of exposure and punishment rather than emphasis of negative parts, information security activity will be more effective.
이를 위해 많은 연구자들이 다양한 분야의 이론을 통해 정보보안 정책 준수 요인에 대한 연구를 하였지만 기업의 정보보안 정책이 구성원의 준수 및 준수의도에 영향을 미치는 과정에서 어떤 요인으로 인해 준수를 하게 되는지 통합된 연구가 부족한 현실이다. 본 연구를 통해 기업의 정보보안 정책을 예방적 및 억제적 활동 개념으로 재구성하여 기업의 활동과 구성원의 준수 의도와의 관계를 파악하고자 한다. 또한, 이를 통해 기업의 효과적인 정책 수립과 방향에 대하여 이론적 근거를 제시하고자 한다.
가설 설정
H1 예방 지향적 활동은 인지된 민감성에 양(+)의 영향을 미칠 것이다.
H2 예방 지향적 활동은 인지된 심각성에 양(+)의 영향을 미칠 것이다.
H3 예방 지향적 활동은 인지된 유익성에 양(+)의 영향을 미칠 것이다.
제안 방법
본 연구는 건강신념모델 관점으로 기업의 정보보안의 활동(예방지향, 억제지향)이 어떠한 매개 요인들을 통해 정보보안 준수의도에 영향을 미치는가에 관하여 실증분석을 하였다. 연구결과 예방 지향적 활동은 인지된 심각성에, 억제 지향적 활동은 인지된 유익성에 각각 유의미한 영향을 주는 것으로 확인되었으며 인지된 심각성, 인지된 장애성이 정보보안 준수의도에 영향을 주는 것으로 확인되었다.
대상 데이터
본 연구의 표본은 정보보안 정책이 있는 기업의 정보보안 담당자와 일반직원을 분석단위로 설정하여 이메일을 통해 설문을 실시하였다. 조사기간은 2015년 5월 7일~5월 22일 동안 수집되었으며 설문결과는 총 172명에게 응답을 받았고 불성실한 답변 8건을 제외한 164명의 응답 데이터가 사용되었다.
본 연구의 표본은 정보보안 정책이 있는 기업의 정보보안 담당자와 일반직원을 분석단위로 설정하여 이메일을 통해 설문을 실시하였다. 조사기간은 2015년 5월 7일~5월 22일 동안 수집되었으며 설문결과는 총 172명에게 응답을 받았고 불성실한 답변 8건을 제외한 164명의 응답 데이터가 사용되었다. 수집된 데이터는 SPSS 18을 이용하여 요인 및 신뢰도 분석을 실시하였으며, 본 연구에의 가설을 검증하기 위하여 SmartPL2.
데이터처리
조사기간은 2015년 5월 7일~5월 22일 동안 수집되었으며 설문결과는 총 172명에게 응답을 받았고 불성실한 답변 8건을 제외한 164명의 응답 데이터가 사용되었다. 수집된 데이터는 SPSS 18을 이용하여 요인 및 신뢰도 분석을 실시하였으며, 본 연구에의 가설을 검증하기 위하여 SmartPL2.0을 이용하여 분석을 하였다. 설문결과 대한 인구통계학적 특징은 다음 표와 같다.
성능/효과
둘째, 억제 지향적인 활동은 인지된 유익성에 정(+)의 영향을 미친다고 분석되었다. 기업의 정보보안 감사와 적발을 통한 강력한 처벌 등의 강제적인 활동은 기업이 정보보안에 대해 강력한 의지를 가지고 있다는 것을 인식하게 한다.
셋째, 인지된 심각성, 인지된 유익성은 각각 정보보안정책 준수의도에 정(+)의 영향을 주는 것으로 분석되었다. 이 결과는 Bulgurcu의 연구결과를 통해 설명할 수 있다.
첫째, 예방 지향적 활동은 인지된 심각성에 정(+)의 영향을 주는 것으로 나타났다. 기업은 구성원의 보안 의식을 높이고자 교육 활동 등의 예방 지향적 활동을 수행한다.
후속연구
둘째, 본 연구에서 사용한 독립변수의 예방지향과 억제지향을 더욱 세분화하여 구분할 수 있을 것이다. 사전, 사후 개념이 아닌 새로운 개념을 통해 변수들에 대한 세분화 및 구체화하는 연구가 필요하다.
처벌(penalty)과 보상(benefit)만을 강조하는 것이 아니라 복합적이고 통합적인 정책이 정보보안 준수를 강화하는데 적합하다고 할 수 있다. 또한 본 연구를 통해 기업의 정보보안 활동이 구성원들에게 어떻게 작용되고 정보보안 준수에 영향을 주는지 확인할 수 있었으며 연구 결과를 통해 기업에서 정책을 수립하고 적용하는 데 이론적 근거로 사용될 수 있을 것이다.
첫째, 다양한 산업분야, 구성원의 경력, 직급, 업무 등으로 다양한 변수들을 통한 연구가 필요하다. 일반적인 제조업과 고도의 기술적 수준이 필요한 분야는 관리가 필요한 정보와 자산도 다를 것이기에 다양한 산업 분야에 대해 세분화된 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
억제이론은 무엇인가?
Lebow와 Stein은 억제란 ‘올바르지 않은 행동을 하려는 자에게 이익보다 비용이 많다는 것을 알림으로써 행위를 예방하는 것’이라고 정의하였다[14]. 인간은 합리적이고 경제적인 존재이기 때문에 예상되는 이익을 계산하여 얻는 불이익이 크다면 범죄의 동기가 줄어든다는 억제이론(Deterrence Theory)을 바탕으로 하고 있으며 이는 처벌과 이득과의 합리적인 계산을 통해 범죄의 동기가 결정된다는 결과와 같다[15].
건강신념모델은 무엇으로 구성되었는가?
건강신념모델은 지각된 심각성(perceived severity), 지각된 취약성(perceived susceptibility), 지각된 이익(perceived benefit), 지각된 장애(perceived barriers), 행동계기(cues to action)로 구성되어 있다.
기업의 정보보안을 위해 하는 정보보안 활동 중 억제 지향적인 활동은 어떤 영향을 주는가?
둘째, 억제 지향적인 활동은 인지된 유익성에 정(+)의 영향을 미친다고 분석되었다. 기업의 정보보안 감사와 적발을 통한 강력한 처벌 등의 강제적인 활동은 기업이 정보보안에 대해 강력한 의지를 가지고 있다는 것을 인식하게 한다. 강력한 처벌 및 감사 등의 억제 지향적 활동을 통해 구성원은 규정을 지키고 보안 정책을 준수하는 것이 유익할 것이라는 인식을 하게 될 것이다.
참고문헌 (24)
Fossi, M., Turner, D., Johnson, E., Mack, T., Adams, T., Blackbird, J., Entwisle, S., Graveland, B., McKinney, D., and Mulcahy, J., "Symantec global internet security threat report," White Paper, Symantec Enterprise Security (1), 2009.
Power, R. 2002 CSI/FBI computer crime and security survey, Computer Security Institute, 2002.
김정덕, "정보보호관리 패러다임 변화에 따른 주요 이슈와 미래 전략," 정보보호학회지, 제23권, 제5호, pp. 5-8. 2013.
Thompson, H. H., Whittaker, J. A., and Andrews, M. "Intrusion detection: Perspectives on the insider threat," Computer Fraud & Security:1), pp 13-15, 2004.
박종원, "Impact of information security strategy on information security compliance intention,"공주대학교, 2013.
Boss, S., and Kirsch, L, "The last line of defense: motivating employees to follow corporate security guidelines," Proceedings of the 28th International Conference on Information Systems), pp 9-12, 2007.
Bulgurcu, B., Cavusoglu, H., and Benbasat, I. "Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness," MIS quarterly, Vol. 34, No. 3, pp. 523-548, 2010.
D'Arcy, J., D'Arcy, A., Hovav, D., and Galletta, "User Awareness of Security Countermeasures and Its Impact on Information Systems Misuse: A Deterrence Approach," Information Systems Research, Vol. 20, No. 1, pp. 79-98, 2009.
Straub, D. W., and Welke, R. J., "Coping with Systems Risk: Security Planning Models for Management Decision Making," MIS Quarterly, Vol.22, No.4, pp. 441-469, 1998.
Piccoli, G., Ahmad, R., and Ives, B., "Web-based virtual learning environments: A research framework and a preliminary assessment of effectiveness in basic IT skills training," MIS quarterly, Vol. 25, No. 4, pp. 401-426, 2001.
Siponen, M., and Vance, A., "NEUTRALIZATION: NEW INSIGHTS INTO THE PROBLEM OF EMPLOYEE INFORMATION SYSTEMS SECURITY POLICY VIOLATIONS," MIS Quarterly, Vol. 34, No. 3, pp. 487-502, 2010.
Cornish, D. B., and Clarke, R. V., "Opportunities, precipitators and criminal decisions: A reply to Wortley's critique of situational crime prevention," Crime prevention studies, Vol.16, pp. 41-96, 2003.
Scholz, J. T., "Enforcement Policy and Corporate Misconduct: The Changing Perspective of Deterrence Theory," Law and Contemporary Problems, Vol. 60, No. 3, pp. 253-268, 1997.
Workman, M., and Gathegi, J., "Punishment and ethics deterrents: A study of insider security contravention," Journal of the American Society for Information Science & Technology, Vol.58, No. 2, pp. 212-222, 2007.
Becker, M. H., "The health belief model and personal health behavior," Slack, Vol. 2, No. 4, 1974.
Ng, B.-Y., Kankanhalli, A., and Xu, Y. C., "Studying users' computer security behavior: A health belief perspective," Decision Support Systems, Vol. 46, No.4, pp. 815-825, 2009.
임명성, "조직 구성원들의 정보보안 정책 준수행위 의도에 관한 연구," 디지털융복합연구, 제10권, 제10호, pp. 119-128, 2012.
김상현, 송영미, "조직 구성원들의 정보보안 정책준수 동기요인에 관한 연구," e-비즈니스연구, 제12권, 제3호, pp. 327-349, 2011.
Hair, J. F., Multivariate data analysis, 2009.
Fornell, C., and Larcker, D., "Evaluating Structural Equation Models with Unobservable Variables and Measurement Error," Journal of Marketing Research, pp. 39-50, 1981.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.