조직원의 정보보안 정책 준수의도에 미치는 영향 연구: 계획된 행동이론, 공정성이론, 동기이론의 적용 A Study on the Influence of Information Security Compliance Intention of Employee: Theory of Planned Behavior, Justice Theory, and Motivation Theory Applied원문보기
조직은 정보 보안 기술에 대한 지속적인 투자를 통하여 다른 기업들보다 정보자원에 대한 경쟁력을 높이고 있다. 그러나 정보보안 기술 및 정책을 실행에 옮기는 조직원의 정보보안에 대한 관심이 상대적으로 저조하다. 본 연구는 정보보안 분야에 계획된 행동이론, 공정성이론, 그리고 동기이론을 적용하여 조직원의 정보보안 준수의도를 높이기 위한 메커니즘을 찾는다. 연구대상은 정보보안 정책을 도입한 조직의 조직원들이며, 서베이를 통하여 유효샘플 383개를 수집하였다. 연구가설 검증은 구조방정식 모델링을 실시하였다. 결과는 조직공정성, 외재적 동기(제재), 내재적 동기(조직일체화)가 계획된 행동이론의 세부 요인들에 영향을 주고 개인의 정보보안준수의도에 영향을 주는 것으로 나타났다. 분석 결과는 조직의 보안정책에 대한 조직원들의 준수의도 향상을 위한 전략적 접근 방향을 제시한다.
조직은 정보 보안 기술에 대한 지속적인 투자를 통하여 다른 기업들보다 정보자원에 대한 경쟁력을 높이고 있다. 그러나 정보보안 기술 및 정책을 실행에 옮기는 조직원의 정보보안에 대한 관심이 상대적으로 저조하다. 본 연구는 정보보안 분야에 계획된 행동이론, 공정성이론, 그리고 동기이론을 적용하여 조직원의 정보보안 준수의도를 높이기 위한 메커니즘을 찾는다. 연구대상은 정보보안 정책을 도입한 조직의 조직원들이며, 서베이를 통하여 유효샘플 383개를 수집하였다. 연구가설 검증은 구조방정식 모델링을 실시하였다. 결과는 조직공정성, 외재적 동기(제재), 내재적 동기(조직일체화)가 계획된 행동이론의 세부 요인들에 영향을 주고 개인의 정보보안준수의도에 영향을 주는 것으로 나타났다. 분석 결과는 조직의 보안정책에 대한 조직원들의 준수의도 향상을 위한 전략적 접근 방향을 제시한다.
Organizations continue to invest in the security of information technology as a means to be more competitive than others in their industry do. However, there is a relatively lack of interest in the information security compliance of employees who implement information security technologies and polic...
Organizations continue to invest in the security of information technology as a means to be more competitive than others in their industry do. However, there is a relatively lack of interest in the information security compliance of employees who implement information security technologies and policies of organization. This study finds mechanisms for enhancing security compliance by applying theory of planned behavior, justice theory, and motivation theory in information security field. We use structural equation modeling to verify the research hypotheses, and conducted a survey on the employees of organization with information security policy. The results showed that organizational justice, sanction, and organizational identification affect the factors of the planned behavior theory and affect the employee's compliance intention. As a result, this research suggested directions for strategic approach for enhancing employee's compliance intention on organization's security policy.
Organizations continue to invest in the security of information technology as a means to be more competitive than others in their industry do. However, there is a relatively lack of interest in the information security compliance of employees who implement information security technologies and policies of organization. This study finds mechanisms for enhancing security compliance by applying theory of planned behavior, justice theory, and motivation theory in information security field. We use structural equation modeling to verify the research hypotheses, and conducted a survey on the employees of organization with information security policy. The results showed that organizational justice, sanction, and organizational identification affect the factors of the planned behavior theory and affect the employee's compliance intention. As a result, this research suggested directions for strategic approach for enhancing employee's compliance intention on organization's security policy.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
세부적으로 정보보안 준수의도를 설명하기 위하여 계획된 행동이론의 세부 요인인 사회적 영향, 태도, 그리고 자기효능감이 정보보안 준수에 영향을 주는지를 파악하고자 하였으며, 정보보안 관련 조직의 전반적인 공정성 수준이 계획된 행동 요인 중 사회적 영향에 영향을 미침으로써 준수의도로 연계되는지를 파악하고자 하였다. 그리고 정보보안 관련 동기(외재적, 내재적)가 태도에 긍정적인 영향을 미침으로써 준수의도로 연계되는지를 파악하고자 하였다. 이를 위하여 정보보안 정책을 엄격하게 도입하고 있는 국내 대기업 및 은행권에 종사하고 있는 일반적인 업무를 수행하고 있는 조직원들을 대상으로 설문을 실시하였으며, 구조방정식모델링을 통한 가설 검증을 실시하였다.
본 연구는 개인의 행동에 강력한 영향요인을 제시하는 계획된 행동이론(Theory of Planned Behavior)을 기반으로 조직의 보안 관련 공정 수준이 어떻게 개인의 보안 준수에 영향을 주는지를 파악하고자 한다. 더불어, 개인에게 형성되는 외적, 내적 동기가 계획된 행동이론과 연계되어 복합적으로 형성되는 보안 준수의도에 미치는 영향관계를 함께 검증하고자 한다. 즉, 개인의 보안 관련 행동을 설명하기 위하여 계획된 행동이론을 기반으로 조직의 공정성 수준과 개인에게 형성된 다양한 동기적 관점이 정보보안 준수에 미치는 영향 관계를 제시한다.
이러한 조직 내 역할의 차이는 보안 행동에 대한 인식 차이를 가지고 올 것으로 판단되기 때문에, 향후 업종별 직무별 특성을 함께 고려하여 정보보안 연구가 실행된다면, 분야별 정보보안에 대한 인식 및 대응 방법을 제시함으로써 맞춤형 시사점을 제시할 수 있을 것으로 판단된다. 더불어, 정보보안은 최신의 기술을 정책적으로 적용함으로써, 정보를 보호하고자 하기 때문에, 필연적으로 기술적 활용능력에 기반하여 행동하고자 한다. IT 활용 능력 수준이 높은 사람과 그렇지 못한 사람과의 준수의도의 차이가 나타날 수 있을 것으로 판단한다.
즉, 정보보안 위협 최소화를 위해서는 조직원의 자발적인 정보보안 준수행동이 우선시되어야 하며, 보안 준수 행동 수준을 높이기 위한 개인의 동기개선 및 조직 차원의 다양한 노력이 필요하다[25,26]. 따라서 연구는 정보보안 준수의도를 높이기 위하여 계획된 행동이론에서 제시하는 세부 요인을 활용하고, 정보보안 관련 공정성 수준과 개인에게 형성된 동기의 연관성을 제시함으로써 조직원의 정보보안 준수의도를 높이기 위한 방향을 제시하고자 한다.
본 연구는 개인의 행동에 강력한 영향요인을 제시하는 계획된 행동이론(Theory of Planned Behavior)을 기반으로 조직의 보안 관련 공정 수준이 어떻게 개인의 보안 준수에 영향을 주는지를 파악하고자 한다. 더불어, 개인에게 형성되는 외적, 내적 동기가 계획된 행동이론과 연계되어 복합적으로 형성되는 보안 준수의도에 미치는 영향관계를 함께 검증하고자 한다.
본 연구는 계획된 행동이론의 세부 요인으로서, 태도, 자기효능감(인지된 행동 통제 요인), 그리고 사회적 영향(주관적 규범 요인)을 보안 분야에 적용하고 선행요인인 공정성과 동기와의 관련성을 제시하고자 한다.
본 연구는 구조방정식모델링을 기반으로 연구 모델을 검증하고자 한다. 구조방정식모델링은 사회학 등의 확인적 요인분석과 경로분석이 결합된 방법론으로서, 특정 분야에 대한 이론을 기초로 연구자가 사전에 수립한 모델에 대한 검증을 수행한다.
본 연구는 보안 관련 조직의 공정성과 동기가 조직원의 보안 준수에 미치는 영향관계를 파악하기 위함이다. 세부적으로, 계획된 행동 관점에서 보안 관련 조직 공정성, 제재 그리고 조직 일체화가 보안 관련 계획된 행동에 미치는 일련의 절차를 파악함으로써, 조직원의 보안 준수의도를 높이기 위한 방향을 제시하고자 하며, 연구 목적에 맞는 연구 모델을 제시한다(Fig.
본 연구는 신뢰성과 타당성 검증을 통하여 연구 모델의 적정성을 검증한다. 첫째, 모델의 신뢰성 분석을 테스트하기 위하여 SPSS 21.
구조방정식모델링은 사회학 등의 확인적 요인분석과 경로분석이 결합된 방법론으로서, 특정 분야에 대한 이론을 기초로 연구자가 사전에 수립한 모델에 대한 검증을 수행한다. 본 연구는 정보보안 분야에 기존의 공정성이론 및 동기이론, 그리고 계획된 행동이론을 적용하여, 보다 명확한 조직원 보안 준수의도 원인을 찾는 인관관계를 증명하고자 본 기법을 적용한다. 이에, 관련 데이터는 서베이 기법을 통해 확보하였다.
본 연구는 조직원의 정보보안 준수의도를 높이기 위한 방향을 제시하고자 한다. 연구 가설 검증 결과의 시사점을 높이기 위하여, 정보보안 정책을 엄격하게 적용하고 있는 대기업 및 금융기업에서 근무하는 조직원들을 대상으로 하고자 한다.
본 연구는 조직원의 정보보안 준수의도를 설명하는 이론인 계획된 행동이론을 중심으로 조직원의 정보보안 준수의도 향상을 위한 방향을 제시한다. 세부적으로 정보보안 준수의도를 설명하기 위하여 계획된 행동이론의 세부 요인인 사회적 영향, 태도, 그리고 자기효능감이 정보보안 준수에 영향을 주는지를 파악하고자 하였으며, 정보보안 관련 조직의 전반적인 공정성 수준이 계획된 행동 요인 중 사회적 영향에 영향을 미침으로써 준수의도로 연계되는지를 파악하고자 하였다.
본 연구는 조직원의 정보보안 준수의도를 설명하는 이론인 계획된 행동이론을 중심으로 조직원의 정보보안 준수의도 향상을 위한 방향을 제시한다. 세부적으로 정보보안 준수의도를 설명하기 위하여 계획된 행동이론의 세부 요인인 사회적 영향, 태도, 그리고 자기효능감이 정보보안 준수에 영향을 주는지를 파악하고자 하였으며, 정보보안 관련 조직의 전반적인 공정성 수준이 계획된 행동 요인 중 사회적 영향에 영향을 미침으로써 준수의도로 연계되는지를 파악하고자 하였다. 그리고 정보보안 관련 동기(외재적, 내재적)가 태도에 긍정적인 영향을 미침으로써 준수의도로 연계되는지를 파악하고자 하였다.
즉, 정보보안 준수 행동을 유도하는 것은 개인의 동기 형성이 매우 중요한데, 계획된 행동과 관련하여 영향관계가 있음을 증명하였기 때문에, 향후 보안 관련 동기 및 행동과의 연관관계를 찾고자하는 연구의 기반이 될 것으로 판단한다. 실무적 관점에서 조직은 조직원의 정보보안 준수 행동 수준을 높이기 위하여 정책 미준수에 대한 억제 관점에서 접근을 하고자 한다. 개인의 동기는 외재적 동기 뿐 아니라 내재적 동기 형성이 무엇보다 중요한 요인이다.
본 연구는 조직원의 정보보안 준수의도를 높이기 위한 방향을 제시하고자 한다. 연구 가설 검증 결과의 시사점을 높이기 위하여, 정보보안 정책을 엄격하게 적용하고 있는 대기업 및 금융기업에서 근무하는 조직원들을 대상으로 하고자 한다. 반면, 보안 부서의 조직원은 업무목표가 보안이 아닌 업무 성과인 일반 조직원과 달리 엄격한 보안 체계 구축에 있기 때문에 본 연구의 목적과 맞지 않아 제외하였다.
하지만 정보 보호를 실행에 옮겨야하는 조직원의 보안 준수와 관련된 실행적 접근은 아직 미진하였다. 이에 계획된 행동이론의 중요요인들인 사회적 영향, 태도, 자기효능감이 준수의도에 긍정적 영향을 미침을 증명하였기 때문에, 조직원들의 자발적인 정보보안 준수의지를 가지도록 유도하기 위한 전략적 관점의 실무적 시사점을 제시한다.
가설 설정
H1 : 사회적 영향은 정보보안 준수의도에 정(+)의 영향을 미칠 것이다.
H2 : 태도는 정보보안 준수의도에 정(+)의 영향을 미칠 것이다.
H3 : 자기효능감은 준수의도에 정(+)의 영향을 미칠 것이다.
H4 : 정보보안관련 조직공정성은 사회적 영향에 정(+)의 영향을 미칠 것이다.
H5 : 제재는 태도에 정(+)의 영향을 미칠 것이다.
H6 : 조직일체화는 태도에 정(+)의 영향을 미칠 것이다.
제안 방법
향후 연구에서는 보안 관련 공정성 수준을 명확하게 측정하기 위한 도구를 개발 및 측정하는 것이 필요하다. 둘째, 본 연구는 보안 관련 행동을 측정한 것이 아니라 준수의도를 측정하였다. 물론 준수의도가 행동으로 연결되는 중요 요인임은 명확하지만, 실제 행동 수준을 높이기 위한 실험관점의 연구를 추가적으로 진행한다면, 실무적 관점에서의 명확한 시사점을 제시할 수 있을 것으로 판단한다.
둘째, 연구는 정보보안 분야에 공정성 이론을 적용하여 개인의 보안 준수에 어떤 과정으로 영향을 미치는지를 검증하였다. 이론적 관점에서 조직과 조직원의 관계에 있어 높은 설명력을 가진 조직공정성을 정보보안 분야에 적용시켰을 뿐 아니라, 조직에서 제시하는 공정성이 계획된 행동이론 중 사회적 영향에 긍정적인 영향 관계에 있음을 검증하였다.
마지막으로, 내생변수의 결정 계수를 도출하였다. 준수의도는 사회적 영향, 태도, 자기효능감의 27.
이중 정보보안 정책을 보유한 사람들만 설문을 하도록 하였다. 모든 설문 응답자들에게 설문 전 사전 설문목적 및 허가를 받고 설문에 응답하도록 하였다. 총 700부를 배포하여 453개의 응답을 확보하였다.
첫째, 본 연구는 조직원의 정보보안 준수를 설명하기 위하여 계획된 행동이론, 공정성이론, 동기이론을 기반으로 연구 모델 및 가설을 설정하였으며, 가설검증을 하고자 하였다. 설문은 조직원의 조직에 대한 인식 및 현재의 동기 수준, 그리고 준수의도 등 인식 수준을 기반으로 측정하였다. 즉, 결과는 조직 차원의 공정성 수준을 명확하게 측정하지 못하였다는 한계를 가진다.
본 연구는 보안 관련 조직의 공정성과 동기가 조직원의 보안 준수에 미치는 영향관계를 파악하기 위함이다. 세부적으로, 계획된 행동 관점에서 보안 관련 조직 공정성, 제재 그리고 조직 일체화가 보안 관련 계획된 행동에 미치는 일련의 절차를 파악함으로써, 조직원의 보안 준수의도를 높이기 위한 방향을 제시하고자 하며, 연구 목적에 맞는 연구 모델을 제시한다(Fig. 1 참조).
그리고 정보보안 관련 동기(외재적, 내재적)가 태도에 긍정적인 영향을 미침으로써 준수의도로 연계되는지를 파악하고자 하였다. 이를 위하여 정보보안 정책을 엄격하게 도입하고 있는 국내 대기업 및 은행권에 종사하고 있는 일반적인 업무를 수행하고 있는 조직원들을 대상으로 설문을 실시하였으며, 구조방정식모델링을 통한 가설 검증을 실시하였다.
이중 정보보안 정책을 보유한 사람들만 설문을 하도록 하였다. 모든 설문 응답자들에게 설문 전 사전 설문목적 및 허가를 받고 설문에 응답하도록 하였다.
)를 통하여 실시한다. 첫째, 구조모형의 적합도 검정을 실시하였다. 결과는 구조방정식모델링에서 요구하는 수준을 상회하는 것으로 나타났다(χ2/df = 2.
본 연구는 몇 가지 측면에서의 연구의 한계점이 있으며, 향후 추가적 연구를 통해 보완될 필요성이 있다. 첫째, 본 연구는 조직원의 정보보안 준수를 설명하기 위하여 계획된 행동이론, 공정성이론, 동기이론을 기반으로 연구 모델 및 가설을 설정하였으며, 가설검증을 하고자 하였다. 설문은 조직원의 조직에 대한 인식 및 현재의 동기 수준, 그리고 준수의도 등 인식 수준을 기반으로 측정하였다.
연구 결과는 다음과 같은 이론적, 실무적 관점에서의 시사점을 가진다. 첫째, 연구는 조직원의 정보보안 준수 행동을 높이기 위하여 개인의 행동에 대한 높은 설명력을 가진 계획된 행동이론을 기반으로 준수의도에 영향을 미치는 요인들을 제시하였다. 이론적 관점에서 계획된 행동이론의 세부 요인(사회적 영향, 태도, 자기효능감)이정보보안 준수의도에 긍정적인 영향 관계에 있음을 증명하였다.
이에, 관련 데이터는 서베이 기법을 통해 확보하였다. 측정변수 도출과정은 우선 선행 이론 연구를 기반으로 다항목 지표를 확보하였으며, 정보보안 분야에 맞게 재정립하여 7점 리커트 척도를 사용하여 구성하였다. 더불어 설문항목의 정보보안 영역에서의 타당성을 확보하기 위하여, 설문지 개발 전 정보보안 정책을 보유한 기업에서 근무하고 있는 10명의 사람들에게 사전 인터뷰를 실시하였으며, 1차 개발 후 정보보안 정책을 보유한 기업에 근무하고 있는 경영학과 대학원생 10명에게 내용타당성을 확인하였다.
대상 데이터
Cronbach's Alpha는 0.7이상[52]을 요구하며, 분석 결과 총 25개의 설문항목 중 문제가 있는 2개 항목(SE3, CI4)을 제외한 23개를 분석에 활용하였다.
설문은 2017년 4월 1일부터 5월 15일까지 대학의 사회교육원에서 공부하는 직장인들을 대상으로 하였다.
물론 준수의도가 행동으로 연결되는 중요 요인임은 명확하지만, 실제 행동 수준을 높이기 위한 실험관점의 연구를 추가적으로 진행한다면, 실무적 관점에서의 명확한 시사점을 제시할 수 있을 것으로 판단한다. 셋째, 본 연구의 설문 대상은 정보보안 정책을 보유한 기업에서 근무하는 일반 업무를 수행하는 조직원이다. 정보보안 관련 공정성 수준은 업종과 직무별로 차이가 발생할 것으로 판단된다.
총 700부를 배포하여 453개의 응답을 확보하였다. 이중 미진한 응답치 70개를 제외하고 383개를 본 연구에 활용하였다. 응답의 인구통계학적 특성은 Table 2와 같다.
모든 설문 응답자들에게 설문 전 사전 설문목적 및 허가를 받고 설문에 응답하도록 하였다. 총 700부를 배포하여 453개의 응답을 확보하였다. 이중 미진한 응답치 70개를 제외하고 383개를 본 연구에 활용하였다.
데이터처리
둘째, 구조모형의 경로간의 인과관계를 통하여 가설검정을 실시한다(Fig. 2, Table 5 참조).
첫째, 모델의 신뢰성 분석을 테스트하기 위하여 SPSS 21.0을 이용하여 Cronbach’s alpha를 측정한다.
이론/모형
본 연구는 정보보안 분야에 기존의 공정성이론 및 동기이론, 그리고 계획된 행동이론을 적용하여, 보다 명확한 조직원 보안 준수의도 원인을 찾는 인관관계를 증명하고자 본 기법을 적용한다. 이에, 관련 데이터는 서베이 기법을 통해 확보하였다. 측정변수 도출과정은 우선 선행 이론 연구를 기반으로 다항목 지표를 확보하였으며, 정보보안 분야에 맞게 재정립하여 7점 리커트 척도를 사용하여 구성하였다.
성능/효과
Cronbach’s alpha가 가장 낮은 변수인 자기효능감이 0.899로 나타나 적합한 것으로 나타났다(Table 3 참조).
결과는 구조방정식모델링에서 요구하는 수준을 상회하는 것으로 나타났다(χ2/df = 2.116, GFI = 0.908, AGFI = 0.883, CFI = 0.972, NFI = 0.948, RMSEA = 0.05).
내재적 동기인 조직 일체화가 태도에 정(+)의 영향을 미칠 것이라는 가설 H6를 분석한 결과 두 변수간의 긍정적 영향관계가 있는 것으로 나타났다(γ23= 6.238, p<0.01).
측정변수 도출과정은 우선 선행 이론 연구를 기반으로 다항목 지표를 확보하였으며, 정보보안 분야에 맞게 재정립하여 7점 리커트 척도를 사용하여 구성하였다. 더불어 설문항목의 정보보안 영역에서의 타당성을 확보하기 위하여, 설문지 개발 전 정보보안 정책을 보유한 기업에서 근무하고 있는 10명의 사람들에게 사전 인터뷰를 실시하였으며, 1차 개발 후 정보보안 정책을 보유한 기업에 근무하고 있는 경영학과 대학원생 10명에게 내용타당성을 확인하였다. 이를 통해 도출된 7개 변수의 측정항목들은 총 25개이며 Table 1과 같다.
분석 결과 사회적 영향, 태도, 그리고 자기효능감이 정보보안 준수의도에 정(+)의 영향을 미칠 것이라는 가설 H1, H2, H3을 분석한 결과 변수간의 긍정적 영향관계가 있는 것으로 나타났다(H1: β31= 10.328, p<0.01, H2: β32= 4.418, p<0.01, H3: γ34= 5.269, p<0.01).
분석결과 확인적요인분석의 적합도는 권장치에 부합하는 것으로 나타났으며(χ2/df = 1.501, GFI = 0.938, AGFI = 0.917, CFI = 0.988, NFI = 0.966, RMSEA = 0.036), 신뢰성 및 타당성 모두 요구 기준에 적합한 것으로 나타났다(Table 3 참조).
즉, 정보보안은 조직원이 반드시 업무 수행과정에서 행동으로 옮겨야하는 필수 행동 조건이기 때문에, 미준수에 따른 제재가 어떻게 영향을 주는지를 이해시키는 것이 필요하다. 연구는 제재가 태도에 영향을 주는 것을 검증하였다. 즉 보안 관련 제재는 개인의 계획된 행동을 형성하는 요인 중 태도를 형성시켜 준수의도를 높일 수 있음을 제시한다.
셋째, 연구는 정보보안 관련 동기 이론을 적용하여 개인의 보안 관련 행동 준수에 미치는 영향 관계를 증명하였다. 이론적 관점에서 개인에게 형성된 외재적 동기(제재)와 내재적 동기(조직일체화)가 계획된 행동 이론의 세부요인 중 태도에 긍정적 영향을 미치는 것을 검증하였다. 즉, 정보보안 준수 행동을 유도하는 것은 개인의 동기 형성이 매우 중요한데, 계획된 행동과 관련하여 영향관계가 있음을 증명하였기 때문에, 향후 보안 관련 동기 및 행동과의 연관관계를 찾고자하는 연구의 기반이 될 것으로 판단한다.
첫째, 연구는 조직원의 정보보안 준수 행동을 높이기 위하여 개인의 행동에 대한 높은 설명력을 가진 계획된 행동이론을 기반으로 준수의도에 영향을 미치는 요인들을 제시하였다. 이론적 관점에서 계획된 행동이론의 세부 요인(사회적 영향, 태도, 자기효능감)이정보보안 준수의도에 긍정적인 영향 관계에 있음을 증명하였다. 즉 정보보안 연구적 영역에서 계획된 행동이론이 조직원의 정보보안과 관련된 행동에 높은 설명력을 지님을 제시하였다.
둘째, 연구는 정보보안 분야에 공정성 이론을 적용하여 개인의 보안 준수에 어떤 과정으로 영향을 미치는지를 검증하였다. 이론적 관점에서 조직과 조직원의 관계에 있어 높은 설명력을 가진 조직공정성을 정보보안 분야에 적용시켰을 뿐 아니라, 조직에서 제시하는 공정성이 계획된 행동이론 중 사회적 영향에 긍정적인 영향 관계에 있음을 검증하였다. 즉, 정보보안 관련 연구 관점에서 정보보안 관련 공정성이 개인의 계획된 행동을 결정함에 있어 중요한 선행 요인임을 제시하였기 때문에, 향후 조직원의 보안 준수 관련 연구에 기반이 될 것으로 판단한다.
마지막으로, 내생변수의 결정 계수를 도출하였다. 준수의도는 사회적 영향, 태도, 자기효능감의 27.1%의 설명력을 가지고 있는 것으로 나타났으며, 사회적 영향은 조직 공정성의 37.7%의 설명력을 가지고 있는 것으로 나타났다. 태도는 제재와 조직일체화의 38.
셋째, 자신이 정보보안 준수에 대한 통제를 할 수 있음을 인식하는 것이 필요하다. 즉, 사회적영향, 태도, 자기효능감이 높아질수록 조직원의 정보보안 준수의도는 높아진다.
개인의 동기는 외재적 동기 뿐 아니라 내재적 동기 형성이 무엇보다 중요한 요인이다. 즉, 조직은 조직원이 내재적 동기 형성을 할 수 있도록 지원하는 것이 필요함을 제시하였으며, 이중 조직일체화 관점에서의 내재적 동기가 개인의 보안 관련 태도 형성에 긍정적 영향관계가 있음을 증명하였다. 따라서 조직은 제재와 같은 외재적 동기 형성과 더불어 조직일체화와 같은 내재적 동기 형성을 위한 노력이 필요함을 제시한다.
즉, 정보보안 영역에서 개인의 정보보안 준수 행동은 개인을 둘러싼 외부적 환경에 대한 인식, 자신의 태도 형성, 행동 통제 수준을 판단하여 결정된다는 점이다. 첫째, 조직원의 정보보안 준수는 개인을 둘러싼 외적 환경 요인에 의하여 영향을 받기 때문에, 조직은 적정하게 보안 준수 규범을 제시함으로써 개인이 이해할 수 있도록 유도하는 것이 필요하다. 둘째, 개인이 정보보안에 대한 긍정적 태도를 형성할 수 있도록 지원하는 것이 필요하다.
036), 신뢰성 및 타당성 모두 요구 기준에 적합한 것으로 나타났다(Table 3 참조). 추가적으로 판별타당성 분석을 실시하였으며, AVE의 제곱근 값이 변수들의 상관계수 값보다 큰 것으로 나타나[54], 판별타당성이 있는 것으로 나타났다(Table 4 참조).
후속연구
넷째, 정보보안 공정성 및 동기를 높이기 위한 조직차원의 노력요인의 연구가 필요하다. 지속적으로 엄격해지고 발전하고 있는 정보보안 기술의 적용 및 보안 정책의 공정함에 대한 이해는 보안 관련 조직의 교육 및 훈련이 필요하다.
IT 활용 능력 수준이 높은 사람과 그렇지 못한 사람과의 준수의도의 차이가 나타날 수 있을 것으로 판단한다. 따라서 정보보안 활용 역량 수준에 따른 준수의도 변화에 대한 연구가 추가 된다면, 조직원의 특성별 대응 전략 수립에 도움을 줄 수 있을 것으로 판단된다.
둘째, 본 연구는 보안 관련 행동을 측정한 것이 아니라 준수의도를 측정하였다. 물론 준수의도가 행동으로 연결되는 중요 요인임은 명확하지만, 실제 행동 수준을 높이기 위한 실험관점의 연구를 추가적으로 진행한다면, 실무적 관점에서의 명확한 시사점을 제시할 수 있을 것으로 판단한다. 셋째, 본 연구의 설문 대상은 정보보안 정책을 보유한 기업에서 근무하는 일반 업무를 수행하는 조직원이다.
본 연구는 몇 가지 측면에서의 연구의 한계점이 있으며, 향후 추가적 연구를 통해 보완될 필요성이 있다. 첫째, 본 연구는 조직원의 정보보안 준수를 설명하기 위하여 계획된 행동이론, 공정성이론, 동기이론을 기반으로 연구 모델 및 가설을 설정하였으며, 가설검증을 하고자 하였다.
반면, IT 부서의 조직원은 정보 관리의 중요성을 인식하고 있을 것으로 판단한다. 이러한 조직 내 역할의 차이는 보안 행동에 대한 인식 차이를 가지고 올 것으로 판단되기 때문에, 향후 업종별 직무별 특성을 함께 고려하여 정보보안 연구가 실행된다면, 분야별 정보보안에 대한 인식 및 대응 방법을 제시함으로써 맞춤형 시사점을 제시할 수 있을 것으로 판단된다. 더불어, 정보보안은 최신의 기술을 정책적으로 적용함으로써, 정보를 보호하고자 하기 때문에, 필연적으로 기술적 활용능력에 기반하여 행동하고자 한다.
이론적 관점에서 조직과 조직원의 관계에 있어 높은 설명력을 가진 조직공정성을 정보보안 분야에 적용시켰을 뿐 아니라, 조직에서 제시하는 공정성이 계획된 행동이론 중 사회적 영향에 긍정적인 영향 관계에 있음을 검증하였다. 즉, 정보보안 관련 연구 관점에서 정보보안 관련 공정성이 개인의 계획된 행동을 결정함에 있어 중요한 선행 요인임을 제시하였기 때문에, 향후 조직원의 보안 준수 관련 연구에 기반이 될 것으로 판단한다. 실무적 관점에서 조직이 조직원에게 제시해야할 외부적 요인 중 공정성이 중요함을 검증하였다.
이론적 관점에서 개인에게 형성된 외재적 동기(제재)와 내재적 동기(조직일체화)가 계획된 행동 이론의 세부요인 중 태도에 긍정적 영향을 미치는 것을 검증하였다. 즉, 정보보안 준수 행동을 유도하는 것은 개인의 동기 형성이 매우 중요한데, 계획된 행동과 관련하여 영향관계가 있음을 증명하였기 때문에, 향후 보안 관련 동기 및 행동과의 연관관계를 찾고자하는 연구의 기반이 될 것으로 판단한다. 실무적 관점에서 조직은 조직원의 정보보안 준수 행동 수준을 높이기 위하여 정책 미준수에 대한 억제 관점에서 접근을 하고자 한다.
즉, 결과는 조직 차원의 공정성 수준을 명확하게 측정하지 못하였다는 한계를 가진다. 향후 연구에서는 보안 관련 공정성 수준을 명확하게 측정하기 위한 도구를 개발 및 측정하는 것이 필요하다. 둘째, 본 연구는 보안 관련 행동을 측정한 것이 아니라 준수의도를 측정하였다.
질의응답
핵심어
질문
논문에서 추출한 답변
계획된 행동이론은 무엇인가?
계획된 행동이론(Theory of Planned Behavior)은 인간의 행동 예측에 있어서 매우 높은 설명력을 제시하는 이론으로서, Ajzen[1991]이 합리적 선택이론(Theory of Reasoned Action)을 발전시켜 주관적 규범, 지각된 행동 통제, 그리고 태도를 세부요인으로 적용시켜 설명력을 높인 이론이다. 즉, 계획된 행동이론은 개인이 자신의 행동에 대한 긍정적 유형의 태도를 가지고, 자신을 둘러싼 외부에서 제시하는 주관적인 규범에 대하여 긍정적 인식을 하고, 자신의 행동 수준이 통제 될 수 있다는 인식을 할 경우 관련 행동을 형성한다고 본다[28].
공정성은 어떻게 구분되는가?
공정성은 연구자별로 차이가 있지만, 분배공정성(Distribution Justice), 절차공정성(Procedural Justice), 상호작용공정성(Interactional Justice) 등으로 구분된다[17,18,40-42]. 즉, 특수한 활동에 대한 결과를 분배함에 있어 공정한 수준을 보여야 한다는 분배공정성, 결과를 성취하기 위한 수단에 대한 공정한 수준을 제시해야 한다는 절차공정성, 대상자와의 상호작용을 함에 있어 관련된 정보 제공 등의 행동이 공정해야한다는 상호작용공정성 등이 공정성을 구성하고 있으며, 조직은 통합적인 관점에서 공정한 문화를 만들고 제시해야한다고 본다.
외재적 동기와 내재적 동기의 특징은 각각 무엇인가?
동기는 외재적 동기와 내재적 동기로 구분된다. 외재적 동기는 외부로부터 보상을 얻으려는 것과 관련된 동기로서, 돈, 보너스 등과 같은 것이 있다. 내재적 동기는 외부의 보상과 관련 없이 주어진 과제를 하거나 활동하는 자체가 보상이 되는 동기이며, 성취감 등이 내재적 동기에 속한다[48].
J. Do & J. Kim. (2014). A study on critical success factors for enterprise security collaboration. Journal of Digital Convergence, 12(10), 235-242.
I. Hwang & O. Cha. (2018). Examining technostress creators and role stress as potential threats to employees' information security compliance. Computers in Human Behavior, 81, 282-293.
B. Bulgurcu, H. Cavusoglu & I. Benbasat. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548.
A. Vance, M. Siponen & S. Pahnila. (2012). Motivating IS security compliance: Insights from habit and protection motivation theory. Information & Management, 49(3), 190-198.
I. Hwang, D. Kim, T. Kim & S. Kim. (2017). Why not comply with information security? An empirical approach for the causes of non-compliance. Online Information Review, 41(1), 1-17.
S. R. Boss, D. F. Galletta, P. B. Lowry, G. D. Moody & P. Polak. (2015). What do systems users have to fear? Using fear appeals to engender threats and fear that motivate protective security behaviors. MIS Quarterly, 34(3), 523-548.
D. Kim, I. Hwang & J. Kim. (2016). A study on employee's compliance behavior towards information security policy: A modified triandis model. Journal of Digital Convergence, 14(4), 209-220.
C. Park & M. Yim. (2012). An understanding of impact of security countermeasures on persistent policy compliance. Journal of Digital Convergence, 10(4), 23-35.
Y. Chen, K. Ramamurthy & K. W. Wen. (2012). Organizations' information security policy compliance: Stick or carrot approach?. Journal of Management Information Systems, 29(3), 157-188.
J. D'Arcy, A. Hovav & D. Galletta. (2009). User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach. Information Systems Research, 20(1), 79-98.
Q. Hu, Z. Xu, T. Dinev & H. Ling. (2011). Does deterrence work in reducing information security policy abuse by employees?. Communications of the ACM, 54(6), 54-60.
K. H. Guo & Y. Yuan. (2012). The effects of multilevel sanctions on information security violations: A mediating model. Information & Management, 49(6), 320-326.
T. Herath & H. R. Rao. (2009). Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, 47(2), 154-165.
J. Y. Son. (2011). Out of fear or desire? Toward a better understanding of employees' motivation to follow IS security policies. Information & Management, 48(7), 296-302.
A. B. Ruighaver, S. B. Maynard & S. Chang. (2007). Organizational security culture: extending the end-user perspective. Computers & Security, 26(1), 56-62.
J. A. Colquitt. (2001). On the dimensionality of organizational justice: A construct validation of a measure. Journal of Applied Psychology, 86(3), 386-400.
Y. Zhang, J. A. LePine, B. R. Buckman & F. Wei. (2014). It's not fair… or is it? The role of justice and leadership in explaining work stressor-job performance relationships. Academy of Management Journal, 57(3), 675-697.
K. D. Loch, H. H. Carr & M. E. Warkentin. (1992). Threats to information systems: today's reality. yesterday's understanding, MIS Quarterly, 16(2), 173-186.
T. Jeong, M. Yim & J. Lee. (2012). A development of comprehensive framework for continuous information security. Journal of Digital Convergence, 10(2), 1-10.
J. Han & Y. Kim. (2015). Investigating of psychological factors affecting information security compliance intention: Convergent approach to information security and organizational citizenship behavior. Journal of Digital Convergence, 13(8), 133-144.
M. Yim. (2012). A path way to increase the intention to comply with information security policy of employees. Journal of Digital Convergence, 10(10), 119-128.
I. Hwang & Y. Lee. (2016). The employee's information security policy compliance intention: Theory of planned behavior, goal setting theory, and deterrence theory applied. Journal of Digital Convergence, 14(7), 155-166.
I. Ajzen. (1991). The theory of planned behavior. Organizational Behavior and Human Decision Processes, 50(2), 179-211.
N. S. Safa, M. Sookhak, R. Von Solms, S. Furnell, N. A. Ghani & T. Herawan. (2015). Information security conscious care behaviour formation in organizations. Computers & Security, 53, 65-78.
J. Zhang, B. J. Reithel & H. Li. (2009). Impact of perceived technical protection on security behaviors. Information Management & Computer Security, 17(4), 330-340.
W. R. Flores & M. Ekstedt. (2016). Shaping intention to resist social engineering through transformational leadership, information security culture and awareness. Computers & Security, 59, 26-44.
M. Siponen, M. A. Mahmood & S. Pahnila. (2014). Employees' adherence to information security policies: An exploratory field study. Information & Management, 51(2), 217-224.
C. Posey, T. L. Roberts & P. B. Lowry (2015). The impact of organizational commitment on insiders' motivation to protect organizational information assets. Journal of Management Information Systems, 32(4), 179-214.
H. L. Chou, & C. Chou. (2016). An analysis of multiple factors relating to teachers' problematic information security behavior. Computers in Human Behavior, 65, 334-345.
R. Cropanzano, L. Paddock, D. E. Rupp, J. Bagger & A. Baldwin. (2008). How regulatory focus impacts the process-by-outcome interaction for perceived fairness and emotions. Organizational Behavior and Human Decision Processes, 105(1), 36-51.
P. M. Muchinsky. (2006). Psychology Applied to Work: An Introduction to Industrial and Organizational Psychology. Cengage Learning.
P. E. Spector. (2008). Industrial and Organizational Psychology. Research and. Practice.
T. A. Judge & J. A. Colquitt. (2004). Organizational justice and stress: The mediating role of work-family conflict. Journal of Applied Psychology, 89(3), 395-404.
J. R. Fu, P. H. Ju & C. W. Hsu. (2015). Understanding why consumers engage in electronic word-of-mouth communication: Perspectives from theory of planned behavior and justice theory. Electronic Commerce Research and Applications, 14(6), 616-630.
H. Zhang & N. C. Agarwal. (2009). The mediating roles of organizational justice on the relationships between HR practices and workplace outcomes: an investigation in China. The International Journal of Human Resource Management, 20(3), 676-693.
M. L. Ambrose & M. Schminke. (2009). The role of overall justice judgments in organizational justice research: a test of mediation. Journal of Applied Psychology, 94(2), 491-500.
T. Y. Chou, T. C. Seng-cho, J. J. Jiang & G. Klein. (2013). The organizational citizenship behavior of IS personnel: Does organizational justice matter?. Information & Management, 50(2), 105-111.
C. C. Pinder. (1998), Work motivation in organizational behavior. Upper Saddle River, NJ: Prentice Hall.
E. M. Fair, & L. Silvestri. (1992). Effects of rewards, competition and outcome on intrinsic motivation. Journal of Instructional Psychology, 19(1), 3.
K. H. Guo, Y. Yuan, N. P. Archer & C. E. Connelly. (2011). Understanding nonmalicious security violations in the workplace: A composite behavior model. Journal of Management Information Systems, 28(2), 203-236.
H. Li, J. Zhang & R. Sarathy. (2010). Understanding compliance with internet use policy from the perspective of rational choice theory. Decision Support Systems, 48(4), 635-645.
J. E. Dutton, J. M. Dukerich & C. V. Harquail. (1994). Organizational images and member identification. Administrative Science Quarterly, 39(2), 239-263.
C. Fornell & D. F. Larcker. (1981). Evaluating structural equation models with unobservable variables and measurement error. Journal of Marketing Research, 18(1), 39-50.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.