KCI등재
일반 논문 : 중소규모 조직구성원의 정보보안인식과 행동이 정보보안성과에 미치는 영향에 관한 연구 = Regular Papers : A Study on the Effect of Information Security Awareness and Behavior on the Information Security Performance in Small and Medium Sized Organization
저자
발행기관
학술지명
권호사항
발행연도
2011
작성언어
Korean
주제어
KDC
324.3505
등재정보
KCI등재
자료형태
학술저널
발행기관 URL
수록면
113-132(20쪽)
제공처
소장기관
최근 기업의 경쟁우위 확보를 위해 정보기술을 활용함에 따라 정보시스템이 기업 내에서 더욱 중요한 위치를 점하게 되었다. 이에 따라 정보의 손실은 조직의 존망을 결정하는 가장 핵심적인 경쟁력이 되었고 기업의 정보보안은 매우 중요한 요소가 되었다. 중소규모의 조직들 역시 경쟁력 확보를 위해 다양한 정보기술과 정보시스템을 도입하고 있다. 그러나 정보화를 통한 문제를 해결함에 있어 정보유출과 같은 정보기술의 역기능에 대한 인식과 방지제도의 부족으로 인해 많은 위험에 노출이 되기도 한다. 따라서 이제는 중소기업이 생존을 넘어 성장으로 가기 위해서는 정보화와 동시에 이에 따른 부작용인 정보보안을 심각하게 고려해야 하며, 이에 대한 대책이 필요하다 할 수 있다. 정보보안에 대한 근본적인 문제는 인간의 의지와 행위에 기초하고 있다. 즉, 기업의 정보와 시스템을 보호하기 위해서는 기술적인 측면보다 관리적인 측면 즉, 효과적인 정책을 세우고 이를 조직 구성원들이 실행할 수 있도록 동기 부여를 하는 것이 중요하다. 그러나 대부분의 기업들이 정보보안에 대한 대책에 있어 기술적인 요소만을 도입하고 있으며 조직구성원 개인에 대한 대책은 매우 미흡한 현실이며 현재 많은 기업에서 사용되고 있는 정보보안방안의 실효성이 검증되지 않았다. 더욱이 조직의 정보보안활동에 있어 조직구성원의 개인적인 측면에 대한 고려가 상대적으로 미흡한 현실이다. 이에 본 연구는 새로운 경영환경에서 조직의 정보보안을 수행함에 있어 중소기업 조직구성원의 의식변환이 있어야 한다는 전제하에 조직구성원의 개인적 차원의 정보보안인식과 행동이 조직의 정보보안성과에 미치는 영향을 실증적으로 검증하였다. 특히 본 연구에서는 정보보안인식이 바로 정보보안성과로 이어질 것이라는 기존의 단편적 시각에서 벗어나 정보보안인식이 정보보안행동에 영향을 미치고 이러한 행동이 정보보안성과에 영향을 미칠 수 있을 것이라고 가정하였다. 본 연구결과 조직구성원 개인적 차원의 정보보안인식이 정보보안행동에 영향을 미치고 결과적으로 조직의 정보보안성과에 영향을 미치는 것으로 나타났다. 이는 성공적인 정보보안을 위해서는 조직차원의 활동뿐만 아니라 조직구성원 개인의 정보보안행동이 조직의 정보보안성과에 영향을 미친다고 해석할 수 있으며 정보보안 성공을 위해서는 조직구성원 개개의 인식과 행동에 좀 더 집중할 필요가 있다는 점을 알 수 있다. 본 연구의 결과는 조직구성원 개인적 차원의 인식제고 및 행동에 따른 정보보안 방향을 설정하고 합리적인 운영 방법을 찾기 위한 기준으로써 근거를 제시할 수 있으며 나아가 효과적인 정보보안 투자 및 의사결정에 기여할 것으로 보인다.
더보기With the recent utilization of information technology to secure competitive advantage, information system holds a key post in the business sector. Hence, minimizing information loss is the core competitive advantage that determines the ultimate fate of organizations, and information security is a crucial element for businesses. Small and medium-sized organizations are also introducing various information technology and IT systems in order to secure competitiveness. Behind the information solution, however, lie a number of other issues: Lack of prevention systems and awareness of adverse effects of information technology as well as the possibility of leakage, allows exposure to even more risk. Numerous cases related to information security leakage have been reported both at home and abroad, stressing the need for constant alertness; thus, for small-medium companies to grow beyond survival, there must exist informationization as well as consideration of the possible detrimental effects of informationization, including preventative measures for such effects. However, most companies introduce technical elements only as measures for information security, and subsequent measures for individuals within an organization are minimal. This is due largely to a lack of consideration of situational factors, such as corporal culture and environment; thus, information security should begin from companies` recognition of its undeniable importance. The fundamental issue of information security is based on human will and behavior; to protect information and system, it is important to configure effective policies-which is a management aspect, rather than a technical one-and motivate members of organizations to exercise the system. The effectiveness of information security measures used by many companies today has not yet been verified; furthermore, consideration of members of organizations, from a private perspective, is insufficient. Therefore, the study conducted empirical verification on the effect of behavior and information security awareness on a personal level, of the members of organization on information security performance, such that there should be a change of consciousness among members of small-medium companies in implementing information security of organizations in a new management environment. In particular, the study broke away from the old fragmentary perspective that the information security awareness of members will lead information security performance, and presumed that information security awareness will influence information security behavior and also affect information security performance. To prove the affect of information security awareness on information security behavior, the study used rational behavior hypothesis correction, an intention-based model from the perspectives of cognitive behavior theories and social psychology, TPB (Theory of Planned Behavior), and TAM (Technology Acceptance Model). Cognitive behavior theories and intention-based models of sociological perspective suggest that human reasoning or cognition influence human emotion and behavior; based on these theories, the study applied the relations of information security awareness and information security behavior as a framework, presuming that the awareness people have of information security results in behavioral consequences. The study conducted a survey targeting small-to-medium-sized companies with less than 1,000 employees, and the survey respondents were members of organizations. While many previous studies have focused on the IT or information security personnel of companies, the survey conducted in this study targeted general members of organizations, including IT personnel, considering the expansion of the use of information systems. To verify the effects of the information security awareness of members of organizations on information security behavior of the company through information security awareness, we utilized structural equation modeling. For analyzing the causality of study variables, AMOS 18.0-which provides model-related assessment data-was used by estimating the computational results of unknown variables, thus confirming the goodness of fit of the models. Hence, the study used structural equation modeling in order to statistically verify the human relations between independent variable (information security awareness), parameters (information security behavior) and subordination variables (information security performance) included in the study model. The result of the first analysis of the study shows a significant difference in the path analysis of information security awareness and information security behavior. It suggests that in order to induce information security behavior of members of an organization, information security awareness promotion should be carried out in advance. However, the study showed a gap between the information security awareness and the information security behavior of respondents. While the respondents have relatively higher information security awareness and specialization, the study shows low information security behavior. That is, the results show that compared to the information security level of respondents, they have a low information security behavior level. Therefore, measures to increase information security behavior are required in addition to security education for remedial measures. Second, the study showed that the information security behavior of organization members reduces the frequency of information security incidents and loss caused by incidents of organizations. Hence, based on the preceding research that information security awareness and information security behavior will affect information security performance, the study has proved that the information security of organizations is affected by psychological and behavioral factors of members. Unlike preceding research conducted under the assumption that awareness will affect performance, seeing information security awareness and behavior in the same line, the study confirmed that information security awareness affects information security performance through behavior. Through the study result, we confirmed that improvement of information security awareness affects information security behavior, and when the level of information security behavior of organization members is improved, it will also enhance information security performance. As such, information security of organizations can be achieved when the level of information security awareness of members improves and from awareness to action. Ultimately, for successful information security in an organization, information security action is required through information security awareness promotion reaching every member. For an organization to effectively implement information security management, information security awareness promotion for members is indispensable. With companies` recent increased reliance on information technology, each member of organizations is required to practice information security awareness promotion and information security behavior in order to embody successful information security, as information loss will directly affect organizations performances. The study result demonstrates the reason behind the direct affect of information security awareness of an individual on information security performance shows the importance of the roles of members of organizations. Consequently, companies desperately need measures for members of organizations` spontaneous security information awareness, which will also protect technology-crucial information assets of companies. The study therefore, may suggest a foundation to find rational operation methods and configure information security direction according to behavior and awareness promotion on a personal level among members, and contribute further to decision making as well as effective information security investment.
더보기분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)