919 Journal The Korea Institute on & Cryptology ISSN 1598-3986(Print) VOL.24, NO.5, Oct. 2014 ISSN 2288-2715(Online) http://dx.doi.org/10.13089/jkiisc.2014.24.5.919 * 정보보호관리체계 (ISMS) 항목의중요도인식과투자의우선순위비교연구 이중정, 1 김진, 2 이충훈 1 1 연세대학교정보대학원, 2 삼정 KPMG A comparative study on the priorities between perceived importance and investment the areas for on Management System Choong-Cheang Lee, 1 Jin Kim, 2 Chung-hun Lee 1 1 Graduate School on, Yonsei University, 2 Samjong KPMG 요 약 최근의개인정보유출과같은정보보안사고들이기업의매출감소와이미지손실에직접적인영향을주는심각한위험관리요소가됨에따라체계적인정보보호관리를위해정보보호관리체계를도입하는기업들이증가하고있다. 그러나기업내정보보호인식과달리적은투자로인해, 한정된예산으로다양한정보보호요소들을효과적으로관리할수있는방안이중요해지고있다. 본연구에서는정보보호관리체계의 13개항목들에대해정보보호전문가들의중요도평가를통해우선순위를도출하여, 단계적으로정보보호관리체계를구축할수있는방향을제공한다. 그리고각항목들에대한투자정도도평가하여중요도와투자간의우선순위차이를비교 분석하였다. 연구결과침해사고관리가가장중요한것으로나타났으며, 투자정도에서는 IT 재해복구가가장높은것으로확인되었다. 그리고정보보호중요도와투자간의우선순위차이가큰정보보호항목은암호통제, 정보보호정책, 정보보호교육, 인적보안으로확인되었다. 본연구결과는정보보호관리체계도입을고려하거나운영중인기업들이한정된예산을고려하여효과적인정보보호투자에대한의사결정자료로활용될수있을것으로기대한다. ABSTRACT Recently, organizational efforts to adopt ISMS(on Management System) have been increasingly mandated and demanded due to the rising threat and the heavier cost failure. However there is a serious gap between awareness and investment information in a company, hence it is very important for the company to effectively a variety information threats within a tight budget. To phase the ISMS, this study suggests the priorities based on evaluating the Importance 13 areas for the ISMS by the information experts and then we attempt to see the difference between importance and investment through the assessment the actual investment in each area. The research findings show that intrusion incident handling is most important and IT disaster recovery is the area that is invested the most. Then, information areas with the considerable difference between priorities importance and investment are cryptography, information policies, education and training on information and personnel. The study results are expected to be used in making a decision for the effective investment information when companies with a limited budget are considering to introduce ISMS or operating it. Keywords: on Management System, on Priorities, on Importance, on Investment 접수일 (2014 년 6 월 20 일 ), 수정일 (2014 년 9 월 22 일 ), 게재확정일 (2014 년 9 월 22 일 ) 주저자, cclee@yonsei.ac.kr 교신저자, goguming@gmail.com(corresponding author)
920 정보보호관리체계 (ISMS) 항목의중요도인식과투자의우선순위비교연구 I. 서론오늘날정보보호는기업들에게중요한경영관리요소중에하나이다. 최근의개인정보유출사고에서볼수있듯이한기업의보안사고는기존고객의이탈뿐만아니라매출감소, 기업이미지손실까지초래하는심각한위험관리요소가되고있다. 이러한사회적변화에따라정보보호중요성에대한기업의인식수준이높아졌으며, 체계적인정보보호관리를위해정보보호관리체계를도입하는기업이증가하고있다. 하지만기업들의정보보호투자는인식만큼증가하고있지않다. 2012 년한해동안정보화예산의일부를정보보호에투자한사업체는 19.2% 증가했지만, 정보화예산중 5% 이상정보보호관련분야에지출한사업체는 3.2% 로매우미흡한것으로조사되었다 [9]. 따라서한정된예산으로수많은정보보호요소들을효과적으로관리하기위해서는정보보호관리체계의주요항목들에대한중요도인식을바탕으로우선순위를도출하여, 단계적으로정보보호관리체계를수립하는것이중요하다. 그리고대기업에비해정보보호관련투자자원이상대적으로제한적일수밖에없는중소기업에게는정보보호중요도를바탕으로선택과집중을통한투자 관리가무엇보다중요하다고할수있다. 또한연구개발, 기술, 정책등다양한분야의선행연구들에서도효과적인성과를위해우선순위를고려한투자의중요성을강조하고있다 [1,6,11]. 그러나정보보호우선순위에관한선행연구들은산업보안, Big data 등과같은특정분야에한정되어있어서국내모든기업에공통적으로적용하는데한계가있다 [2,12]. 본연구에서는기업들이정보보호관리체계도입시, 국내표준역할을하고있는한국인터넷진흥원의 ISMS(on Management System) 13개정보보호대책항목을기반으로정보보호전문가의중요도평가를통해우선순위를도출하고자한다. 그리고각항목들에대한투자정도도평가하여중요도와투자간의우선순위차이를비교 분석하고자한다. 본연구결과를바탕으로기업들은정보보호항목의중요도를고려하여한정된예산을투자함으로써, 조직의상황에맞게투자대비효과를높일수있는정보보호관리체계를구축할수있을것이다. 그리고정보보호항목의중요도와실제투자와의차이비교를통해, 현재정보보호관리체계를운영하고있는기업들의개선방향에대한주요고려사항들을제안할 수있을것으로기대된다. 따라서본연구의목적은조직내정보보호관리체계를구축또는운영시효과적인성과를도출하기위해 첫째, ISMS 인증의 13개정보보호대책항목들에대한중요도우선순위는어떻게되는가?, 둘째, ISMS 인증의 13개정보보호대책항목들의중요도와투자의우선순위에는어떤차이가있는가? 를정보보호전문가대상의 AHP(Analytic Hierarchy Process) 기법을사용하여확인하고자한다. 본논문의구성체계는다음과같다. 제1장은서론으로연구배경, 연구목적, 연구범위등을기술하였으며, 제2장에서는선행연구논문및문헌자료를통해정보보호관리체계와계층분석기법을체계적으로정리하였다. 제3장, 4장, 5장에서는실증연구를위한분석방법과결과를도출하였다. 제6장에서는본연구결과의요약과연구결과의시사점및한계점을제시하였다. II. 이론적배경 2.1 정보보호관리체계정보보호관리체계 (ISMS) 는정보보호의목적인정보자산의비밀성, 무결성, 가용성을실현하기위하여정보보호절차와과정을체계적으로수립하고문서화하여지속적으로관리 운영하는일련의과정및활동이다. 또한조직내에서운영되고있는정보보호관리체계를제3자의인증기관이객관적이고독립적으로평가하여기준에대한적합여부를보증해주는제도를정보보호관리체계인증제도라고한다 [17]. 우리나라에서는 정보통신망이용촉진및정보보호등에관한법률 제47조 ' 정보보호관리체계인증 ' 이라는법률적근거를바탕으로연간매출액또는이용자수등법적기준에부합하는정보통신서비스제공자는의무적으로정보보호관리체계를도입하여인증을받도록되어있다. 그리고정보보호안전진단제도가폐지되고정보보호관리체계로통합됨에따라공공기관까지적용범위가확대되었다. 또한일련의개인정보유출사건으로인해정보보호에대한사회적관심이높아지고, 기업내지적자산에대한보호가중요해짐에따라정보호호관리체계도입을통한정보보호강화가활성화되고있다. 실제정보보호관리체계인증을받은업체수가 2012 년 25건에서 2013년 126건으로급격히증가하였다 [10].
정보보호학회논문지 (2014. 10) 921 정보보호관리체계는 Table 1과같이 13개의정보보호대책과 92개의통제항목으로구성된다. 정보보호관리체계인증제도를도입한 2002 년이후, ICT 및정보보호환경변화에적합하도록통제항목들이지속적으로개선되었다. 그래서정보보호관리체계는각조직에서정보보호관리에필요한통제항목을선택하고각보안요구사항에맞게관리체계를마련할수있는국내표준으로활용되고있다. ISMS 관련선행연구는조직내정보보호관리체계도입시고려사항이나효과성확인에한정되어있다. 김지숙등 [4] 은민간기업과공공기간의정보보호관리체계통제항목을비교 연구하여미흡한사항을분석하였으며, 배영식 [17] 은정보보호관리체계인증과기업의경영성과와의유의적관계를실증적으로증명하였다. 그리고김기철등 [7] 은한국형스마트그리드를위한정보보호관리체계평가기준을제안하였다. 하지만, 한정된정보보호예산을고려하여정보보호통제항목들에대한우선순위분석과실제투자와의관계에대한연구는거의이루어지지않았다. Table 1. on Countermeasures Areas Control activities 1. on policies 6 2. on organization 4 3. External Parties 3 4. on asset classification 3 5. Education and training on information 4 6. Personnel 5 7. 9 8. System development 10 9. Cryptography 2 10. Access 14 11. Operations 22 12. Intrusion incident handling 7 13. IT disaster recovery planning 3 Total 92 2.2 계층분석기법 (AHP) AHP(Analytic Hierarchy Process) 는의사결정대상을계층적으로표현하고, 의사결정자의판단에기반하여대상들에대한우선순위를부여하는의사결 정모형이다 [13]. 기존의의사결정방법으로모델화또는수량화할수없었던주제나주관적인판단을 AHP 방법을통해계량화할수있다 [3,16]. AHP는복잡한문제를단순화해서합리적인의사결정을할수있도록다수의항목들에대한가중치를동시에고려하는대신, 두개씩짝을지어쌍대비교 (pairwise comparison) 를통해평가대상항목의가중치를도출하여항목을중요도에따라계층적으로구조화한다 [13,15]. 따라서, AHP 방법은다수의속성또는평가요소들이계층적으로복잡하게구성되어있을때효과적으로분석할수있는유용한도구이다. AHP 분석시, 최상위계층에는평가목적을두고그하위에는목표에영향을주는평가기준을둔다. 그리고평가기준은여러단계로나누어서세부평가기준으로구성할수있으며, 필요에따라서평가기준의하위에평가대안을둘수있다. AHP에서계층구조화를잘못하면결과가정확하지않을수있기때문에계층구분과군집화를통한구조화가중요하다. AHP는평가자의응답을바탕으로의사결정이이루어지므로평가자들의응답에일관성이있어야한다. 응답에일관성결여될경우결과의정확성이떨어지게된다. 그래서이러한오류를방지하기위해일관성비율 (Consistency Ratio) 을기준으로평가자의응답에일관성이있는지를검증한다. 일관성비율이 10% 이내인경우에만판단에일관성이있는것으로간주되며, 일관성비율이 10% 를초과하면쌍대비교를다시하거나설문지를수정해야한다 [14]. 그러나일관성비율이 20% 이하일때도일반적으로이용될수있다 [5]. III. 연구모형및평가기준 3.1 연구모형정보보호항목의중요도및투자에대한우선순위평가를위한연구모형은 Fig.1 과같이제1계층에는모델의목표, 제2계층에는 3개의상위평가기준, 제3 계층에는 13개의하위평가기준으로구성하였다. 하위평가기준은조직내에서정보보호관리체계를수립할시, 국내표준으로활용되고있는 ISMS 인증의 13개정보보호대책을적용하였으며, 상위평가기준은정보보호주요 3가지영역인관리적보안, 물리적보안, 기술적보안을적용하여하위평가기준을구분하였다 [8].
922 정보보호관리체계 (ISMS) 항목의중요도인식과투자의우선순위비교연구 Fig. 1. Research hierarchy ISMS 의 13개의정보보호대책중관리적보안이물리적, 기술적보안에비해상대적으로비중이높아채정우등 [2] 의분류방법을적용하여관리적보안을사전관리적보안과사후관리적보안으로구분하였다. 그리고물리적보안은 1개의정보보호대책만적용되어기술적보안과통합하여기술적 / 물리적보안으로구분하였다. Table 2. The evaluation criteria research Division Higher standar d Evaluation criteria Technical/ Operational definition Technical area including technology, policy, process applied for information, access and physical area to protect information systems, facilities and so on from environmental risk and unauthorized intrusion. (network, PC, access etc.) Administrative area including Prior composition administrative organization, personnel recruiting, policy making to prevent incidents. Lower standar d ( policy, organization, education) Administrative Post area to effectively deal administrativ with incidents. e (Intrusion incident handling, IT disaster recovery etc.) System development Cryptography Access Operations on policies on organization When a new information system is developed or the existing system is changed, you should apply and understand clearly the requirements. Cryptography policies including encryption object, encryption strength and key management should be established and implemented. Access policies should be established and implemented in order to the unauthorized person. The procedure establishment to operate information systems and their change management. You should install the equipments to protect information systems after designating protection zone for them and restrict the public access to the protection area. on policies including guideline and procedure should be shared all employees with CEO's approval and be renewed consistently. You should appoint CISO and organize team. on protection committee also is constituted to review
정보보호학회논문지 (2014. 10) 923 External Parties on asset classification Education and training on information Personnel Intrusion incident handling IT disaster recovery planning the major considerations related to information. When the external parties need to process your information or access your information asset, you should write up a contract including exactly requirements. You should identify all information assets in the organization following the classification and grade level according to their importance. You should establish an annual educational planning and educate regularly employees and external parties. Employees who access the important information should be under the manager and submit oath. You should deal with intrusion incidents response system and conduct simulation training regularly. You should establish IT disaster recovery planning including organization for recovery, contact list for an emergency, recovery procedures and regular simulation recovery system. Source: Korea Internet & Agency 2013 IV. 연구방법 4.1 표본추출및자료수집 정보보호전문가 22명을대상으로 AHP 설문조사를진행하여일관성비율이 0.2를초과하는 7부를제외하고 15부를분석에활용하였다. 설문에응답한 Table 3. The characteristic sample Division on career Role Academic background ISMS knowledge level (overwriting available) Detail The number respondent Rate 3~5 years 10 67% 6~8 years 3 20% more than 9 years 2 13% on consultant on manager in a company on manager in a government agency 7 47% 7 47% 1 6% Bachelor's degree 8 53% Master s degree 6 40% Doctor s degree 1 7% ISMS certification examiner Learning the course ISMS certification 1 7% 10 67% ISMS consultant 9 60% Understanding 13 areas for ISMS 15 100% 전문가는정보보호컨설턴트 7명, 기업보안관리자 7 명, 정부기관보안관리자 1명이다. 최종응답자 15명에대한표본의특성은 Table 3과같다. 4.2 AHP 분석절차 본연구는다음과같은순서로분석을진행하였다. 1단계 : Fig.1 과같이의사결정문제를계층구조로분해한다. 2단계 : 정보보호전문가 30명에게 AHP 설문을진행하여 22명의설문을회수하였으며, 설문은같은계층에있는평가기준들을대상으로쌍대비교 (Paired Comparison: 두개의항목을서로비교 ) 를통해상대적으로어느항목이더중요한지평가하였다. 3단계 : 설문결과를토대로일관성지수를산출한후, 무작위지수로나누어일관성지수를도출하였다. 일관성지수가 0.2를초과하는 7부의설문을분석대상에서제외하고최종 15부를가지고중요도를산출하였다. 4단계 : AHP 기법에서일반적으로많이사용되는
924 정보보호관리체계 (ISMS) 항목의중요도인식과투자의우선순위비교연구 기하평균법을사용하여단일화된데이터를만들어각계층의항목별상대적중요도를산출하였다. 그리고 1계층과 2계층의상대적중요도를곱하여전체항목에대한상대적중요도를산출하여우선순위를도출하였다. 5단계 : 동일한방법으로정보보호대책 13개항목에대한전문가의소속조직 ( 또는최근컨설팅을수행한고객사 ) 의투자배정순위를도출하여중요도와비교하였다. V. 실증분석결과 Table 4는정보보호대책의상위기준과하위기준간우선순위에대한정보보호전문가들의의견을보여준다. 상위기준간쌍대비교결과는기술적 / 물리적보안, 사전관리적보안, 사후관리적보안의중요도가각각 36%, 42.5%, 21.5% 로나타났다. 상위기준간의쌍대비교에서사전관리적보안이가장중요한것으로확인되었다. 하위기준간의상대적중요도는기술적 / 물리적보안측면에서접근통제가 29.3% 로가장높게나타났으며, 사전관리적보안측면에서는인적보안이 23.3% 로가장중요한것으로평가되었다. 그리고사후관리적보안측면에서는침해사고관리가 54.1% 로 IT 재해복구보다더중요한것으로확인되었다. Table 4. The priority analysis importance among information countermeasures Higher Technic al/ Relativ e importance higher 0.360 Lower System development Cryptogr aphy Access Operatio ns importance lower 0.184 NO. 4 0.187 NO. 3 0.293 0.133 NO. 5 Final relative importance Prior ities 0.066 8 0.049 13 0.105 2 0.066 9 Prior administrative Post administrative 0.425 0.215 on policies on organization External Parties on asset classification Educatio n and training on information Personne l Intrusion incident handling IT disaster recovery planning 0.202 0.157 NO. 3 0.153 NO. 4 0.128 NO. 5 0.117 NO. 6 0.212 0.233 0.541 0.459 0.073 6 0.067 7 0.065 10 0.054 11 0.050 12 0.090 5 0.099 3 0.117 1 0.099 4 연구결과상위기준간상대적중요도에서사전관리적보안이가장중요한것으로나타났다. 이러한결과가나온이유는조직내에서정보보호를강화하기위해서는정책수립과인력구성등이기본적으로갖춰져야하기때문이다. 기술적 / 물리적보안측면에서는접근통제가, 사전관리적보안측면에서는인적보안이가장중요한것으로확인되었다. 이는최근에내부자유출로인해발생한일련의개인정보유출사건에기인한것으로판단된다. 외부자에비해내부자의경우, 중요시스템에대한접근이상대적으로용이하기때문에시스템
정보보호학회논문지 (2014. 10) 925 에대한접근권한관리와관리자식별등에있어서 ization 더엄격하고강화된보안이이루어져야한다. 사후관리적측면에서는침해사고관리가 IT 재해복구보다상대적으로중요하다고확인되었다. 이러한결과는최근의개인정보유출사건들이기업의재무적손실에직접적인영향을주는것으로확인됨에따라개인정보침해사고이후기업들의적절한대응관리가피해를최소화하는데있어매우중요해졌기때문이다. 정보보해대책중상위기준의상대적투자에서는기술적 / 물리적보안이 49.7% 으로가장투자가많이이루어진것으로확인되었다. 이러한결과는법률적으로기본적인보안시스템구축을요구하고있어조직내정보시스템구축시일정한투자가필요한반 External Parties Informat ion asset classification Educatio n and training on information 0.235 0.177 NO. 3 0.134 NO. 5 0.057 8 0.043 10 0.032 12 면에사전 사후관리적보안은조직의의사결정에따라투자조정이가능하기때문으로판단된다. Personnel 0.198 0.048 9 Table 5. The priority analysis investment among information countermeasures Higher Technic al/ Prior administrative Relati ve investment higher 0.497 0.243 Lower System development Cryptogr aphy Access Operatio ns Informat ion policies Informat ion organ- investment lower 0.138 NO. 4 0.133 NO. 5 0.278 0.179 NO. 3 0.272 0.113 NO. 6 0.142 NO. 4 Final relative Prior investment ities 0.069 6 0.066 7 0.132 2 0.089 5 0.185 3 0.028 13 0.034 11 Post administrative 0.260 Intrusion incident handling IT disaster recovery planning 0.447 0.553 0.116 4 0.144 1 하위기준의상대적투자의우선순위를비교해보면, 기술적 / 물리적보안측면에서는접근통제가가장투자가많이이루어진것으로나타났으며, 사전관리적보안에서는외부자보안이가장투자가많이이루어진것으로나타났다. 상대적중요도와마찬가지로일련의개인정보유출사건으로인해주요시스템및정보에대한접근을관리하는영역에대한투자가많이이루어진것으로판단된다. 반면에인적보안보다외부자보안에투자가더많이이루어진이유는내부인력에비해신뢰성이상대적으로떨어지는외부자에대한보안투자가현실적으로더설득력을갖기때문인것으로설명된다. 사후관리적보안측면에서는침해사고관리보다 IT 재해복구에대한투자가더많이이루어진것으로확인된다. 이러한결과의이유는 IT 재해복구는백업 DB 및방재설비구축등과같이정보시스템을운영하는조직에공통적으로적용되는사전대비성격의투자이지만, 침해사고관리는실제로침해사고를당한조직에서발생하는투자이기때문으로판단된다. 상위기준간의중요도와투자우선순위를비교하
926 정보보호관리체계 (ISMS) 항목의중요도인식과투자의우선순위비교연구 Table 6. The comparison priorities between perceived importance and investment Higher Technical / Prior administ rative Post administ rative importan ce ranking higher investme nt ranking higher 2 1 1 3 3 2 Lower System developm ent Cryptogr aphy Access Operatio ns on policies on organizat ion External Parties on asset classifica tion Educatio n and training on informati on Personnel Intrusion incident handling IT disaster recovery planning importan investmen ce t ranking ranking lower lower 8 6 13 7 2 2 9 5 6 3 7 13 10 11 11 8 12 10 5 12 3 9 1 4 4 1 였을경우, 중요도에서는사전관리적보안이가장순위가높았던반면, 투자에서는기술적 / 물리적보안의순위가가장높고사전관리적보안이가장낮았다. 이런결과는조직내에정보보호조직과체계를구축하는것보다정보보호시스템및솔루션도입을통한가시적성과도출을우선시하기때문으로판단된다. 실제로한국인터넷진흥원 [9] 의정보보호실태조사에따르면국내종사자수 5인이상인사업체중 9.8% 만이정보보호전담조직을운영하고있으며, 20.% 가정보보호정책을수립한것으로나타났다. 정보보호대책중상대적중요도와투자우선순위의차이가큰항목은암호통제, 정보보호정책, 정보보호교육, 인적보안으로확인되었다. 암호통제는정보유출시해당정보를확인할수없도록하는마지막단계의보안절차이기때문에낮은중요도를갖는반면, 개인정보관련법률에서개인정보암호화를의무화함에따라투자의우선순위가높아진것으로볼수있다. 정보보호정책은조직내에서임직원이준수해야할정보보호사항들을명시한문서로서조직의특성과상황을정확히분석하여수립되어야하는필수적사항이다. 하지만표준적으로공유되는정보보호정책을자사의상황에맞게변경하는것이일반적이기때문에투자의우선순위가낮은것으로판단된다. 조직내에서정보보호강화를위해가장중요한것중에하나가조직원의보안인식수준을높이는것이다. 이를위해정기적인보안교육이시행되어야하며법률에서도정보보안담당자에대한정기적인교육을의무화하고있다. 하지만교육의효과가나타나기까지일정시간이필요하기때문에투자우선순위에서밀리는것으로볼수있다. 최근의정보유출사건이내부자유출에기인한다는점에서인적보안은매우중요하다. 하지만상대적으로인적보안에대한투자가낮은이유는외부자에비해상대적으로내부직원에대한신뢰가높으며, 보안준수가일상화된조직문화를형성하는데에는많은시간과노력이필요하기때문으로판단된다. VI. 결론및시사점본연구의결과를다음과같이요약할수있다. 첫째, 정보보호중요도평가에서상위기준중사전관리적보안이가장중요한것으로확인되었으며, 하위기준에서는침해사고관리가가장중요한것으로
정보보호학회논문지 (2014. 10) 927 나타났다. 둘째, 정보보호투자정도평가에서상위기준중기술적 / 물리적보안이투자정도가높은것으로나타났으며, 하위기준에서는 IT 재해복구가가장높은것으로확인되었다. 셋째, 정보보호중요도와투자간의우선순위차이가큰정보보호항목은암호통제, 정보보호정책, 정보보호교육, 인적보안으로확인되었다. 연구결과를바탕으로도출된본연구의주요시사점은다음과같다. 첫째, 조직내정보보호를강화하기위해서는사전관리적보안측면의정보보호항목들을우선적으로고려해야한다. 조직의현상황을정확히분석하여적절한정보보호준수사항들을수립하고조직을구성하는것이여기에해당된다. 조직의정보보호운영과관리의기본적인토대역할을한다는점에서가장우선적으로고려되어야하지만, 단기적인정보보호의성과를위해간과되거나형식적으로시행되는경우가일반적이다. 그리고가시적성과를위해정보보호시스템과솔루션을우선적으로도입하는경우가많다. 기업들은장기적관점에서전문적인인력을채용하고효율적인정보보호관리체계를수립하여, 조직원모두에게공유하고참여를유도하는데노력을기울여야한다. 둘째, 최근의개인정보유출사건에서볼수있듯이보안사고가직접적인재무적손실로이어지기때문에적절한대응을통한피해를최소화하는것이중요하다. 하지만침해사고관리는사후에그필요성을인지하는경우가많아사전준비에소홀하게되는경우가많다. 또한, 침해사고관리능력은단기간에형성되지않는다. 조직원들의반복적인학습과연습을통해긴급한사고상황에대한적절한대응능력을확보할수있다. 따라서기업들은보안사고에대한대응절차를수립하고정기적인모의점검을통해대응방법에대한관리와개선을지속적으로실행해야한다. 셋째, 정보유출사건의주요원인이내부자유출이라는점을고려하여인적보안에중심을둔접근통제가이루어져야한다. 그동안접근통제가비권한외부자에대해초점이맞춰져있었다면앞으로는중요한정보자산에접근을하는내부자관리를강화해야한다. 사실, 내부자가외부자에비해주요시스템의접근이용이하다는점에서내부자의접근통제에대한관리와투자가더우선시되어야한다. 넷째, 정보보호정책과정보보호교육은중요도에비해투자가상대적으로많이부족한항목들이다. 정보보호정책은정보보호준수사항들을세부적으로명시 하고있기때문에조직원모두에게공유되고법률및사회적변화에맞추어지속적으로갱신이이뤄져야한다. 그리고정보보호정책에대한조직원들의인식을높이고참여를유도하는데있어서정보보호교육은효과적인방법중에하나이다. 따라서기업들은정보보호강화를위해조직의특성에맞게정보보호정책을수립하고주기적인교육을통해조직원의인식과참여를높이는활동을적극적으로지원해야한다. 다섯째, 무엇보다도정보보호전문가의중요도인식과실제투자현황에서의차이는정보보호관련투자가전문가의의견보다조직내부의정치적영향이나외부규제등의영향에좌우됐다는점에서우려를갖게된다. 기업내에서실질적인정보보호전문가의위상과의사결정권한에대한재고가필요한시점이라고볼수있다. 본연구는다음과같은한계점을가지고있다. 첫째, ISMS 인증의 13개정보보호대책항목을평가기준으로도출하였다. 하지만 ISMS 가조직내정보보호에초점이맞춰져있기때문에최근에이슈가되고있는개인정보보호를고려하여 PIMS(Personal on Management System) 인증의항목까지반영하여연구할필요가있다. 둘째, 본연구에서는업종이나기업규모를고려하지않았다. 조직내정보보호관리체계를도입하여운영할때, 업종이나기업규모에따라차이가있을수있기때문에기업의업종, 규모등을고려하여좀더세밀하게비교 분석할필요가있다. 마지막으로향후관련연구에서는 13개정보보호대책항목에대해예산소요및법령의무사항여부를추가적으로고려할필요가있다. 각정보보호항목의중요도평가에서이두가지요인은중요한영향을미칠수있기때문이다. 본연구는국내표준으로활용되고있는 ISMS 인증의정보보호대책항목을기반으로상대적중요도와투자정도를비교 분석함으로써국내기업들에게공통적으로적용할수있는정보보호항목들에대한우선순위를처음으로제공했다는점에서의의가있다. 또한본연구결과는정보보호관리체계를도입을고려하거나운영중인기업들이한정된예산을고려하여효과적인정보보호투자에대한의사결정자료로활용될수있을것으로기대한다.
928 정보보호관리체계 (ISMS) 항목의중요도인식과투자의우선순위비교연구 References [1] Dong-yeup Lee, Tae-ho An and Yong-su Hwang, "Analysis the priorities the major science and technology areas in the national R&D investment by AHP method, Journal Technology Innovation, 10(1), pp. 83-97, Jul. 2002. [2] Jeong-woo Chae and Jin-hong Jeong, "Study on decision making for the industrial management factor s priority," Journal Engineering, 10(2), pp. 123-140, Apr. 2013. [3] Jin-kyu Kang and Byong-chan Min, AHP Theory and Practice, INTERVISION, 2008. [4] Ji-sook Kim, Soo-yeun Lee and Jong-in Lim, Comparison The ISMS Difference for Private and Public Sector, Journal the Korea Institute on and Cryptology, 20(2), pp. 117-129, Apr. 2010. [5] Keun-tae Cho, Yong-kon Cho and Hyun-su Kang, Analytic Hierarchy Process ahead leaders, DongHyeon Inc, 2003. [6] Keun-tae Cho, Seoung-joon Kim, Dae-sik Kim, Young-woo Cho and Jong-in Lee, "Priority Setting for Future Core Technologies using the AHP; With Major Fields in Rural Development and Resources, Journal Korean Society Rural Planning, 9(3), pp. 41-46, Aug. 2003. [7] Ki-chul Kim and Seung-joo Kim, "Evaluation Criteria for Korean Smart Grid based on K-ISMS," Journal the Korea Institute on and Cryptology, 22(6), pp. 1375-1391, Dec. 2012. [8] Korea Internet & Agency, A handbook on ISMS certification system, Jun 2013. [9] Korea Internet & Agency, 2013 Research on the actual condition the information, Dec. 2013. [10] Korea Internet & Agency, http://imsm.kisa.or.kr [11] Kyong-sik Kim and Min-hyuk Kwon, "The Development and Application the Scale on the Participation Constraints Sport for All, Korean Journal Societegy Sport, 20(2), pp. 159-173, Jun 2007. [12] Subrata Biswas, Jin-ho Yoo and Chul-yong Jung, "A Study on Priorities the Components Big Data on Service by AHP," Journal Society for e-business Studies, 18(4), pp. 301-314, Nov. 2013. [13] T. L. Saaty, The Analytic Hierarchy Process, McGraw-Hill Inc, 1980. [14] T. L. Saaty, "Priority Setting in Complex Problem," IEEE Transaction on Engineering Management, 30(3), pp. 140-155, Aug. 1983. [15] T. L. Saaty, Decision-Making for Leaders: The Analytical Hierarchy Process for Decisions in a Complex World, RWS Publications, 1995. [16] Tae-sung Kim and Hyo-jung Jun, "Analysis on on Manpower Policy by the Analytic Hierarchy Process," Journal the Korea Institute on and Cryptology, 31(5B), pp. 486-493, May 2006. [17] Young-sik Bae, A study Effect on Management System[ISMS] Certification on Organization Performance, Journal the Korea Academia-Industrial, 13(9), pp. 4224-4233, Sep. 2012.
정보보호학회논문지 (2014. 10) 929 < 저자소개 > 이중정 (Choong-Cheang Lee) 정회원 1982 년 2 월 : 연세대학교교육학사졸업 1986 년 2 월 : University Rhode Island 경영학석사졸업 1993 년 2 월 : University South Carolina MIS 박사졸업 1991 년 3 월 ~1993 년 8 월 : Univ. South Carolina, Dept. on & Decision Sciences, 연구원 1993 년 9 월 ~2001 년 8 월 : Salisbury State University, 부교수 2001 년 9 월 ~ 현재 : 연세대학교정보대학원, 교수 < 관심분야 > IT performance, IT evaluation measurement, on Orientation 김진 (Jin Kim) 정회원 2000 년 2 월 : 홍익대학교금속재료공학과졸업 2014 년 2 월 : 연세대학교정보시스템학정보미디어전략석사 2008 년 1 월 ~ 현재 : 삼정 KPMG 차장 < 관심분야 > 정보보호, IT ROI, 정보시스템감리, IT 아웃소싱 이충훈 (Chung-Hun Lee) 정회원 2005 년 2 월 : 건국대학교경제학과졸업 2013 년 2 월 : 연세대학교정보대학원지식서비스보안석사졸업 2013 년 3 월 ~ 현재 : 연세대학교정보대학원 IT 서비스전략기획및관리박사과정 < 관심분야 > 정보보호, 프라이버시, IT service, IT performance, 디지털비즈니스