개인동기 측면과 조직문화 측면이 정보보안의식에 미치는 영향 분석*

이려화,허성호 한국정신건강및행동분석학회 2023 정신건강 및 행동분석 연구 Vol.6 No.1

The aim of this study to analyze the influence of motivation and organization culture on information security awareness. The research design is structrured with a cross-design of materialism and cultural dimension. The variables are information security knowledge, information security policy awareness, and general information security awareness. As a result, the materialism had a significant effect on information security knowledge, information security policy awareness, and it was found that influence of the high-materialism-based condition was greater than the low-materialism-based condition. The cultural dimension had a significant effect on information security knowledge, information security policy awareness, general information security awareness, organizational support, and it was found that influence of the collectivism-based condition was greater than the individualism-based condition. In addition, the discussion explains the contents of information security usability that reflect these research results.

항만기업 종사자들의 정보보안인식과 지각된 정보보안위험에 영향을 미치는 요인

장명희(Myung-Hee Chang),강다연(Da-Yeon Kang) 한국항해항만학회 2012 한국항해항만학회지 Vol.36 No.3

본 연구의 목적은 항만기업 종사자들의 정보보안인식정도와 지각된 정보보안위험 정도에 영향을 미치는 요인들이 어떤 것들이 있는지를 실증 분석하는 것이다. 특히, 지각된 정보보안위험에 영향을 미치는 요인을 파악하기 위하여 위험분석방법론을 토대로 자산, 위협, 취약성과의 관계를 분석하였다. 252개의 유효설문을 대상으로 AMOS를 이용한 구조방정식 모형 분석을 하였다. 연구결과를 보면, 첫째, 항만기업 종사자의 경우 정보자산은 지각된 정보보안위험에 유의하지 않은 결과로 분석되었다. 둘째, 위협, 취약성은 지각된 정보보안위험에 유의한 영향을 미치는 것으로 나타났다. 마지막으로, 정보보안인식과 정보보안교육, 정보보안인식과 정보보안의도와의 관계는 유의하게 분석되었다. 그러나 정보보안관심도는 정보보안인식에 유의하지 않은 것으로 분석되었다. The purpose of the present study is to empirically examine factors that affect the information security awareness and perceived information security risk of employees of port companies. In particular, in order to identify factors that affect the perceived information security risks, we investigated the relation of assets, threats, and vulnerabilities to it, using the risk analysis methodology. With A total of 252 valid questionnaires, we also performed the structural equation modeling analysis using AMOS. It was found that first, there was no meaningful relationship between the information assets and the perceived information security risk in the case of employees of port companies. Second, threats and vulnerabilities turned out to have positive influences on the perceived information security risk. Finally, there was a positive relationship not only between the information security awareness and the information security education, but also between the information security awareness and the intention of information security. However, there was no meaningful relationship between the information security concern and the information security awareness.

조직의 정보윤리실천이 구성원의 정보보안 인식과 행동에 미치는 영향에 관한 연구

백민정 ( Min Jung Baek ),손승희 ( Seyung Hee Sohn ) 한독경상학회 2010 經商論叢 Vol.28 No.4

연구는 새로운 경영환경에 대처하여 조직이 수행하는 정보윤리실천이 조직구성원의 개인적 차원의 인식에 어떻게 작용하고 구체적인 행동으로 정보보안에 어떤 영향을 미치는지를 실증적으로 검증하기 위한 연구이다. 본 연구에서는 정보윤리실천 요소들을 추출하여 조직 구성원들의 정보보안인지를 통해 정보보안행동으로 이어지며, 정보보안에 미치는 영향을 검증하였다. 이를 위해 정보윤리의 실천에 관한 개념적, 실증적 연구들을 살펴보고 기존의 윤리경영활동과 정보보안 관리활동을 토대로 조직의 정보윤리의 실천 요소들을 정의하였고 그 요소들을 추출하였다. 본 연구에서는 조직에서의 정보윤리실천을 기업(조직)에 위임된 고객의 정보나 기업의 정보를 운영함에 있어 각종 정보가 부당하게 유출, 오용, 변조되는 것을 방지 하고 정보시스템을 정상적으로 운영되는 것을 방해하는 요인들을 차단하기 위한 기업 차원의 인적, 조직적(제도적), 기술적 차원의 구체적인 제반 행위이라 정의하였다. 본 연구결과를 통해 조직의 정보윤리의 실천이 조직구성원 개인의 정보보안인식에 영향을 미치고 정보보안인식이 정보보안행동에 영향을 미치는 것으로 확인되었다. 이는 조직구성원들의 정보보안행동을 유도하기 위해서는 조직구성원들의 정보보안인식의 제고가 선행되며 이를 위해 조직차원에서의 정보윤리의 실천이 필요하다는 것을 알 수 있다. 본 연구는 조직의 정보윤리 개념을 정립하고 조직구성원의 개인적 차원의 정보보안인식과 행동에 대한 직접적 영향을 실증적으로 증명함으로써 조직의 정보윤리체계 확립에 판단 근거를 제시할 수 있을 것이다. 또한 나아가 조직의 정보보안을 위한 보다 효과적인 투자 및 의사결정에 기여할 것으로 보인다. Most of the companies utilize information technology to strengthen their competitive advantages. Information technology system and security has become very important for companies, as loss of information can damage the growth of the organizations. However, most companies adapt only to technological elements. It as been evident that their efforts to deal with individual information security issues are insufficient. The fundamental problem of information security is based on human`s will and behavior. It is more important to establish effective policies and motivate members to follow them rather develop technical part of the information security to protect the information and systems of the organization. Unfortunately, effectiveness of the information security systems that are used by most of companies has not been proved and individual level of information security behavior and awareness was not considered in these systems. This study is based on the proposition which changes the organizational members`s awareness are essential to conduct information security under new management environment. The research aims to empirically verify the influences of information ethics of an organization on their recognition and action on an individual level. The results are presented through the security awareness and behavior of organizational members by obtaining and defining the elements of information ethics. The research defines "information ethics" in an organization as human. Systematic and technological activities in a corporate level prevent private and organizational information from being disclosed, misused, and altered, preventing factors that may disrupt the functionality of an information system. Research has proved that the information ethics of an organization has an influence on information security awareness and behavior. Therefore, information security behavior is required to protect information of an organization and whilst maintaining the information ethics on an organizational level. This research can convince organizations to establish the information ethics by defining the organizational information ethics, presenting a direct influence of information security awareness and behavior of individual members of the organization within the outcomes of the information security system. In addition, the research would further contribute towards an effective investment and decision-making for organizations on information security.

조직규모의 차이가 구성원의 정보보안인식과 행동에 미치는 영향과 규모 간 차이에 관한 비교연구

손승희 ( Seyung Hee Sohn ) 한국질서경제학회 2014 질서경제저널 Vol.17 No.4

최근 일부 신용카드사에서 발생한 다량의 개인정보유출 사건이 보여주듯, 정보보안문제 는 정보화 사회에서 대두될 수 있는 가장 큰 문제 중에 하나이며, 정보보안문제가 발생하는 원인은 기술적인 측면의 제도나 보안장치가 미흡해서라기보다는 인간의 의지에 기인한다는 것을 입증하고 있다. 따라서 현대 사회의 정보보안문제를 해결하는 방법은 기술적인 보안장치보다는 관리적인 측면 즉, 효과적인 보안정책을 수립하고 조직 구성원들이 이를 준수하고 실제 행동으로 실천할 수 있도록 동기를 부여하는 것이 더 필요하다는 전제 하에 조직구성 원의 정보보안인식을 형성하고 실제 행동으로 표출되는데 영향을 미치는 요인과 과정에 대 한 연구가 요구되어 본 연구를 수행하였다. 본 연구의 목적은 조직의 정보윤리가 조직구성원 개개인의 정보보안인식을 형성하고 행 동에 미치는 요인들이 무엇이며, 영향을 미치는 정도가 어떻게 다르게 나타나는지를 실증적으로 검증하기 위함이며, 정보보안인식과 행동에 영향을 미치는 영향요인들을 추출하여 조 직구성원들의 정보보안인식을 형성하는데, 그리고 형성된 정보보안인식이 조직규모별로 어느 정도 다르게 행동으로 나타나는지를 비교 분석하는데 연구의 초점을 맞추었다. 본 연구 결과, 정보유출방지시스템 및 개인적인 성향을 제외한 정보보안제도 및 정책, 정보보안교육, 데이터백업 및 복구시스템만이 정보보안인식 형성에 영향을 미치며, 인지된 정보보안인식은 구체적인 행동으로 이어지는 것으로 나타났다. 또한 조직규모에 따라서 영향 요인과 정보보안인식 그리고 정보보안행동을 인지하는 데 차이가 있음이 확인되었다. 본 연구 결과 조직규모에 따라서 영향을 미치는 요인들과 영향을 미치는 정도가 다르기 때문에, 조직의 정보보안문제를 해결하기 위해서 보안정책을 수립하는데 있어서 조직규모 에 따라서 적정한 정책방향을 제시할 수 있음은 물론, 조직의 정보보안을 위한 보다 효과 적인 투자 및 의사결정을 하는데 합리적인 판단근거를 제시할 수 있을 것이며, 세부 보안정책의 우선순위를 결정하는데도 실제적인 도움이 될 수 있을 것으로 기대된다. The information security problem is one of the most serious problems that can occur in a high-level information era. They are due to a lack of awareness and of behavior which are caused by human beings rather than that of rules, disciplines or security devices provided in an organization. This study was conducted under the assumption that awareness and behavior of members are more important than technical devices, institutional regulations or rules of an organization. The purpose of this study is empirically to verify the factor that influences on the information security awareness and behavior, and to confirm its possible impacts. The research is focused on abstracting the factors which are affecting the security awareness and behavior, and on comparing the impacts according to an organization scale. The obtained results are as followings: First, both factors, information leak prevention system and personal preference, don't have effect on the information awareness. Second, the factors such as information security rules, policy, data backup, recovery system, and information security training affect the information security awareness. Third, the awareness of information security leads to a concrete behavior. Fourth, the factors affecting security awareness and behavior are different, depending on the organization scale. Fifth, the impact on organizations is diverse according to the scale of the organization. According to these results, it is possible to present a different policies depending on the size of the organization, and to show a reasonable basis in order to make an effective determination for the information security of an organization. Furthermore, it is able to help determining the priority of the security policies. In addition, the result of this research would further contribute towards an effective investment.

정보윤리 활동에서 개인의 낙관적 편견과 정보보안 인식 및 정보보안 행위와의 관련성에 관한 실증 연구

최종근(Jong-Geun Choi),채명신(Myung-Shin Che) 한국산학기술학회 2016 한국산학기술학회논문지 Vol.17 No.5

정보보안 인식 및 행위에 미치는 요소와 관련하여 심리학에서 사용되는 개념인 낙관적 편견과의 연관성에 대한 연구 가 활발하다. 즉, 개인이 가진 낙관적 편견이 정보윤리 활동에 얼마나 어느 분야에 영향을 미치는 가를 알아보는 것이다. 이러한 점에서 본 연구는 개인의 낙관적 편견과 정보보안 인식 및 정보보안 행위와의 관련성을 실증해 보았다. 국내 민간 기업 종사하는 111명을 대상으로 설문조사한 결과, 개인의 보안관련 경험적 요인으로 인해 개인별 낙관적 편견이 존재하며, 낙관적 편견은 정보보안 인식에 영향을 미치며, 낙관적 편견이 많을수록 정보보안에 대한 인식은 부(-)의 영향을 미침으로서 정보보안 인식이 낮아진다는 것을 확인하였다. 즉, 낙관적 편견이 정보보안 인식에 영향을 미치며, 낙관적 편견을 줄이는 활동을 함으로써 정보유출 등 정보보안 사고를 줄이는데 기여할 것으로 판단된다. 그러나, 정보보안 인식을 제고시키는데 낙관적 편견이 조절효과를 보여줄 것으로 판단되었어나 그 조절효과를 보여주지 못하였다. 그 이유는 낙관적 편견관련 건강 분야 연구와 달리 IT분야는 선행연구가 부족하여 구체적인 조절 요인을 제시하는데 어려움이 있는 등의 한계점이 제시되었다 With respect to the factors affecting information security awareness and behavior, the study of the relevance of the concept of optimistic bias is actively used in psychology. In other words, this study examines whether the optimistic bias of individuals affects information security in the field. In this sense, this study attempted to demonstrate the relevance of optimistic bias in information security behavior and awareness. A questionnaire survey was conducted targeting 111 people engaged in domestic private enterprises. The survey results showed that this personalized optimistic bias exists because of empirical factors related to personal security. Optimistic bias affects the security awareness information. The greater the optimistic bias, the lower the awareness and recognition of information security. In other words, optimistic bias affects information security awareness. Reducing the effects of optimistic bias is expected to reduce information security incidents, such as information leakages. However, the variety of information related ethical activities of a company did not have any effect on the information security awareness. Most previous studies have only examined the effect optimistic bias in the field of health. Therefore, this study fills an important gap in research in IT.

지방공무원의 정보보호 인식 및 행태에 관한 연구

이미정,이선중 서울행정학회 2010 한국사회와 행정연구 Vol.20 No.4

The purpose of this paper is to find out a level of information security in terms of the information security culture. To examine the level of information security, we have conducted the survey targeting to public officials in a local government. According to the paradigm of information security, the paper analyzed an internalization of information security culture and a gap between the information security awareness and behavior. The results of analysis are summarized as follows: (1) The level of information security phases as understanding-knowledge-behavior is measured. The level of information security behavior is low by comparison with that of awareness. (2) The paired sample t-test shows that the gap between the information security awareness and behavior for public officials is proved to be statistically significant. This means that public officials perceive the importance of information security and have the knowledge of information security sufficiently, but they relatively have not done that much effort in the security behavior. To improve the level of information security, the public officials should recognize that the importance of information security is connected with the information security culture. Also, the evaluation of information security culture should be fed back to the local government periodically.

개인의 정보보안 행위에 대한 연구

김준우(Kim, Jun-Woo),전동진(Jeon, Dong-Jin) 한국물류학회 2021 물류학회지 Vol.31 No.1

인터넷 환경과 사물인터넷(IoT), 인공지능(AI) 등 새로운 ICT의 등장에 따라 위험요인이 증가되고 있으며, 정보보안이 중요한 이슈로 대두되고 있다. 정보보안의 기존 연구는 주로 조직을 대상으로 연구되고 있어 개인 차원에서의 보안행위에 대한 분석은 미흡하다고 할 수 있다. 더구나 개인의 경우 이러한 위험에 더욱 취약할 수밖에 없기 때문에 개인 차원에서의 보안행위 연구가 무엇보다 시급하다고 판단된다. 따라서 본 연구에서는 개인의 정보보안 행위를 설명하는 모델을 보호동기이론(PMT)에 입각하여 모델을 설정하고 보안행위에 영향을 주는 요인을 분석하였다. 연구모델은 지각된 심각성, 지각된 취약성, 지각된 반응 효능감, 지각된 자기효능감, 지각된 반응비용 5개의 요인을 사용했으며, 매개 요인으로는 정보보안 인식, 정보보안 태도, 주관적 규범 3개 요인을 설정하였다. 연구 결과는 다음과 같다. 첫째, 지각된 심각성과 지각된 취약성은 정보보안 행위에 영향을 미치는 것으로 나타났으며. 둘째, 지각된 반응효능감은 주관적 규범과, 정보보안 태도 및 정보보안 인식에 영향을 미치는 것으로 나타났다. 셋째, 지각된 반응비용 역시 정보보안 인식에 영향을 미치는 것으로 나타났으며, 주관적 규범, 정보보안 태도, 정보보안 인식 모두 보안행위 의도에 영향도가 유의하게 나타났다. 연구 결과를 바탕으로 본 연구의 시사점은 보안 예방 권고 메시지를 구성하는 데 있어 정보보안 위협의 발생 가능성과 대안의 효과성을 중심으로 작성하여야 할 필요가 있다고 제시하였다. The emergence of new ICT and Internet of Things(IoT), artificial intelligence(AI) has become a risk factors are increasing, and information s ecurity has become an important i ssue. Existing research on information s ecurity has been conducted p rimarily on organizations, and analysis of security practices at the individual level can be considered inadequate. Also, in the case of individuals, there is no choice but to make them more susceptible to these risks, so research on security practices at the individual level can be needed above all else. Therefore, in this study, we set a model to explain personal information security behavior based on the Protection-Motivation Theory((PMT) and analyzed the factors that influence security behavior. The model of the study uses five factors: perceived severity, perceived vulnerability, perceived response efficacy, perceived self-efficacy liver, and perceived response cost. As mediating factors, three factors were set, information security awareness, information security attitude, and subjective norm. The research results are as follows. First, the perceived severity, and perceived vulnerabilities were found to influence information security behavior intentions. Second, perceived response efficacy was found to influence subjective norms, information security attitudes and information security awareness. Third, perceived response cost was also found to have an effect on information security awareness, and subjective norms, information security attitudes, and information security awareness had significant effects on security behavior intention. Therefore, it is necessary to create a security prevention advisory message focusing on the possibility of occurrence of information security threats and the effectiveness of alternatives.

해운항만조직 구성원들의 정보보안정책 준수에 영향을 미치는 요인

강다연(Dayeon Kang),장명희(Myunghee Chang) 한국항만경제학회 2012 韓國港灣經濟學會誌 Vol.28 No.1

정보기술의 발전은 기업에게 많은 이익을 가져다주었지만, 정보유출이라는 심각한 문제를 야기하고 있다. 이에 따라 기업들은 정보보안을 위해 정보보안정책을 수립하고 조직구성원들이 정보보안정책을 준수할 것을 요구하고 있다. 본 연구에서는 해운항만조직 구성원들의 정보보안정책 준수에 영향을 미치는 요인들을 실증분석 하기 위해 정보보안인식, 정보보안태도, 자기효능감, 규범신념, 사회적 영향들을 영향요인으로 선정하였다. 분석결과에 따르면, 해운항만조직 구성원들의 정보보안인식과 정보보안태도와의 관계는 긍정적으로 나타났으며, 정보보안태도와 정보보안정책 준수와의 관계도 긍정적으로 나타났다. 그리고 자기효능감과 정보보안정책 준수와의 관계, 사회적 영향과 정보보안정책 준수의 관계도 긍정적으로 나타났다. 하지만 규범신념과 정보보안정책 준수와의 관계는 유의하지 않은 것으로 분석되었다. 본 연구의 결과는 정보유출문제가 발생할 가능성이 큰 해운항만조직의 구성원들이 정보보안정책의 준수사항을 어느 정도로 받아들이는 지를 확인함으로써 해운항만조직에서 정보보안과 관련된 정책을 수립하는데 기반을 제공할 것으로 기대한다. Advances in information technology has brought many benefits to businesses, but at the same time, businesses are facing serious problems caused by its use such as information leakage. In order to cope with problems, companies have established information security policies, demanding workers of a company to be compliant with the policies. This study proposes a research model that includes information security awareness, information security attitude, self-efficacy, standard belief and social influences as factors that affect the compliance of information security policy among the workers of shipping and port organization. The results of this study showed that there was a positive relationship not only between the information security awareness and the information security attitude, but also between the information security attitude and the information security policy among the workers of shipping and port organization. It was also found that there was a positive relationship between the self-efficacy and the compliance of information security policy, and between the social influence and the compliance of information security policy. However, there was no meaningful relationship between the standard belief and the compliance of information security policy. This study examined to what extent the workers of shipping and port organization that have a high possibility of the information leakage were compliant with the information security policy. The findings will contribute to organizations of shipping and port who attempt to establish strategies related to information security.

해운항만조직의 정보보안이행이 정보보안성과에 미치는 영향

강다연(Da-Yeon Kang),장명희(Myung-Hee Chang) 한국항해항만학회 2016 한국항해항만학회지 Vol.40 No.4

최근 조직의 정보유출사고가 연이어 발생하면서 조직차원에서 정보보안 관리와 정보보안대책 수립이 시급하다. 특히 조직구성원들 의 정보보안 관리 강화 방안을 마련하고 조직구성원들의 정보보안 인식의 제고를 위해 노력을 기울여야 한다. 조직의 정보보안이행 정도가 정보보안성과에 미치는 영향을 확인하기 위한 연구모형을 설정하였으며, 표본 집단으로 해운·항만조직과 금융·보험 조직의 구성원들을 선정 하였다. 구조방정식 모형을 이용하여 결과요인을 도출하였으며 설문지를 통해 수집된 데이터를 실증적으로 분석하였다. 해운 항만조직 구성 원을 대상으로 정보보안성과에 영향을 미치는 요인을 분석한 결과는 다음과 같다. 첫째, 정보보안인식에 영향을 미치는 요인으로 정보보안태 도, 정보보안관심도로 확인되었으며, 둘째, 조직의 정보보안정책에 영향을 미치는 요인으로는 정보보안규범인 것으로 확인되었다. 반면에 정 보보안처벌과 정보보안교육은 정보보안정책 준수에 영향을 미치지 않는 것으로 확인되었다. 셋째, 정보보안인식은 정보보안정책준수, 정보보 안능력, 정보보안행동에 유의한 영향을 미치는 것으로 확인되었다. 넷째, 정보보안정책준수는 정보보안능력과 정보보안행동에 영향을 미치는 요인으로 확인되었다. 마지막으로 정보보안능력과 정보보안행동은 정보보안성과에 영향을 미치는 요인으로 확인되었다. Recently, as cases of organizations' information disclosure occur continuously, it is urgent to manage security of information and establish measures to enhance security of information by an organization itself. Especially, members of an organization should be prepared with measures for information security, and an organization should do its efforts to raise its members' awareness toward information security. I set a research model to verify what effects an organization's fulfillment of regulations to secure information brings to performance of information security and selected members from maritime and port organizations and financial and insurance institutes as sample. Results of the analysis to identify factors affecting information security performance among members of maritime and port organizations are as follows. Firstly, I found that the factors affecting information security awareness are information security attitude and information security standards. Secondly, the factor giving influence on information security policy of an organization was found to be information security standards. In contrast, information security punishments and information security training were verified not to give influence on compliance of information security policy. Thirdly, information security awareness was identified to give significant influence on compliance of information security policy, information security competence and information security behavior. Fourthly, compliance of information security policy was verified to be those factors that give influence on information security competence and information security behavior. Lastly, information security competence and information security behavior were found to be such factors that give influence on information security performance.

정보보호 인식과 정책 간의 연관성에 관한 연구

이기종(ki-jong Lee),박재정(Jae Jeong Park) 충남대학교 사회과학연구소 2018 사회과학연구 Vol.29 No.2

The purpose of this research was to verify the mutual correlation between the public awareness of information security and the policies established and executed by the government. This research organized concepts, such as the properties of policy and awareness, characteristics of information security policy, and effects of information security awareness. In addition, a valid relationship was drawn between policy and public awareness of information security through detailed analysis of a policy paper and a Survey of information Security based on the aforementioned concepts. The existence of particular policy factors influencing public awareness of information security was verified. In particular, public awareness of information security improved when domestic information security environment and government policy had a mutual correlation. In light of the increase in emerging cyber threats, the implementation of policies reflecting the results of this research has high prospect of significantly improving public awareness of information security.