Knowledge Management Research (지식경영연구)

The Knowledge Management Society of Korea (한국지식경영학회)
권호 표지
DOI QR코드

DOI QR Code

A Study of the Effectiveness and Status of the Information Security Disclosure System

정보보호 공시제도의 운영실태와 효과성 분석

  • Received : 2021.01.20
  • Accepted : 2021.03.10
  • Published : 2021.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

The information security disclosure system (ISDS) has been implemented since 2016 to ensure the protection of stakeholders and the right to know, and to promote voluntary investment in information protection by companies. Regarding the information security disclosure system, there have been studies that urge the implementation of the system, but studies that analyze the contents disclosed after the implementation of the system or suggest improvement directions are few. In this study, the contents of the information security disclosure system that had been announced on the information security industry promotion portal until 2019 were analyzed, the current status was summarized, and the direction of system improvement was suggested. In some cases, companies that disclosed information through the disclosure system increased the number of personnel in charge and obtained certifications related to information security, but did not find any effect on the increase/decrease in investment. The current disclosure system has not been activated because it has difficulty in giving individual companies incentives to disclose. Thus, this study suggests the inclusion of ISDS to information security management system (ISMS), which is currently mandatory for certain companies. In the current disclosure system, it is difficult for the company's stakeholders or customers to check the contents of the disclosure. As a way to do this, a method of including in the contents of the personal information processing policy or the notification of the use of personal information was suggested.

정보보호 공시제도는 이해관계자 보호 및 알권리를 보장하고, 기업의 자발적인 정보보호 투자를 촉진하기 위하여 2016년부터 시행된 제도이다. 정보보호 공시제도(ISDS)에 대해서는 해당 제도의 시행을 촉구하는 연구들이 있었으나, 제도 시행 후에 공시된 내용을 분석하거나 개선방향을 제시하는 연구는 부족한 편이다. 본 연구에서는 정보보호 산업진흥포털에 2020년까지 공시되었던 정보보호공시의 내용을 분석하여 그 현황을 정리하고, 제도의 개선방향을 제시하였다. 공시제도를 통해 정보보호 관련 정보를 공개한 기업들에서 전담인력을 늘리는 경우가 있었으며, 정보보호 관련 인증을 취득하기도 했음을 알 수 있었지만, 투자의 증/감에는 영향을 발견하지 못했다. 현재의 공시제도는 개별 기업들이 공시를 해야하는 유인을 주는 데 어려움을 가지고 있기 때문에 활성화되지 못하고 있고, 이로 인하여 제도의 취지였던 기업의 정보보호 위험을 이해관계자들에게 공개하는 것이나 기업의 정보보호 투자를 활성화하는 것을 달성하지 못하고 있다. 현재 의무화되어 활성화되고 있는 정보보호 관리체계 인증제도(ISMS)에 포함하여 활성화하는 방안을 제시하였으며, 현재의 공시제도에서 기업의 이해관계자나 고객이 공시의 내용을 확인하는 것이 어렵기 때문에 이를 보다 인지하기 쉽도록 하는 방안으로 개인정보 처리방침 또는 개인정보 이용내역 통지의 내용에 포함하는 방법을 제시하였다.

Keywords

References

  1. 과학기술정보통신부 (2019, 1월 4일). 정보보호 공시 가이드라인, 공고 제2019-0005호.
  2. 권영옥, 김병도 (2007). 정보보안 사고와 사고방지 관련 투자가 기업가치에 미치는 영향. Information Systems Review, 9(1), 105-120.
  3. 공희경, 전효정, 이송하, 강민성, 김태성 (2016). 보안인증의 경제적 효과에 대한 연구동향 분석. 정보보호학회논문지, 26(3), 821-835. https://doi.org/10.13089/JKIISC.2016.26.3.821
  4. 김경석 (2018). 사이버보안과 내부통제. 중앙법학, 20(3), 249-270. https://doi.org/10.21759/CAULAW.2018.20.3.249
  5. 김기현, 조혜진, 임소희 (2020). 4차산업혁명 핵심기술 도입 및 정보보호조직에 관한 탐색적 연구: 성과측면에서의 비교분석. 지식경영연구, 21(1), 41-59. https://doi.org/10.15813/kmr.2020.21.1.003
  6. 민현우, 이희조 (2016). 정보보호 공시 제도의 기대효과 및 도입에 따른 경제성 분석. 한국IT서비스학회 추계학술대회 논문집, 295-298.
  7. 박재영, 정우진, 김범수 (2016). 기업의 정보보호 인증이 기업가치에 미치는 영향. 한국IT서비스학회지, 15(3), 51-69. https://doi.org/10.9716/KITS.2016.15.3.051
  8. 박재영, 정우진 (2019). 기업의 정보보호 공시가 기업가치에 미치는 영향. 지식경영연구, 20(4), 39-55. https://doi.org/10.15813/kmr.2019.20.4.003
  9. 배영식 (2012). 정보보호관리체계[ISMS] 인증이 조직성과에 미치는 영향에 관한 연구. 한국산학기술학회논문지, 13(9), 4224-4233. https://doi.org/10.5762/KAIS.2012.13.9.4224
  10. 백남균, 박성갑 (2017). 국내 주요 정보보호 의무제도 동향. 전자공학회지, 44(10), 32-40.
  11. 백승익, 정유영 (2014). 정보유출 사고가 기업가치에 미치는 영향. 한국경영정보학회 추계학술대회, 97-308.
  12. 박태완, 오경희 (2016). 분야별 정보보호 경영시스템 인증동향. 한국정보보호학회지, 26(4), 16-21.
  13. 신현민, 김인재 (2020). 정보보호 전문서비스 기업의 인증 및 상장여부가 재무적 성과에 미치는 영향. 지식경영연구, 21(3), 197-213. https://doi.org/10.15813/KMR.2020.21.3.011
  14. 엄재하, 김민정 (2016). 정보보안사고가 투자주체별 투자성과에 미치는 영향: 개인정보유출사고 중심으로. 정보보호학회논문지, 26(2), 463-474. https://doi.org/10.13089/JKIISC.2016.26.2.463
  15. 이경준, 김현경 (2020). 데이터 경제와 정보보호 관리.감독제도의 개선에 대한 검토. IT와 법 연구, 21, 119-170.
  16. 전효정, 김태성 (2012). 정보보안 공시제도 도입을 위한 타당성 분석과 운영체계 제언. 정보보호학회논문지, 22(6), 1393-1405. https://doi.org/10.13089/JKIISC.2012.22.6.1393
  17. 조중기, 최상현 (2016). 정보보호 관리체계 인증 취득 후 기업가치의 변화에 관한 연구. 한국융합학회논문지, 7(6), 237-247. https://doi.org/10.15207/JKCS.2016.7.6.237
  18. 황해수, 이희상 (2015). 정보보안 사고가 기업가치에 미치는 영향분석: 한국 상장기업 중심으로. 정보보호학회논문지, 25(3), 649-664. https://doi.org/10.13089/JKIISC.2015.25.3.649
  19. 홍일유, 이재훈, 강성민 (2015). 정보보안 사고에 대한 공시가 시장에서 기업의 주식가치에 미치는 영향. Entrue Journal of Information Technology, 14(2), 33-56.
  20. Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548. https://doi.org/10.2307/25750690
  21. Bauer, S., & Bernroider, E. W. N. (2017). From information security awareness to reasoned compliant action: Analyzing information security policy compliance in a large banking organization. The DATA BASE for Advances in Information Systems, 48(3), 44-68. https://doi.org/10.1145/3130515.3130519
  22. Boss, S. R., Galletta, D., Lowry, P. B., Moody, G. D., & Polak, P. (2015). What do users have to fear? Using fear appeals to engender threats and fear that motivate protective behaviors in users. MIS Quarterly, 39(4), 837-864. https://doi.org/10.25300/MISQ/2015/39.4.5
  23. Cram, A., D'Arcy, J., & Proudfoot, J. (2019). Seeing the forest and the trees: A meta-analysis of the antecedents to information security policy compliance. MIS Quarterly, 43(2), 525-554. https://doi.org/10.25300/MISQ/2019/15117
  24. D'Arcy, J., & Herath, T. (2011). A review and analysis of deterrence theory in the IS security literature: Making sense of the disparate findings. European Journal of Information Systems, 29(6), 643-658. https://doi.org/10.1057/ejis.2011.23
  25. Foth, M. (2016). Factors influencing the intention to comply with data protection regulations in hospitals: Based on gender differences in behaviour and deterrence. European Journal of Information Systems, 25(2), 91-109. https://doi.org/10.1057/ejis.2015.9
  26. Ifinedo, P. (2012). Understanding information systems security policy compliance: An integration of the theory of planned behavior and the protection motivation theory. Computers & Security, 31(1), 83-95. https://doi.org/10.1016/j.cose.2011.10.007
  27. Lee, C. H., Geng, X., & Raghunathan, S. (2016). Mandatory standards and organizational information security. Information Systems Research, 27(1), 70-86. https://doi.org/10.1287/isre.2015.0607
  28. Siponen, M., Mahmood, M. A., & Pahnila, S. (2014). Employees' adherence to information security policies: An exploratory field study. Information & Management, 51(2), 217-224. https://doi.org/10.1016/j.im.2013.08.006
  29. Spears, J. L., & Barki, H. (2010). User participation in information systems security risk management. MIS Quarterly, 34(3), 503-522. https://doi.org/10.2307/25750689
  30. Yoo, C. W., Goo, J., & Raghav, R. H. (2020). Is cybersecurity a team sport? A multilevel examination of workgroup information security effectiveness. MIS Quarterly, 44(2), 907-931. https://doi.org/10.25300/MISQ/2020/15477