• Review of KIISC
• /
• v.18 no.6
• /
• pp.6-10
• /
• 2008

정보화 사회는 네트워크와 시스템에 대한 의존도가 큼에 따라 이에 대한 관리가 미흡할 경우 저장 유통되는 정보 및 자료의 위변조, 유출 등으로 인해 조직이 입는 피해는 금전적 손실뿐만 아니라 심할 경우 조직의 존립까지 위협할 수 있다. 이에 따라 정보보호의 중요성은 날로 증대하고 있으나 조직마다 다른 정보보호 접근 방법으로 인해 조직의 정보보호 수준은 차이가 심하다. 본 논문에서는 국제표준에 의한 정보보호 방법론적 요소들을 살펴보고 조직의 정보보호 수준에 영향을 미치는 요인이 무엇인지를 파악하여 조직의 정보보호 수준을 끌어올리기 위한 정책 방향 수립에 활용할 수 있도록 하고자 한다.

• Proceedings of the Korean Operations and Management Science Society Conference
• /
• 2005.05a
• /
• pp.152-156
• /
• 2005

인터넷을 통해 정보통신시스템이 엄청난 속도로 발전하면서, 정보보호의 필요성은 기업이나 공공기관 등 각 조직에 있어서 필수불가결한 문제가 되었다. 정보보호가 성공적으로 이루어지기 위해서는 정보보호 관리체계의 확립과 정보보호의 목적과 목표를 명확히 하는 정보보호정책이 필수적이다. 정보보호정책은 조직의 유형에 따라 각 조직에 필요한 적절한 수준으로 수립되어야 한다. 본 연구에서는 조직의 유형을 교육/연구 기관, IT/제조업, 군/ 공공기관의 3가지로 구분하고 조직의 유형에 따른 정보보호정책 도입에 영향을 미치는 요인들 간의 차이를 통계적 방법을 통해 분석한다. 본 연구는 조직들간 정보보호정책 비교를 통해 조직의 유형에 따른 정보보호정책의 요구사항에 대해 제시함으로써 정보보호정책 도입을 위한 시사점을 제공한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.1
• /
• pp.197-209
• /
• 2015

The issue of information security within an organization began to be recognized as risk of the organization. Because of this, not only ISO(Information Security Officer) but an executive or CEO were forced to resign. In addition, it brought about heavy financial damage to the company and made the company difficult to restore trust to customers. At a time when inadvertent disclosure of personal information has become accepted as a matter of survival because of having a bad effect within an organization, how the information security specialist causes influence on information protection level of the organization. For these reasons, targeting the information security specialists of various industry sectors, we'll analyse how task performance rate of the information security specialist within an organization cause influence to the information security level. The goal of this study is for the company to raise the task proportion of information security specialist and to improve the information protection level of the organization.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.28 no.4
• /
• pp.941-950
• /
• 2018

The form of information security organization of a financial company has various organizational forms in accordance with the responsibilities and roles of the Chief Information Officer (CIO), the Chief Information Security Officer (CISO) and the Chief Privacy Officer (CPO). However, it is necessary to examine whether these various types of information protection organizations are the optimal organizational forms. In this study, six types of information security organizations among the various types of information security organizations in terms of CISO, CIO, and CPO relationship were selected as candidates. This paper aims to study and elucidate the optimal organizational form of information security for financial companies.

• The Journal of Society for e-Business Studies
• /
• v.20 no.2
• /
• pp.167-174
• /
• 2015

Information security organization has normally been organized under the IT department. However, as the importance of information security has gradually increased, the way of information security organized for enterprise security management has become a noteworthy issue. The need for separation of Information security organization from IT department is growing, such as restriction on the concurrent positions in CIO and CISO. Nowadays there are many studies about Information security organization while relatively there has been minimal research regarding a departmentalization. For these reasons this study proposes a Information Security Departmentalization Model which is based on business risk and reliance on the IT for effectively organizing Information security organization, using Contingency theory. In addition, this study classified the position of Information security organization into Planning & Coordination, Internal Control, Management and IT and analyze the strengths and weaknesses of each case.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.3
• /
• pp.131-142
• /
• 2008

Enterprises accomplish their missions through obtaining and managing information. The unintended disclose of enterprises' sensitive information causes serious damage to enterprises, resulting in disruptive management. For effective security of enterprises, information security management systems and information security policy owing clear goals should be firmly established. This study analyzes factors influencing maturity of information security policy and gives important hints to execute information security policy.

• 한국경영정보학회:학술대회논문집
• /
• 2008.06a
• /
• pp.669-679
• /
• 2008

정보사회의 도래와 인터넷의 확산으로 정보보호의 중요성이 증가함에 따라 기업과 조직에 있어서 정보보호는 경쟁적 우위를 확보하기 위한 도구임과 동시에 비즈니스를 안정적으로 수행하기 위한 필수 경영요구사항으로 등장하고 있다. 또한 기업자산의 일원으로써 보호되어야 하는 유 무형 정보자산의 가치는 더욱 높아지고 있으며, 이를 관리하는 조직과 기업의 효율적이고 효과적인 정보 자산 관리 및 정보보호 투자에 대한 중요성이 부각되고 있다. 그러나 조직의 정보보호 투자가 증가함에도 불구하고 이에 대한 성과측정을 위한 체계적 방법이 제시되지 않아 정보보호 투자 의사결정 및 개선방향 도출에 어려움이 있다. 기존의 재무적 측면위주의 정보보호 투자효과 분석은 정보보호 투자의 기회비용적인 특징으로 인해 체계적인 효과 분석 및 현황을 파악하기에는 부족하며 향후 정보보호 투자의 전략추진방향을 제시하기 어렵다. 본 논문에서는 정보보호 투자효과의 특성을 고려하여 균형성과표(Balanced Scorecard, BSC)관점의 정보 보호 투자 전략과 성과에 대한 인과관계를 분석하고자 한다. 따라서 기존 정보보호 투자효과 분석의 선행연구를 중심으로 핵심성공요인과 측정지표를 도출하고, 관련 기업 및 조직을 대상으로 설문조사를 통해 수집된 자료를 구조방정식모형(Structural Equation Model, SEM) 분석기법을 활용하여 실증분석 하고자 한다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.3 no.9
• /
• pp.301-310
• /
• 2014

The absence of proactive information security management to ensure availability, accessibility and safety of information can bring serious risks to customers as well as to the organization's performance and competitiveness because improper security management undermines business continuity. This study analyzed the maturity of information security which affects the organizational performance. Through the literature reviews, a research model using the organizational performance as the dependent variable, the risk management process maturity and risk assessment process as independent variables and the information security policy indexes as moderate variables was proposed, and an empirical analysis was made on the basis of survey. The results showed that there was a high causal relationship between information security maturity and organizational performance. However, even if the proportions of information security staff ratio and the information security budget ratio increased, information security maturity did not affect organizational performance. It suggests that information security maturity affects organizational performance, but information security regulations have their limitation as being a catalyst to improve organizational performance.

• Review of KIISC
• /
• v.21 no.2
• /
• pp.19-22
• /
• 2011

정보보호관리 표준은 ISO/IEC JTC1/SC27 WG1에서 주도적으로 진행하고 있으며, ITU-T SG17 Q.3에서는 SC27과의 긴밀한 협력 관계를 유지하면서 정보통신조직에 특화된 정보보호관리 표준에 치중하고 있다. 현재 제정된 정보보호관리 국제표준으로는 정보보호관리체계에 관한 요구사항 (27001) 및 통제표준 (27002)과 이와 관련된 지침 성격 표준들이 상당 부분 국제표준으로 발표되었다. 최근에는 기 발표된 국제표준에 대한 개정 작업과 정보통신조직, 금융조직 등 특정 산업이나 정보보호 거버넌스 등 특정 이슈에 해당되는 정보보호관리 표준 제정 작업이 한창 진행 중에 있다. 인터넷의 확산과 정보화의 역기능 증가에 따라 능동적인 정보보호관리체계의 수립을 위하여, 국내에서도 정보보호관리 표준의 제정 과정에 적극적으로 참여할 뿐 아니라 국내 많은 조직에서 정보보호관리 표준이 적용되어 전반적인 정보보호관리 수준이 향상 될 수 있도록 할 필요가 있다.

• Review of KIISC
• /
• v.13 no.2
• /
• pp.59-69
• /
• 2003

오늘날의 정보시스템 환경에서는 물리적인 접근 통제나 정보보호기술 측면에서의 통제만으로 정보자원을 효과적으로 보호하기 어렵다. 흔히 정보보호는 기술보다는 관리의 문제라고 한다. 따라서 효과적인 정보보호는 조직 구성원의 정보보호 중요성에 대한 인식을 전제로 하며, 인식을 높이기 위해서는 적절한 교육과 훈련이 수반되어야 한다. 본 연구에서는 사회심리학 관점으로부터 의사결정과정 측면과 교육 및 훈련의 효과성 측면에서 정보보호에 대한 사용자의 실제 행동과 내면화 과정을 규명하였다. 이를 토대로 조직 구성원이 지속적인 정보보호 실제 행동을 할 수 있는 정보 보호 교육 및 훈련 프레임워크를 제안하고, 구성요소별 전략과 프로그램의 실행 단계를 소개하였다.