• Review of KIISC
• /
• v.17 no.4
• /
• pp.26-33
• /
• 2007

정보사회의 도래와 인터넷의 확산으로 정보보호의 중요성에 대한 인식은 매우 높아졌으나 정보보호에 대한 투자는 인식수준만큼 확대되지 않고 있다. 조직의 정보보호 투자가 지속적으로 이루어짐에도 불구하고 정보보호의 투자효과를 분석하기 위한 분석기준과 정보보호 투자대상이 명확하지 않아 정보보호 투자 의사결정 및 정보보호 개선 방향 도출에 어려움이 있다. 본 연구에서는 정보보호 투자 효과에 관한 연구의 고찰을 통하여 정보보호 투자 효과의 개념을 명확히 하고, 정보보호 투자 효과에 대한 연구 현황을 분석함으로써 향후정보보호 투자 경제성 연구방향에 대한 시사점을 제시하고자 한다.

• 한국경영정보학회:학술대회논문집
• /
• 2008.06a
• /
• pp.669-679
• /
• 2008

정보사회의 도래와 인터넷의 확산으로 정보보호의 중요성이 증가함에 따라 기업과 조직에 있어서 정보보호는 경쟁적 우위를 확보하기 위한 도구임과 동시에 비즈니스를 안정적으로 수행하기 위한 필수 경영요구사항으로 등장하고 있다. 또한 기업자산의 일원으로써 보호되어야 하는 유 무형 정보자산의 가치는 더욱 높아지고 있으며, 이를 관리하는 조직과 기업의 효율적이고 효과적인 정보 자산 관리 및 정보보호 투자에 대한 중요성이 부각되고 있다. 그러나 조직의 정보보호 투자가 증가함에도 불구하고 이에 대한 성과측정을 위한 체계적 방법이 제시되지 않아 정보보호 투자 의사결정 및 개선방향 도출에 어려움이 있다. 기존의 재무적 측면위주의 정보보호 투자효과 분석은 정보보호 투자의 기회비용적인 특징으로 인해 체계적인 효과 분석 및 현황을 파악하기에는 부족하며 향후 정보보호 투자의 전략추진방향을 제시하기 어렵다. 본 논문에서는 정보보호 투자효과의 특성을 고려하여 균형성과표(Balanced Scorecard, BSC)관점의 정보 보호 투자 전략과 성과에 대한 인과관계를 분석하고자 한다. 따라서 기존 정보보호 투자효과 분석의 선행연구를 중심으로 핵심성공요인과 측정지표를 도출하고, 관련 기업 및 조직을 대상으로 설문조사를 통해 수집된 자료를 구조방정식모형(Structural Equation Model, SEM) 분석기법을 활용하여 실증분석 하고자 한다.

• 한국경영정보학회:학술대회논문집
• /
• 2007.06a
• /
• pp.970-973
• /
• 2007

정보보호의 중요성에 대한 인식은 매우 높아졌으나 정보보호에 대한 투자는 인식수준만큼 확대되지 않고 있다. 이는 정보보호 투자는 기업의 정보이용환경에 많은 변화를 가져오지만 투자효과에 대한 세부적 분석과 투자대상이 명확하지 않고, 그 효과를 측정하기 어려운 것이 주요원인이다. 본 연구에서는 기업과 조직에 적합한 정보보호 투자를 위한 선행 과제로 비용 및 효과요인을 분석하고자 한다. 이를 통해 기업에 적합한 정보보호 투자 대안을 선정하기 위한 연구모형을 제시한다. 기업의 정보보호 투자 의사결정시 계량화하기 어려운 기준들을 이용해서 합리적인 투자 대안을 선정하는데 활용될 수 있을 것이다.

• Proceedings of the Korea Technology Innovation Society Conference
• /
• 2005.10a
• /
• pp.282-295
• /
• 2005

본 연구는 기업이 정보보호 투자 시 필요로 하는 경제성 평가의 접근방법을 제시한다. 기업은 윤리경영을 기초로 사업과 서비스를 통한 수익창출을 목표로 한다. 그리고 기업은 안정적인 사업, 서비스의 정보환경을 확보, 유지하기 위해 지속적인 정보보호 활동을 통하여 Risk를 줄이는 작업을 해 오고 있다. 기업의 정보보호 활동과 패턴은 초기의 정보보호 기본기능을 도입, 구축하는 단계에서 탈피하여 점진적으로 종합적인 관리체계로 발전되고 있으며 이와 병행하여 산출되는 정보와 정규화 되는 Data를 기초로 정량적인 관리가 이루어 지 는 시점에 와 있다. 기업의 정보보호 투자에 대한 경제적인 효과를 체계적으로 평가하고 관리하는 활동은 아직도 초기단계에 머무르고 있다. 그러므로 기업이 정보보호 투자 시 발생되는 피해비용의 감소와 사업 및 서비스 등에서 예측되는 경제가치 창출에 대한 기대효과의 정량적인 관리를 통해 투자의 기준을 제시하여 기업에서 효과적인 정보보호 투자가 이루어지도록 함에 있다.

• Journal of Digital Convergence
• /
• v.11 no.1
• /
• pp.99-106
• /
• 2013

Personal information protection has become one of the most impending business issues because leakage of personal information can cause tremendous financial losses and image degradation. Consequently, personal information protection initiatives have been recognized widely in business. To invigorate personal information protection investments, performance measurement method such as cost benefits analysis or qualitative analyses are needed, which have not been studied enough in the previous studies. This study proposes a performance measurement model which can include quantitative and qualitative analyses in the context of personal information protection investments. A comparative analysis has been performed on security investment and IT investment performance measurements, which leads to choose the WiBe method (developed by the German Interior Ministry), considering the privacy characteristics and the method's applicability. In particular, the quantitative effect measured how proactive threat assessment based on the way according to the nature of the businesses and organizations of privacy and possible investment decisions. This study proposes the 16 performance indicators, which turn out to be meaningful in terms of their materiality and feasibility by conducting focus group interviews of 25 experts on personal information protection.

• KIPS Transactions on Computer and Communication Systems
• /
• v.1 no.3
• /
• pp.229-242
• /
• 2012

Although many companies acknowledge the necessity of investment of information security, it is difficult to grasp a tangible effect and to calculate a scale of damage from the security incident. Consequently, companies are under the reality that it is not easy to make an investment decision for information security and to calculate the investment scale. For the investment decision making, although there are several traditional techniques of investment analysis, the investment of information security, comparing to other tangible assets, has limitations in using traditional techniques due to the highly uncertain investment effects. In this study, the traditional technique of investment analysis will be described, and the application method of analytic technique for Real Option, which is developed from the evaluation technique of highly uncertain financial futures and options, will be suggested.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.05a
• /
• pp.1125-1128
• /
• 2007

보안 취약성이 끊임없이 보고되고 있다. 이는 보안솔루션의 초기 효과수준을 유지하기 위해서는, 새로운 취약성이 보고되면 즉시 대처하는 지속적 관리활동이 필요함을 뜻한다. 한편 기업성과 개선을 위한 IT투자성과관리가 강조되는 가운데, 정보보호 솔루션 도입 시 재무적 타당성 증명이 요구되고 있다. 이를 위해 여러 형태의 ROSI(Security ROI)가 제시되었으나, 지속적 보호활동에 따른 관리비용이 중요하게 다루어져야 함에도 불구하고 비용에 대한 고려가 적고 효과산정에만 치우쳐, 경영자의 의사 결정을 지원하는 실제적인 재무 성과지표로 활용될 수 없었다. 이에 본 논문은 조직수준의 비용효과 최적화를 추구하는 정보보호 관리체계에 기반을 두어 효과를 산정하고, 비용 산정은 지속적 관리활동이라는 특징을 반영하여 TCO에 기반을 둔 개선된 ROSI를 제안한다. 또한, 제안한 ROSI를 활용한 보안솔루션 평가사례를 제시한다. 증명이 어려운 정보보호 분야 투자타당성 증명은 물론 보안솔루션 선택 시 실제적인 의사결정 판단근거로서 활용될 수 있다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2017.10a
• /
• pp.349-352
• /
• 2017

Since the early 2000s, many information security professionals have sought to measure the effectiveness of information security investments. Such efforts have devised a number of ways to calculate the return in ROSI (Return On Security Investment) including the Gordon & Loeb method for calculating cyber damage. However, due to the characteristics of information security structure, the lack of relate information sharing, and many qualitative factors are included, the damage calculation is inaccurate.. This study reviews related studies, analyzes the Gordon & Loeb method and the Shin-Jin method, which are considered to be the most efficient of the existing methods, and designs improved methods.

• Information Systems Review
• /
• v.25 no.4
• /
• pp.27-45
• /
• 2023

The importance of information security has grown alongside the development of information and communication technology. However, companies struggle to select suitable countermeasures within their limited budgets. Sönmez and Kılıç (2021) proposed a model using AHP and mixed integer programming to determine the optimal investment combination for mitigating information security breaches. However, their model had limitations: 1) a lack of objective measurement for countermeasure efficacy against security threats, 2) unrealistic scenarios where risk reduction surpassed pre-investment levels, and 3) cost duplication when using a single countermeasure for multiple threats. This paper enhances the model by objectively quantifying countermeasure efficacy using the beta probability distribution. It also resolves unrealistic scenarios and the issue of duplicating investments for a single countermeasure. An empirical analysis was conducted on domestic SMEs to determine investment budgets and risk levels. The improved model outperformed Sönmez and Kılıç's (2021) optimization model. By employing the proposed effectiveness measurement approach, difficulty to evaluate countermeasures can be quantified. Utilizing the improved optimization model allows for deriving an optimal investment portfolio for each countermeasure within a fixed budget, considering information security costs, quantities, and effectiveness. This aids in securing the information security budget and effectively addressing information security threats.

• Journal of Digital Contents Society
• /
• v.19 no.8
• /
• pp.1515-1525
• /
• 2018

Security threats in the 4th Industrial Revolution have expanded to the issue of safety, but the environment for information security of domestic companies is still at a low level. This study aims to propose policy implications by empirically analyzing factors affecting investment intention. We investigated the state of information security and protection behavior and expanded UTAUT to investigate correlations. The results showed that information assets affect facilitating conditions, and perceived and new concerns have impacts on social influence. Social influence affect experience and habits, but the impact on security investment intentions was rejected. Facilitation conditions, previous experiences and habits have great influences on investment intention, new service security investment intention. The influence of perceived and new concern are low or rejected. There are moderating effects between types of business, size, security organization, experience of infringement, security personnel ratio, and personal information collection. This study will help to establish policies for enhancing the level of information security.