정보보안정책 준수가 정보보안능력 및 행동에 미치는 영향 분석 : 해운항만조직 구성원을 대상으로

An Analysis of Compliance with Information Security Policy Effects on Information Security Ability and Behavior : Focused on Workers of Shipping and Port Organization

  • 강다연 (한국해양대학교 대학원 해운경영학과) ;
  • 장명희 (한국해양대학교 해운경영학부)
  • 투고 : 2014.02.22
  • 심사 : 2014.03.14
  • 발행 : 2014.03.31

초록

최근 발생한 고객정보유출사고는 조직의 정보보안 강화에 대한 관심과 전담조직의 중요성을 고조시키고 있다. 이에 따라 기업들은 정보보안 강화를 위해 정보보안정책을 마련하고 있으며, 조직구성원들로 하여금 보안정책을 준수하도록 권고하고 있다. 해운항만 조직에서도 정보보안을 위해 정보보안정책을 체계화시키고 조직구성원들의 정보보안능력과 정보보안행동을 평가할 필요성이 있다. 본 연구의 목적은 해운항만조직 구성원들을 대상으로 정보보안정책 준수 정도가 정보보안능력과 정보보안행동에 미치는 영향을 분석하는데 있다. 분석결과, 먼저 해운항만조직 구성원의 정보보안정책 준수에 영향을 미치는 요인으로 정보보안규범과 정보보안교육을 확인할 수 있었고, 정보보안처벌은 정보보안정책 준수에 유의한 영향을 미치지 않는 것으로 분석되었다. 해운항만조직 구성원의 정보보안정책 준수정도는 정보보안능력과 정보보안행동에 유의한 영향을 미치는 결과를 확인할 수 있었다.

Recent accidents of customer information leakage increase the necessity of information security for organization and the importance of information security team for it. To strengthen information security, organizations make information security policy and ask the members to comply with it. In this regard, maritime organization also needs to structure information security policy and examine its ability and behavior. The purpose of this study is to analyze the effects of compliance with information security policy on the ability and behavior of workers in shipping and port organization. The results of investigation show that information security education and norm affect compliance with information security of the workers. On the contrary, the punishment of information security is insignificant. It is shown that the degree of compliance with information security significantly affects its ability and behavior of the workers in shipping and port organization.

키워드

참고문헌

  1. 강다연.장명희, "해운항만조직 구성원들의 정보보안정책 준수에 영향을 미치는 요인", 한국항만경제학회지, 제28권 제1호, 2012, 1-23.
  2. 강재영, "항만물류보안관리 시스템의 체계화와 일원화 방안", 법과 정책연구, 제13권 제2호, 2013, 389-436.
  3. 구태언, "기업의 순환계 IT System과 정보보안의 중요 이슈", DIGIECO Focus, 2011.
  4. 노순동, "기업체의 효율적인 보안관리 모델",산업보안논총, 창간호, 2004, 79-101.
  5. 문현정, "우리나라 중소기업의 정보 보호 역량 강화를 위한 교육 훈련 현황과 문제점", 정보보호학회지, 제19권 제1호, 2009, 29-39.
  6. 백민정.송승희 "조직의 정보윤리실천이 구성원의 정보보안인식과 행동에 미치는 영향에 관한 연구", 경상논총, 제28권 제4호 2010, 119-145.
  7. 보안뉴스, 카드사 개인정보 유출사고 문제점 5가지, 2014. 2. 21.
  8. 보안뉴스, 개인정보유출 막는 '긴급7대보안수칙' 발표, 2012, 2. 20.
  9. 안중호.박준형.성기문.이재홍, "처벌과 윤리 교육 이정보 보안 준수에 미치는 영향: 조직유형의 조절효과를 중심으로",Information Systems Review, 제2권 제호 2010, pp.23-42.
  10. 윤한성, "정보보안 및 정보시스템자산 관리를 위한 내부 감시, 통제시스템", Information Systems Review, 제9권, 제1호, 2007, 121-137.
  11. 이선중.이미정, "정보보호문화의 평가지표에 관한 탐색적 연구", 정보화정책, 제15권 제3호, 2008, 100-119.
  12. 임채호, "효과적인 정보보호인식제고 방안", 정보보호학회지, 제16권 제2호, 2006, 30-36.
  13. Berejikian, J., "A Cognitive Theory of Deterrence," Journal of Peace Research, Vol.39, 2002, 165-183. https://doi.org/10.1177/0022343302039002002
  14. Bandura, A., Self-Efficacy: The Exercise of Control. New York: W. H. Freeman, 1977.
  15. Bulgurcu, B., Cavusoglu, H. and Benbasat I., "Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness," MIS Quarterly, Vol.34, No.3, 2010, 523-548. https://doi.org/10.2307/25750690
  16. Cavusoglu, H. and Son, J., Information Security Control Resources in Organization: A Multidimensional View and Their Key Drivers, 2009.
  17. Chen, C., Medlin, B. and Shaw, R., "A Cross-Cultural Investigation of Situational Information Security Awareness Programs," Information Management and Computer Security, Vol.16, No4, 2008, 360-376. https://doi.org/10.1108/09685220810908787
  18. Choi, N., Kim, D., and Whitmore, A., "Knowing is Doing," Information Management and Computer Security, Vol.16, No.5, 2008, 484-501. https://doi.org/10.1108/09685220810920558
  19. Gist, M. E., "Self-efficacy: Implications for Organizational Behavior and Human Resource Management," Academy of Management Review, Vol.12, 1987, 472-485.
  20. Goodhue, D. and Straub, D., "Security Concerns of System User: A Study of Perceptions of the Adequacy of Security," Information and Management, Vol.20, No.1, 1991, 13-27. https://doi.org/10.1016/0378-7206(91)90024-V
  21. Halibozek, E., and Kovacich, G., "Mergers and Acquisitions Security: Corporate Restructuring and Security Management," Burlington MA: Elsevier Butterworth-Heinemann, 2005. 57.
  22. Hecker, J. Z., "Port Security: Nation Faces Formidable Challenges in Marking New Initiatives Successful", U. S. General Accounting Office, August 1, 2002 ; Harrald, J. R., et al., "A Framework for Sustainable Port Security," Journal of Homeland Security and Emergency Management, Vol.1, No.2, 2004, 1-13.
  23. Knapp, K., Marshall, T., Rainer, R., and Ford, F., "Managerial Dimensions in Information Security: A Theoretical Model of Organizational Effectiveness. White Paper," Information Systems Security Certification Consortium (ISC), Vol.2. 2005.
  24. Kurland, N., "Ethical Intentions and the Theories of Reasoned Action and Planned Behavior1," Journal of Applied Social Psychology , Vol.25, No.4, 2006, 297-313.
  25. Layton, T., Information Security Awareness: The Psychology Behind the Technology, Author House. 2005.
  26. Lebow, R. and Stein, J., "Deterrence: The Elusive Dependent Variable," World Politics: A Quarterly Journal of International Relations, Vol.42, No.3, 1990, pp. 336-369. https://doi.org/10.2307/2010415
  27. Lee, S. M., Lee, S. G. and Yoo, S., "An Integrative Model of Computer Abuse Based on Social Control and General Deterrence Theories," Information and Management, Vol.41, No.6, 2004, 707-718. https://doi.org/10.1016/j.im.2003.08.008
  28. Nosworthy, J., "Implementing Information Security in the 21 super(st) Century-do You have the Balancing Factors?," Computer and Security, Vol.19, No.4, 2000, 337-347. https://doi.org/10.1016/S0167-4048(00)04021-9
  29. Pahnila S., Siponen, M., Mahmood, A., "Employees' Behavior towards IS Security Policy Compliance," Proceedings of the 40th Annual Hawaii International Conference on System Sciences, January 03-06, 2007, p.156.
  30. Piquero, N. L., Tibbetts, S. G. and Blankenship, M. B., "Examining the Role of Differential Association and Techniques of Neutralization in Explaining Corporate Crime," Deviant Behavior, Vol.26, No.2, 2005, 159-188. https://doi.org/10.1080/01639620590881930
  31. Rogers, E. M., Diffusion of Innovations. 3rd ed., New York: The Free Press. 1983.
  32. Straub, D. and Welke, R., "Coping with Systems Risk: Security Planning Models for Management Decision Making," MIS Quarterly, Vol.22, No.4, 1998, 441-469. https://doi.org/10.2307/249551
  33. Siponen and Vance. M., "A Conceptual Foundation for Organization Information Security Awareness, Information," Management and Computer Security, Vol.8, No.1, 2000, 31-41.
  34. Theoharidou, M., Kokolakis, S., Karyda, M., and Kiountouzis, E., "The Insider Threat to Information Systems and The Effectiveness of ISO17799," Computers and Security, Vol.24, 2005, 472-484. https://doi.org/10.1016/j.cose.2005.05.002
  35. Solms, B., "Information Security-A Multidimensional Discipline," Computer and Security, Vol.20, No.6, 2001, 504-508 https://doi.org/10.1016/S0167-4048(01)00608-3
  36. Workman, M., and Gathegi, J., "Punishment and Ethics Deterrents: A Study of Insider Security Contravention," Journal of the American Society for Information Science and Technology, Vol.58, No.2, 2006, 212-222.