Information Systems Review (경영정보학연구)

The Korea Society of Management Information Systems (한국경영정보학회)
권호 표지
DOI QR코드

DOI QR Code

The Effect of Managerial Information Security Intelligence on the Employee's Information Security Countermeasure Awareness

경영진의 정보보안 지능이 조직원의 보안대책 인식에 미치는 영향

  • Jin Young Han (College of ICT Engineering, Chung-Ang University) ;
  • Hyun-Sun Ryu (College of Software, Sungkyunkwan University)
  • 한진영 (중앙대학교 창의ICT공과대학) ;
  • 유현선 (성균관대학교 소프트웨어 대학)
  • Received : 2016.05.31
  • Accepted : 2016.09.13
  • Published : 2016.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

Organizations depend on smart working environments, such as mobile networks. This development motivates companies to focus on information security. Information leakage negatively affects companies. To address this issue, management and information security researchers focus on compliance of employees with information security policies. Countermeasures in information security are known antecedents of intention to comply information security policies. Despite the importance of this topic, research on the antecedents of information security countermeasures is scarce. The present study proposes information security intelligence as an antecedent of information security countermeasures. Information security intelligence adapted the concept of safety intelligence provided by Kirwan (2008). Information security intelligence consists of problem solving skills, social skills, and information security knowledge related to information security. Results show that problem solving skills and information security knowledge have positive effects on the awareness of employees of information security countermeasures.

조직의 비즈니스 환경이 스마트워크와 같이 모바일이나 네트워크에 의존하는 비중이 높아지면서, 기업들은 정보보안에 더 높은 관심을 가지게 되었다. 특히, 내부자의 의한 정보유출은 기업입장에서 상당히 부정적인 영향을 미치게 된다. 따라서 기업뿐 아니라 정보보안 관련 연구자들은 조직원의 정보보안 정책 준수에 초점을 두어 연구를 해왔다. 그 중에서 정보보안 대책(Information security countermeasure)은 조직원의 정보보안 정책 준수 의도의 선행요인으로 알려져 왔다. 하지만 조직원이 정보보안 대책을 인식하도록 하는 선행요인에 대한 연구는 미흡한 실정이다. 본 연구는 조직원의 보안대책 인식에 대한 선행요인으로 경영진의 정보보안 지능을 제안하고 이들의 관계를 실증적으로 연구하였다. 정보보안 지능은 Kirwan(2008)이 제안한 안전지능을 응용하여 정보보안 관련 문제해결능력, 사회적 역량, 정보보안 지식으로 구성된다. 연구결과 경영진의 정보보안 관련 문제해결 능력과 정보보안 지식은 조직원이 정보보안 정책 및 교육/훈련 프로그램을 인식하는데 긍정적인 영향을 미치는 것으로 나타났다.

Keywords

References

  1. 리얼미터, "카드 정보유출 이후 롯데, 국민, 농협카드 브랜드 지수 하락", 리얼미터, 2016. 5.27., Available at http://www.realmeter.net/2014/02/page/3/.2014. 
  2. 변상호, 김태윤, "재난과 재난관리정책의 재해석에 기반한 '재난대응 수행원칙'의 도출과 검증: 재난대응 사례에 대한 분석을 중심으로", 한국행정학보, 제48권, 제2호, 2014, pp. 109-136. 
  3. 안상호, "사상 초유의 카드사 고객정보 유출사고 발생", 뉴스메이커, 2016. 5. 27., Available at http://www.newsmaker.or.kr/news/articleView.html?idxno=4960, 2014. 
  4. 윤일한, 권순동, "정보보안 컴플라이언스와 위기대응이 정보보안 신뢰에 미치는 영향에 관한 연구", Information Systems Review, 제17권, 제1호, 2015, pp. 141-169.  https://doi.org/10.14329/isr.2014.17.1.141
  5. 이성규, 채명신, "산업보안정책 준수의지에 영향을 미치는 요인분석", 대한경영학회지, 제27권, 제6호, 2014, pp. 927-953. 
  6. 임명성, "조직 구성원들의 정보보안 정책 준수에 영향을 미치는 요인에 관한 연구: 금융서비스업을 중심으로", 서비스경영학회지, 제14권, 제1호, 2013, pp. 143-171.  https://doi.org/10.15706/JKSMS.2013.14.1.007007
  7. 임재명, 유지열, 신종환, 배향은, 2013년 정보보호실태조사-기업부문, 한국인터넷진흥원, 2013. 
  8. 한진영, 김유정, "정보보안 준수의도에 대한 사회심리적 요인 분석: 정보보안과 조직시민 행동이론 융합", 디지털융복합연구, 제13권, 제1호, 2015, pp. 133-44.  https://doi.org/10.14400/JDC.2015.13.8.133
  9. 황인호, 김대진, 김태하, 김진수, "조직의 정보보안 문화 형성이 조직 구성원의 보안 지식 및 준수의도에 미치는 영향 연구", Information Systems Review, 제18권, 제1호, 2016, pp. 1-23.  https://doi.org/10.14329/isr.2016.18.1.001
  10. Bulgurcu, B., H. Cavusoglu, and I. Benbasat, "Roles of information security awareness and perceived fairness in information security policy compliance", AMCIS 2009 Proceedings, p. 419, 2009. 
  11. Bulgurcu, B., H. Cavusoglu, and I Benbasat, "Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness", MIS Quarterly, Vol.34, No.3, 2010, pp. 523-548.  https://doi.org/10.2307/25750690
  12. Chan, M., I. Woon, and A. Kankanhalli, "Perceptions of information security in the workplace: Linking information security climate to compliant behavior", Journal of Information Privacy and Security, Vol.1, No.3, 2005, pp. 18-41.  https://doi.org/10.1080/15536548.2005.10855772
  13. Chin, W., "The partial least squares approach to structural equation modeling", Modern Methods for Business Resarch, Vol.295, No.2, 1998, pp. 295-336. 
  14. Chin, W., B. Marcolin, and P. Newsted, "A partial least squares latent variable modeling approach for measuring interaction effects: Results from aMonte carlo simulation study and an electronic-mail emotion/adoption study", Information Systems Research, Vol.14, No.2, 2003, pp. 189-217.  https://doi.org/10.1287/isre.14.2.189.16018
  15. D'Arcy, J., A. Hovav, and D. Galletta, "User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach", Information Systems Research, Vol.20, No.1, 2009, pp. 79-98.  https://doi.org/10.1287/isre.1070.0160
  16. Finkelstein, S., "Power in top management teams: Dimensions, measurement, and validation", Academy of Management Journal, Vol.35, No.3, 1992, pp. 505-538.  https://doi.org/10.2307/256485
  17. Fornell, C. and D. Larcker, "Evaluating structural equation models with unobservable variables and measurement error", Journal of Marketing Research, Vol.18, No.1, 1981, pp. 39-50.  https://doi.org/10.1177/002224378101800104
  18. Fruhen, L., K. Mearns, R. Flin, and B. Kirwan, "Safety intelligence: An exploration of senior managers' characteristics", Applied Ergonomics, Vol.45, No.4, 2014, pp. 967-975.  https://doi.org/10.1016/j.apergo.2013.11.012
  19. Fruhen, L., K. J. Mearns, R. H. Flin, and B. Kirwan, "From the surface to the underlying meaning-an analysis of senior managers' safety culture perceptions", Safety Science, Vol.57, August 2013, pp. 326-334.  https://doi.org/10.1016/j.ssci.2013.03.006
  20. Goel, S. and I. N. Chengalur-Smith, "Metrics for characterizing the form of security policies", Journal of Strategic Information Systems, Vol.19, No.4, 2010, pp. 281-295.  https://doi.org/10.1016/j.jsis.2010.10.002
  21. Griffin, M. A. and A. Neal, "Perceptions of safety at work: A framework for linking safety climate to safety performance, knowledge, and motivation", Journal of Occupational Health Psychology, Vol.5, No.3, 2000, p. 347. 
  22. Haeussinger, F. and J. Kranz, "Information security Awareness: Its antecedents and mediating effects on security compliant behavior", Thiry Fourth International Conference on Information Systems, 2013, pp. 189-217. 
  23. Harper, A. C., J. L. Cordery, N. H. de Klerk, P. Sevastos, E. Geelhoed, C. Gunson, L. Robinson, M. Sutherland, D. Osborn, and J. Colquhoun, "Curtin industrial safety trial: Managerial behavior and program effectiveness", Safety Science, Vol.24, No.3, 1996, pp. 173-179.  https://doi.org/10.1016/S0925-7535(96)00077-X
  24. Hofstede, G. and G. Hofstede, Culture's Consequences: International Differences in Work-Related Values, Sage Publications, 1984. 
  25. Hong, K. S., Y. P. Chi, L. R. Chao, and J. H. Tang, "An Integrated system theory of information security management", Information Management & Computer Security, Vol.11, No.5, 2003, pp. 243-248.  https://doi.org/10.1108/09685220310500153
  26. Hopkins, A., "Management walk-arounds: Lessons from the Gulf of Mexico oil well blowout", Safety Science, Vol.49, No.10, 2011, pp. 1421-1425.  https://doi.org/10.1016/j.ssci.2011.06.002
  27. Hovav, A. and J. D'Arcy, "Applying an extended model of deterrence across cultures: An investigation of information systems misuse in the US and South Korea", Information & Management, Vol.49, No.2, 2012, pp. 99-110.  https://doi.org/10.1016/j.im.2011.12.005
  28. Kankanhalli, A., H. H. Teo, B. C. Tan, and K. K. Wei, "An integrative study of information systems security effectiveness", International Journal of Information Management, Vol.23, No.2, 2003, pp. 139-154.  https://doi.org/10.1016/S0268-4012(02)00105-6
  29. Kirwan, B., "From safety culture to safety intelligence", Probabilty Safety Assessment and Management Conference (PSAM9), 2008. 
  30. Knapp, K. J., T. E. Marshall, R. K. Rainer, and F. F. Nelson "Information security: Management's effect on culture and policy", Information Management & Computer Security, Vol.14, No.1, 2006, pp. 24-36.  https://doi.org/10.1108/09685220610648355
  31. Knapp, K. J., R. F. Morris, T. E. Marshall, and T. A. Byrd, "Information security policy: An organizational-level process model", Computers & Security, Vol.28, No.7, 2009, pp. 493-508.  https://doi.org/10.1016/j.cose.2009.07.001
  32. Podsakoff, M. P., B. S. MacKenzie, J. Y. Lee, and N. P. Podsakoff, "Common method biases in behavioral research: A critical review of the literature and recommended remedies", Journal Applied Psychology, Vol.88, No.5, 2003, pp. 879-890.  https://doi.org/10.1037/0021-9010.88.5.879
  33. Ponemon Institute, Cost of Data Breach Study, Ponemon Institute LLC, North Traverse City, Michigan, 2012. 
  34. Tenenhaus, M., V. E. Vinzi, Y. M. Chatelin, and C. Lauro, "PLS path modeling", Computational Statistics & Data Analysis, Vol.48, No.1, 2005, pp. 159-205.  https://doi.org/10.1016/j.csda.2004.03.005
  35. Thomson, K. L., R. von Solms, and L. Louw, "Cultivating an organizational information security culture", Computer Fraud & Security, Vol.2006, No.10, 2006, pp. 7-11.  https://doi.org/10.1016/S1361-3723(06)70430-4
  36. Wetzels, M., G. Odekerken-Schroder, and C. Van Oppen, "Using PLS path modeling for assessing hierarchical construct models: Guidelines and empirical illustration", MIS Quarterly, Vol.33, No.1, 2009, pp. 177-195.  https://doi.org/10.2307/20650284
  37. Yim, M. S., "A path way to increase the intention to comply with information security policy of employees", Journal of Digital Convergence, Vol.10, No.10, 2012, pp. 119-128.  https://doi.org/10.14400/JDPM.2012.10.10.119
  38. Zohar, D. and G. Luria, "A multilevel model of safety climate: Cross-level relationships between organization and group-level climates", Journal of Applied Psychology, Vol.90, No.4, 2005, p. 616.