DOI QR코드

DOI QR Code

A Study on the Effects of Information Security Policy Types and Information Security Stress on Information Security Behavior

정보보안 정책 유형과 보안 스트레스가 정보보안 행동에 미치는 영향에 대한 연구

  • Received : 2022.02.27
  • Accepted : 2022.03.29
  • Published : 2022.03.31

Abstract

Despite the limitations of existing security policies due to technological development, companies are unable to actively respond to changes by maintaining a closed security policy. This study classified information security policy into three types: regulatory type policy, advisory type policy, and informative type policy. For each classified policy type, the effect on the information security policy compliance behavior of organizational members was investigated by applying the extended theory of planned behavior, and the moderating effect of information security stress was investigated. SmartPLS 2.0 and SPSS 21.0, which are structural equation modeling techniques, were used to analyze the relationship affecting each factor. As a result of the study, regulatory type, advisory type, and informative type security policies affected organizational members' information security policy compliance behavior, and security stress had an effect on information security compliance attitudes and subjective norms on information security, which are prerequisites for planned behavior theory. gave. This study suggests that various types of corporate information security policies can be applied and that security stress can affect information security behaviors of members.

기술 발달에 따른 기존 보안정책의 한계에도 불구하고 기업은 폐쇄적 보안정책을 유지함으로써 변화에 능동적으로 대응하지 못하고 있다. 본 연구는 정보보안 정책을 3가지 유형인 규제형 정책, 권고형 정책 그리고 고지형 정책으로 분류하였다. 분류된 각 정책의 유형은 확장된 계획행동이론을 적용하여 조직 구성원의 정보보안 정책 준수행동에 주는 영향을 규명하고 보안 스트레스의 조절효과를 살펴보았다. 각 요인들 간에 영향을 미치는 관계를 분석하기 위해서는 구조방정식모델링 기법인 SmartPLS 2.0과 SPSS 21.0을 활용하였다. 연구 결과 규제형, 권고형 그리고 고지형 정보보안 정책은 조직 구성원의 정보보안정책 준수행동에 영향을 주었으며 보안 스트레스는 계획된 행동이론의 선행요인인 정보보안 순응태도와 정보보안에 대한 주관적 규범에 영향을 주었다. 본 연구를 통해 기업의 정보보안 정책에 다양한 유형이 적용될 수 있음과 보안스트레스가 구성원의 정보보안 행동에 영향을 줄 수 있음이 제시되었다.

Keywords

References

  1. 노광태 & 이민화(2016), "산업 패러다임변화와 보안정책 의사결정모델에 대한 연구", 한국경영학회 통합학술발표논문집, 2016.08, pp.2305-2318.
  2. Industry Survey White Paper(2021), CIISec Report
  3. Ajzen, I(1991), "The Theory of Planned Behavio," Organizational Behavior and Human Decision Processes, Vol. 50, No. 2, pp.179-211. https://doi.org/10.1016/0749-5978(91)90020-T
  4. Fishbein M. and Ajzen(1975), "I, Belief, Attitude, Intention and Behavior: An Introduction to Theory and Research," Addition-Wesley, Reading, Ma.
  5. 허윤주.이기종 (2016). 문화자본이 문화예술관광 태도 및 행동의도에 미치는 영향. 관광레저연구, 28(6), 139-157.
  6. Armitage, C. J. & Conner, M.(2001). Efficacy of the theory of planned behaviour: Ameta-analytic review. British Journal of Social Psychology, 40(4), 471-49.
  7. 이후석.오민재 (2016). 확장된 계획행동이론을 적용한 부산국제영화제 방문객의 행동의도 분석. 관광연구저널, 30(8), 91-104.
  8. B. Bulgurcu, H. Cavusoglu and I. Benbasat, "Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness", MIS Quarterly, Vol. 34, No. 3, pp. 523-548, 2010.
  9. R. West, "The Psychology of Security", Communications of the ACM, Vol. 51, No. 4, pp. 34-40, 2008. https://doi.org/10.1145/1330311.1330320
  10. M. Fishbein and I. Ajzen, Belief, Attitude, Intention and Behavior: An Introduction to Theory and Research, Reading, MA: Addison-Wesley Publishing Company, 1975.
  11. T. Herath and H. R. Rao, "Encouraging Information Security Behaviors in Organizations: Role of Penalties, Pressures and Perceived Effectiveness", Decision Support Systems, Vol. 47, No. 2, pp.154-165, 2009. https://doi.org/10.1016/j.dss.2009.02.005
  12. M. Siponen, S. Pahnila and M. A. Mahmood, "Compliance with Information Security Policies: An Empirical Investigation", Computer, Vol. 43, No. 2, pp. 64-71, 2010.
  13. R. Von Solms, "Information Security Management: Why Standards are Important", Information Management & Computer Security, Vol. 7, No. 1, pp. 50-58, 1999.
  14. 김도형 (2021). "금융회사를 위한 기업 정보보호 포털(EISP) 시스템의 설계 및 구현 ". 한국융합보안학회 융합보안논문지, Vol.21 no.1(2021). pp.101-106.
  15. S. Lee, S. Lee and S. Yoo, "An Integrative Model of Computer Abuse Based on Social Control and General Deterrence Theories", Information & Management, Vol. 41, No. 6, pp. 707-718, 2004. https://doi.org/10.1016/j.im.2003.08.008
  16. C. T. Upfold and D. A. Sewry, "An Investigation of Information Security in Small and Medium Enterprises (SMEs) in the Eastern Cape", In: H. S. Venter, J. H. P. Eloff, L. Labuschagne, & M. M. Eloff (Eds.), Proceedings of the ISSA 2005 new knowledge today conference, 29 June-1 July 2005, South Africa, Article 082, pp.1-17, 2005.
  17. Kim, Su Hyun (2013), A Research on Information Security Policy Compliance Activity's Effect on Stress: Centered on Compliance Activity Type p.2.
  18. http://www.zdnet.co.kr/news/news_view.asp?\artice_id=20141127123339&type=det&re=,zdnet korea article, KISA (SNC 2015) Jung, Kyoung-Ho, (2014.11.27.).
  19. Sung Min Ryu (2013), Study on information security stress in Public Enterprise (K공사사례를 중심으로).
  20. 임광수 (2016), "통제수용자에 의해 인지된 정보보안정책 특성요인이 보안스트레스와 보안준수의도에 미치는 영향", 고려대 석사학위논문.
  21. Jeong-Ha Lee (2015). A Study on the Factors for Violation of Information Security Policy in Financial Companies : Moderating Effects of Perceived Customer Information Sensitivity. Journal of Information Technology Applications & Management, 22(4), 225-251.
  22. 신혜원 (2012). 기업 내 정보유출방지를 위한 내부자 위험도 분석 방법론 연구. 한국정보과학회 학술발표논문집, 39(1C), 295-297.
  23. 박의천, 전기석 (2021). "軍조직구성원의 보안환경 영향요인이 보안 스트레스와 보안준수행동에 미치는 영향 연구". 한국융합보안학회 융합보안논문지, Vol.21 no.3(2021). pp.93-104.
  24. 정혜인 (2016), "조직구성원들의 정보보안행동에 미치는 영향: 보호동기이론(PMT)과 계획된 행동이론(TPB) 통합을 중심으로" 남서울대학교 석사 학위논문.
  25. Bulgurcu, B., Cavusoglu, H., and Benbasat, I(2010), "Information Security Policy Compliance : An Empirical Study of Rationality-based Beliefs and Information Security Awareness," MIS Quarterly, Vol. 34, No. 3, pp. 523-548. https://doi.org/10.2307/25750690
  26. Bulgurcu B. H and Cavusiglu, H(2009), "Roles of Information Security Awreness and Perceived Fairness in information Security Policy Compliance," AMCIS 2009 Proceeding, p. 419.
  27. 홍세희 (2000), "구조방정식 모형의 적합도 지수 선정기준과 그 근거". 한국심리학회. <한국심리학회지 : 임상> 제19권 제1호.