Information Systems Review (경영정보학연구)

The Korea Society of Management Information Systems (한국경영정보학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis on ISMS Certification and Organizational Characteristics based on Information Security Disclosure Data

정보보호 공시 데이터를 이용한 정보보호 관리체계 인증과 조직의 특성 분석

  • SunJoo Kim (Department of Convergence Security, Chungbuk National University) ;
  • Tae-Sung Kim (Department of MIS; Cybersecurity Economics Research Institute, Chungbuk National University)
  • 김선주 (충북대학교 대학원 융합보안협동과정) ;
  • 김태성 (충북대학교 경영정보학과/보안경제연구소)
  • Received : 2023.08.06
  • Accepted : 2023.10.06
  • Published : 2023.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

The Information Security Management System (ISMS) is a protection procedure and process that keeps information assets confidential, flawless, and available at any time. ISMS-P in Korea and ISO/IEC 27001 overseas are the most representative ISMS certification systems. In this paper, in order to understand the relationship between ISMS certification and organizational characteristics, data were collected from Korea Internet & Security Agency (KISA), Ministry of Science and ICT, Information Security Disclosure System (ISDS), Financial Supervisory Service, Data Analysis, Retrieval and Transfer System (DART), and probit regression analysis was performed. In the probit analysis, the relationship with four independent variables was confirmed for three cases: ISMS-P acquisition, ISO/IEC 27001 acquisition, and both ISMS-P and ISO/IEC 27001 acquisition. As a result of the analysis, it was found that companies that acquired both ISMS-P and ISO/IEC 27001 had a positive correlation with the total number of employees and a negative correlation with business history. In addition, the improvement direction of the ISMS-P certification system and information security disclosure system could also be confirmed.

정보보호 관리체계(Information Security Management System, ISMS)는 정보 자산의 기밀을 유지하고 결함이 없게 하며 언제든 사용할 수 있게 하는 보호 절차와 과정이고, 국내의 ISMS-P와 국외의 ISO/IEC 27001이 가장 대표적인 ISMS 인증제도이다. 본 논문에서는 ISMS 인증과 조직의 특성과의 관계를 파악하기 위해서 한국인터넷진흥원(KISA), 과학기술정보통신부 전자공시시스템(ISDS), 금융감독원 전자공시시스템(DART)로부터 데이터를 수집하고, Probit 회귀 분석을 실시하였다. Probit 분석 시 ISMS-P 취득여부, ISO/IEC 27001 취득여부, ISMS-P와 ISO/IEC 27001 모두 취득여부의 세 가지 경우에 대해 독립변수 4개와의 관련성을 확인하였다. 분석 결과, ISMS-P, ISO/IEC 27001 모두 취득한 기업은 총 임직원 수와는 양의 상관관계, 업력과는 음의 상관관계가 있음을 알 수 있었다. 이외에도 ISMS-P 인증제도와 정보보호 공시제도의 개선방향에 대해서도 확인할 수 있었다.

Keywords

References

  1. 강성민, 장강일, "기업의 IT 투자 평가 효율화를 위한 지표 도출 및 투자관리체계에 관한 사례 연구", 경영정보학연구, 제7권, 제1호, 2005, pp. 219-239.
  2. 과학기술정보통신부, 2022 정보보호 공시 현황 분석보고서, 2022.
  3. 구 정보통신망이용촉진및정보보호등에관한 법률(2001. 12. 31. 법률 제6585호로 개정되기 전의 것) 제47조.
  4. 구 전자정부 정보보호관리체계 인증지침 (2014. 4. 16. 안전행정부훈령 제39호로 폐지).
  5. 구 정보통신망이용촉진및정보보호등에관한 법률(2004. 12. 30. 법률 제7262호로 개정되기 전의 것) 제46조의3.
  6. 구 정보통신망이용촉진및정보보호등에관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것) 제47조의3.
  7. 구 정보통신망이용촉진및정보보호등에관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것) 제47조.
  8. 구 개인정보 보호 인증제 운영에 관한 규정(2021. 8. 30. 행정안전부고시 제2021-72호로 폐지).
  9. 구 개인정보보호 관리체계 인증 등에 관한 고시 (2021. 8. 30. 행정안전부고시 제2021-72호 폐지).
  10. 구 정보통신망이용촉진및정보보호등에관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것) 제47조.
  11. 구 정보보호산업의 진흥에 관한 법률(2023. 4. 18. 법률 제19351호로 개정되기 전의 것).
  12. 구 정보보호산업의 진흥에 관한 법률 시행령(2022. 3. 8. 대통령령 제32528호로 개정되기 전의 것).
  13. 구 (과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(2018. 11. 7. 고시 제2020-37호로 개정되기 전의 것).
  14. 김동현, 이윤호, "보안 7대 위협을 이용한 ISMS-P 인증효과에 관한 연구: 기업규모와 경력 중심으로", 한국정보기술학회논문지, 제18권, 제4호, 2020, pp. 109-119. https://doi.org/10.14801/jkiit.2020.18.4.109
  15. 김양훈, 나영섭, 장항배, "소규모 IT 서비스 기업비즈니스 특성을 고려한 보안 관리모델 실증연구", 경영정보학연구, 제14권, 제3호, 2012, pp. 131-141.
  16. 김원, 조용연, 강승찬, "정보보호 및 개인정보보호 관리체계의 인증 의무대상자 확대 방안 연구", 차세대융합기술학회논문지, 제6권, 제8호, 2022, pp. 1353-1364. https://doi.org/10.33097/JNCTA.2022.06.08.1353
  17. 김정완, "공공부문 'G-ISMS' 인증 본격 개시!", 보안뉴스, 2010년 7월 19일자, Available at https://www.boannews.com/media/view.asp?idx=22031, 2023년 7월 25일 접속.
  18. 다래나무주식회사, 해외보안인증제도 연구조사, 한국인터넷진흥원, 2020.
  19. 박혁규, 강완석, 신광성, "정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증 제도에서 중소기업 기반 평가항목 도출에 관한 연구", 한국정보통신학회 종합학술대회 논문집, 제25권, 제2호, 2021, pp. 578-579.
  20. 신용녀, "하이퍼 스케일 클라우드에 적합한 정보보호 및 개인정보보호 관리체계 인증 통제항목 연구", 한국인터넷방송통신학회논문지, 제23권, 제3호, 2023, pp. 19-26. https://doi.org/10.7236/JIIBC.2023.23.3.19
  21. 원병철, "ISMS-P 통합인증 본격 시행 1년, 개인정보보호수준↑ 인증비용↓", 보안뉴스, 2020년 5월 7일자, Available at https://www.boannews.com/media/view.asp?idx=88037, 2023년 7월 29일 접속.
  22. 장상수, 정보보호 및 개인정보보호 관리체계개론, 생능출판사, 2020, pp. 31-37.
  23. 임정현, 김태성, "침해사고 통계 기반 정보보호 투자 포트폴리오 최적화 유전자 알고리즘 접근법", 경영정보학연구, 제22권, 제2호, 2020, pp. 201-217. https://doi.org/10.14329/isr.2020.22.2.201
  24. 한국인터넷진흥원, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도 안내서. 2021.
  25. 한국인터넷진흥원 전자서명인증관리센터, "5월 7일, '방송통신융합 환경에서 기업정보보호 전략 세미나' 열려", 2009.05.05., Available at https://www.rootca.or.kr/kor/notice/dataView.jsp?p_No=8&b_No=8&d_No=313, 2023년 7월 25일 접속.
  26. 한국인터넷진흥원 정보보호 공시 종합 포털, "제도안내", Available at https://isds.kisa.or.kr/kr/subPage.do?menuNo=204924, 2023년 5월 7일 접속.
  27. 한국인터넷진흥원, GDPR 대응지원 센터, Available at https://gdpr.kisa.or.kr/index.do, 2023년 6월 11일 접속.
  28. 한국인터넷진흥원, 인증서 발급현황, Available at https://isms.kisa.or.kr/main/ispims/issue/, 2023년 6월 24일 접속.
  29. Alshitri, K. I. and A. N. Abanumy, "Exploring the reasons behind the low ISO 27001 adoption in public organizations in Saudi Arabia", 2014 International Conference on Information Science & Applications, 2014, p. 1.
  30. Bartnes Line, M., I. Anne Tondel, and M. G. Jaatun, "Current practices and challenges in industrial control organizations regarding information security incident management - Does size matter? Information security incident management in large and small industrial control organizations", International Journal of Critical Infrastructure Protection, Vol. 12, pp. 12-26, 2016. https://doi.org/10.1016/j.ijcip.2015.12.003
  31. BSI, "ISO/IEC 27001 International Information Security Standard published," 2005.11.02. Available at https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2005/11/ISOIEC-27001-International-Information-Security-Standard-published/, 2023년 5월 7일 접속.
  32. BSI, "ISO/IEC 27001 International Information Security Standard published", 2005.11.02., Available at https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2005/11/ISOIEC-27001-International-Information-Security-Standard-published/, 2023년 6월 24일 접속.
  33. BSI, "The new ISO/IEC 27001:2022 standard", Available at https://www.bsigroup.com/en-us/iso27001/revision/, 2023년 6월 24일 접속.
  34. Bundesamt fur Sicherheit in der Informationstechnik, "ISO 27001 Zertifizierung auf Basis von IT-Grundschutz", Available at https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-g rundschutz_node.html, 2023년 6월 11일 접속.
  35. Bundesamt fur Sicherheit in der Informationstechnik, IT-Grundschutz-Compendium, 2022.
  36. Bundesamt fur Sicherheit in der Informationstechnik, "Was sind Kritische Infrastrukturen?", Available at https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html, 2023년 6월 11일 접속.
  37. CDC, "Health Insurance Portability and Accountability Act of 1996 (HIPAA)", Available at https://www.cdc.gov/phlp/publications/topic/hipaa.html, 2023년 6월 11일 접속.
  38. Chang, H., "Is ISMS for financial organizations effective on their business?", Mathematical and Computer Modelling, Vol.58, No.1-2, 2013, pp. 79-84. https://doi.org/10.1016/j.mcm.2012.07.018
  39. Chen, J., J. Zhang, R. Qian, J. Yuan, and Y. Ren, "An anomaly detection method for wireless sensor networks based on the improved isolation forest", Applied Sciences, Vol.13, No.2, 2023, p. 702.
  40. ENISA, Supporting the implementation of Union policy and law regarding cybersecurity, Available at https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new, 2023년 6월 11일 접속.
  41. European Commission, "Directive on measures for a high common level of cybersecurity across the Union(NIS2 Directive)", Available at https://digital-strategy.ec.europa.eu/en/policies/nis2-directive, 2023년 6월 11일 접속.
  42. GOV.UK, "Government mandates new cyber security standard for suppliers", 2014.09.26., Available at https://www.gov.uk/government/news/government-mandates-new-cyber-security-standard-for-suppliers, 2023년 6월 11일 접속.
  43. GOV.UK., "Cyber Essentials scheme: Overview", Available at https://www.gov.uk/government/publications/cyber-essentials-scheme-overview, 2023년 6월 11일 접속.
  44. HHS, "Health Information Privacy", Available at https://www.hhs.gov/hipaa, 2023년 6월 11일 접속.
  45. Hsu, C. W., "Frame misalignment: Interpreting the implementation of information systems security certification in an organization", European Journal of Information Systems, Vol.18, No.2, 2009, pp. 140-150. https://doi.org/10.1057/ejis.2009.7
  46. ISO, ISO/IEC 27001:2013, Available at https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en, 2023년 5월 7일 접속.
  47. ISO, ISO Survey 2021 results - Number of certificates and sites per country and the number of sector overall, Available at https://www.iso.org/committee/54998.html?t=KomURwikWDLiuB1P1c7SjLMLEAgXOA7emZHKGWyn8f3KQUTU3m287NxnpA3DIuxm&view=documents#section-isodocuments-top, 2023년 5월 7일 접속.
  48. ISO, "ISO/IEC 27001", Available at https://www.iso.org/standard/27001, 2023년 5월 7일 접속.
  49. Lesniak, A., M. Juszczyk, and G. Piskorz, "Modelling delays in bridge construction projects based on the logit and probit regression", Archives of Civil Engineering, Vol.65, No.2, 2019, pp. 107-120. https://doi.org/10.2478/ace-2019-0022
  50. Longras, A., T. Pereira, P. Carneiro, and P. Pinto, "On the track of ISO/IEC 27001:2013 implementation difficulties in Portuguese organizations", 2018 International Conference on Intelligent Systems, 2018, pp. 886-890.
  51. Mirtsch, M., K. Blind, C. Koch, and G. Dudek, "Information security management in ICT and non-ICT sector companies: A preventive innovation perspective", Computers & Security, Vol.109, 2021, p. 102383.
  52. Mirtsch, M., J. Kinne, and K. Blind, "Exploring the adoption of the international information security management system standard ISO/IEC 27001: A web mining-based analysis", IEEE Transactions on Engineering Management, Vol.68, No.1, 2021, pp. 87-100. https://doi.org/10.1109/TEM.2020.2977815
  53. NCSC, IASME, Cyber Essentials Self-Assessment Preparation Booklet, 2022.
  54. Ngenoh, E., B. K. Kurgat, H. K. Bett, S. W. Kebede, and W. Bokelmann, "Determinants of the competitiveness of smallholder African indigenous vegetable farmers in high-value agro-food chains in Kenya: A multivariate probit regression analysis", Agricultural and Food Economics, Vol.7, No.1, 2019, pp. 1-17. https://doi.org/10.1186/s40100-019-0122-z
  55. Nikita, E. and P. Nikitas, "Sex estimation: A comparison of techniques based on binary logistic, probit and cumulative probit regression, linear and quadratic discriminant analysis, neural networks, and naive Bayes classification using ordinal variables", International Journal of Legal Medicine, Vol.134, No.3, 2020, pp. 1213-1225. https://doi.org/10.1007/s00414-019-02148-4
  56. NIST Special Publication 800-53 Rev.5. Security and Privacy Controls for Information Systems and Organizations, September, 2020.
  57. O'Brien, R. M., "A caution regarding rules of thumb for variance inflation factors", Quality & Quantity, Vol.41, No.3, 2007, pp. 673-690. https://doi.org/10.1007/s11135-006-9018-6
  58. Roberts, J., G. Popli, and R. J. Harris, "Do environmental concerns affect commuting choices?: Hybrid choice modelling with household survey data", Journal of the Royal Statistical Society. Series A, Statistics in Society, Vol.181, No.1, 2018, pp. 299-320. https://doi.org/10.1111/rssa.12274
  59. Siponen, M. and R. Willison, "Information security management standards: Problems and solutions", Information & Management, Vol.46, No.5, 2009, pp. 267-270. https://doi.org/10.1016/j.im.2008.12.007
  60. Sun, J. and S. Lyu, "The effect of medical insurance on catastrophic health expenditure: Evidence from China", Cost Effectiveness and Resource Allocation, Vol.18, No.1, 2020, pp. 10-10. https://doi.org/10.1186/s12962-020-00206-y
  61. Van Wessel, R. and H. J. de Vries, "Business impact of international standards for information security management. Lessons from case companies", Journal of ICT Standardization, Vol.1, 2013, pp. 25-40. https://doi.org/10.13052/jicts2245-800X.122
  62. Zhang, Y. and J. Ye, "Risk preference of top management team and the failure of technological innovation in firms-based on principal component analysis and probit regression", Journal of Intelligent & Fuzzy Systems, Vol.40, No.1, 2021, pp. 1161-1173. https://doi.org/10.3233/JIFS-201516
  63. Zhao, Y., B. Lehman, R. Ball, J. Mosesian, and J. de Palma, "Outlier detection rules for fault detection in solar photovoltaic arrays", 2013 Twenty-Eighth Annual IEEE Applied Power Electronics Conference and Exposition, 2013, pp. 2913-2920.