• Information Systems Review
• /
• v.14 no.2
• /
• pp.21-46
• /
• 2012

Organizations that make widely use of information technologies can be more efficient. But, the dependence of information technologies leads to an increase in threat of security. This is the reason why organizations are investing in security risk management (SRM) which is designed to protect of information assets. Noting a lack of empirical research in SRM, we investigate the key factors having a direct effect on performance of SRM. Particularly, this study focused on identifying factors influencing awareness of SRM and Intention to develop SRM in Organization. Based on relevant literature review, six motivating factors, including Behavior for Security Management, Compliance with Security Policy, perceived Benefits, Perceived Sacrifice, Social Pressure, Experience of Security Risks, were initially identified. The results indicated that most perception factors were positively related to Organization's intention to develop SRM and awareness of SRM, which then had positive impact on performance of SRM. But Perceived Sacrifice was not significantly related to two variables which is Organization's intention to develop SRM and awareness of SRM.

• Proceedings of the Korea Society for Industrial Systems Conference
• /
• 2002.06a
• /
• pp.408-416
• /
• 2002

네트워크의 발달과 인터넷의 생활화로 컴퓨터 보안이 시대적인 중요문제로 부각하고 있다. 요즘 해킹으로 발생하는 재정적 손실은 특별하게 큰 사건이 아닌 경우에 언론에 보도되지 않을 정도로 만성적인 현상으로 인식되고 있으며 컴퓨터 범죄는 어느정도 사회현상의 하나로 여겨질 정도다. 그러나 컴퓨터 범죄를 퇴치하고 컴퓨터보안의 완벽성을 유지하고자 하는 기술적인 노력은 지속적으로 전개되고 있으나 컴퓨터 범죄는 오히려 늘어가고 있는 추세다. 이에따라 컴퓨터 범죄등 컴퓨터보안관리가 기술적인 수준에 머물지 않는 성격을 갖추고 있다는 인식이 최근들어 확산하고 있다고 할 수 있다. 이 논문은 이런 인식에서부터 출발해 새로운 개념으로 등장한 전사적 보안관리 (Enterprise Security Planning)와 컴퓨터 보안 위험 관리(Computer Security Risk Management)의 개념에 대한 이해를 중점적으로 제기했다. 또 컴퓨터 보안위험관리의 과정을 단계별로 검토해 컴퓨터 보안위험관리를 체계적으로 이해할수 있도록 제시했다. 마지막으로 본 논문은 전사적 보안관리와 컴퓨터 보안위험 관리차원에서 기업이 보안관리를 위해 갖춰야 할 새로운 흐름들, 예를 들어 보안관리자(Chief Security Officer) 제도와 보안보험 가입등 보안정책을 제시함으로써 컴퓨터범죄로부터 기업이 최대한의 안전성을 확보할 수 있는 경영전략의 틀을 제시했다.

• The Journal of Society for e-Business Studies
• /
• v.15 no.4
• /
• pp.143-163
• /
• 2010

The purpose of this study is to investigate the user's perception of security risk and examine its impact on the usage of Knowledge Management Systems(KMS). The findings of this study are three-fold. First, the overall user's perception of security risk is not high. However, there is a considerably big difference in the perception of security risk among users. This finding means that user's perception of a security risk is not based on the actual security effects but one's individual perception. Another finding is that user's perception of a security risk has a negative impact on the usage of KMS through "trust", which is a mediating variable in our study. This finding corresponds with the existing theory that security risk is oneof the critical sources of trust, and trust is a critical factor of user's acceptance of KMS. Finally, the result of this study reveals that activities devoted to security do not decrease the effectiveness and productivity of KMS. Our long-held cognition that security activity hinders the effectiveness and productivity of an information system is not particularly applied to the KMS.

• 한국경영정보학회:학술대회논문집
• /
• 2007.06a
• /
• pp.959-965
• /
• 2007

최근 정보시스템의 개방성과 접근성의 확대는 조직 내 외부로부터 보안위협을 증가시키고 있다. 일반적으로 정보시스템은 패스워드를 이용하여 사용자 인증과 자료의 접근을 제한하고 있으므로 패스워드의 선택은 정보보안에 있어서 매우 중요하다. 적절한 패스워드의 선택은 정보시스템의 오 남용 방지 및 불법적인 사용자의 제한 등의 보안효과를 가져올 것이다. 본 연구의 목적은 정보를 보호하기 위한 적절한 패스워드선택을 위한 사용자의 보안행위의도에 미치는 요인을 분석하는 것이다. 이를 위하여 정보시스템 사용자의 적절한 패스워드의 선택에 영향을 미치는 핵심적인 요인으로 위험분석 방법론을 토대로 한 위험을 활용한다. 또한 위험을 사용자의 보안의식과 패스워드 관리지침을 패스워드 선택의 태도에 영향을 미치는 요인으로 보고, 사용자의 적절한 패스워드의 보안행위의도를 TRA (Theory of Reasoned Action)를 기반으로 모형을 설계하였다. 본 연구를 분석한 결과 정보자산이 위험에 관련성이 없는 반면, 정보자산을 제외한 위협, 취약성, 위험, 사용자의 보안의식, 패스워드 보안상태, 보안행위의도는 요인간에 유의한 영향을 미치는 것으로 분석되었다.

• Information Systems Review
• /
• v.17 no.3
• /
• pp.39-64
• /
• 2015

As information and information technology become more important in competitive corporate environments, the risk of information security breaches has increased accordingly. Although organizations establish security measures to manage information security risks, members of organizations do not comply with them well, and their information security behavior intention is unclear. Therefore, to understand the information security risk management intention of the members of organizations, the present study developed a research model using Protection Motivation Theory, Supervisory Authority Pressure, and Background factors. This study presents empirical research findings based on the analysis of survey data from 201 members of financial institutions. Perceived Severity, Self-efficacy, and Supervisory Authority Pressure had a positive effect on intention; however, Perceived Vulnerability and Response Efficacy did not affect intention. Security Avoidance Habit, which was considered a background factor, had a negative effect on all parameters, and did not have an effect on intention. Security Awareness Training, another background factor, had a positive effect on information security risk management intention and perceived vulnerability, self-efficacy, response efficacy, and supervisory authority pressure, and had no effect on perceived severity. This study used supervisory authority pressure and background factors in the field of information security, and provided a basis to use supervisory authority pressure in future studies on behavior of organizations and members of an organization. In addition, the use of various background factors presented the groundwork for the expansion of protection motivation theory. Furthermore, practitioners can use the study findings as a foundation for organization's security activities, and to improve regulations.

• The KIPS Transactions:PartD
• /
• v.17D no.3
• /
• pp.223-232
• /
• 2010

This study was carried out for the purpose of inquiring into the effect of composition and security activities for information security architecture on information asset protection and organizational performance in terms of general information security. This study made a survey on 300 workers in the government, public institutions and private companies, which it showed that management factors of risk identification and risk analysis, in general, have an usefulness to composition and security activities for information security architecture to prevent inside information leakage. And the understanding and training factors of IT architecture and its component were rejected, requiring the limited composition and security activities for information security architecture. In other words, from the reality, which most institutions and organizations are introducing and operating the information security architecture, and restrictively carrying out the training in this, the training for a new understanding of architecture and its component as an independent variable made so much importance, or it did not greatly contribute to the control or management activities for information security as the generalized process, but strict security activities through the generalization of risk identification and risk analysis management had a so much big effect on the significant organizational performance.

• Proceedings of the Korea Society for Industrial Systems Conference
• /
• 2009.05a
• /
• pp.20-26
• /
• 2009

본 연구는 건물 내부에서 외부로 외부에서 내부로 출입하는 출입자를 정확히 파악하기 위하여 보안이 강화된 개별인증 출입보안시스템을 구축하는데 있다. 시스템 구현을 위해서 RFID 기술, 지문인식 기술을 적용한 통합인증단말기와 무게를 측정하는 전자저울을 활용 하였다. 개별 인증이 가능한 출입 인증 보안시스템을 구현한 결과를 요약하면, 첫째, 내부에서 외부로 나오는 경우와 외부에서 내부로 들어가는 경우를 분리한 이중 출입방식으로 외부인이 내부에서 나오는 사람의 인증만으로 쉽게 건물 안으로 진입하는 보안상의 문제점을 해결 하였다. 둘째, 건물 내부 물품을 외부로 유출할 시 무게 차이 때문에 출입문이 차단되어 관리자의 허락 없이는 물품을 밖으로 유출할 수 없게 되어 도난을 방지문제를 해결 하였다. 셋째, 몸무게 정보를 이용하여 출입자들이 동시에 출입문을 통과하지 못하도록 제한하여 모든 출입자의 로그정보를 정확하게 저장할 수 있도록 하였다. 넷째, 데이터베이스에 저장된 출입로그 데이터를 출퇴근 관리프로그램에 지원하여 급여 계산 및 인사 업무에 활용할 수 있도록 하였다. 다섯째, 건물에 화재가 나거나 폭탄 테러와 같은 위험 발생 시 출입자를 정확하게 파악할 수 있게 되어 용의자 파악이 용이하도록 하였다.

• Review of KIISC
• /
• v.21 no.5
• /
• pp.37-44
• /
• 2011

최근 들어 클라우드 컴퓨터의 도입에 있어 보안 및 개인정보보호가 핵심적인 요구사항으로 주목받고 있으며, 국내외 여러 조직에서는 클라우드 컴퓨팅 환경에서의 개인정보보호의 중요성을 인식하여 전사적이고 체계적인 접근법에 기초한 연구가 진행되고 있다. 본 논문에서는 클라우드 컴퓨팅의 보안을 다룬 NIST SP 800-144 문서를 기반으로 정보보호관리체제 (ISMS)에 대한 국제표준인 ISO 27002의 통제내용음 분석하고 이를 KISA-PIMS의 통제내용과 연결하여 도출하였다. 더불어, IPC 및 WPF등 해외에서 연구한 클라우도 컴퓨팅 개인정보보호 위험 및 요구사항을 KISA-PIMS의 통제목적과 비교 분석하는 한편, 클라우드 컴퓨팅 개인정보보호의 향후 연구 과제를 제시하고자 한다.

• Review of KIISC
• /
• v.24 no.5
• /
• pp.51-58
• /
• 2014

국내 IT 인프라 수준은 세계 최고임에도 불구하고 그에 미치지 못하는 정보보안체계로 많은 사이버 위협에 노출되어 있다. 이는 산업제어시스템 또한 점차 온라인상으로 제어되기 시작하면서, 국가 기반 시설인 에너지 기업에도 문제가 확대되고 있다. 산업제어시스템인 원자력 발전소 SCADA 시스템의 경우 최근 이란에서 스턱스넷 공격으로 인해 발전소 가동이 중단되는 사태가 발생하기도 하였다. 이러한 사이버 보안 위협 에 대응하기 위해 현재 도입된 정보보안체계는 다양한 분야별로 충분한 이해를 바탕으로 그 성격에 맞게 적용이 되어야 하지만 획일화 된 기준과 평가방식으로 비효율적인 결과를 만들고 있다. 이러한 문제를 인식하고 에너지 분야에 초점을 맞추어 그에 적합한 특화된 정보보호 관리체계를 수립하는 동시에 평가지수의 제도화 및 활성화를 제안하고자 한다. 이 제안을 통해 에너지기반 시설 위험을 방지하고 각종 위협에 대처능력이 향상 될 것을 기대한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.10a
• /
• pp.771-773
• /
• 2018

인공지능(AI), 사물인터넷(IoT)등의 4차 산업기술은 철도안전의 핵심수단으로 부상하고 있으며 차량, 위험관리, 운행관리, 보안관리 등의 점진적인 적용분야 확장을 통해 철도안전에 대한 신뢰성을 향상시킬 수 있는 방안에 대한 관심이 집중되고 있다. 본 논문에서는 IoT 기반의 다양한 철도인프라 데이터를 활용하여 열차주행상태에 영향을 줄 수 있는 이상상황 인식 모델 및 열차자율주행을 위한 제어기술에 필요한 정보로 인프라 상태를 제공하는 방식을 제안한다. 철도 인프라 상황인지에 필요한 데이터는 레일온도, 선로 지정물, 승객 수, 선로 적설량을 지정하였고, 제안 인식모델의 스게노 퍼지추론 방식을 적용한 후 철도차량 운전관련 취급규정 및 취급세척을 기반으로 퍼지규칙(Fuzzy Rule)을 15개 생성하였다. 인프라데이터셋을 활용하여 제안모델의 인식률 평가에 사용하였으며 인식률 결과는 약 86%의 정확성을 보였다. 퍼지추론 기반 방식의 철도인프라 이상상태 인식모델을 철도분야에 접목시킨다면 기존의 관제기반 방식보다 효율적인 철도인프라 상황인식이 가능할 것으로 판단된다.