• Journal of Information Technology Applications and Management
• /
• 제22권4호
• /
• pp.225-251
• /
• 2015

This paper analyzed factors for employees to violate information security policy in financial companies based on the theory of reasoned action (TRA), general deterrence theory (GDT), and information security awareness and moderating effects of perceived sensitivity of customer information. Using the 376 samples that were collected through both online and offline surveys, statistical tests were performed. We found that the perceived severity of sanction and information security policy support to information policy violation attitude and subjective norm but the perceived certainty of sanction and general information security awareness support to only subjective norm. Also, the moderating effects of perceived sensitivity of customer information against information policy violation attitude and subjective norm were supported. Academic implications of this study are expected to be the basis for future research on information security policy violations of financial companies; Employees' perceived sanctions and information security policy awareness have an impact on the subjective norm significantly. Practical implications are that it can provide a guide to establish information security management strategies for information security compliance; when implementing information security awareness training for employees to deter violations by emphasizing the sensitivity of customer information, a company should make their employees recognize that the customer information is very sensitive data.

• 디지털융복합연구
• /
• 제11권2호
• /
• pp.19-32
• /
• 2013

본 연구의 목적은 왜 조직 구성원들이 정보보안 정책을 위배하는지에 대해 알아보기 위해 도덕적 해방이론을 기반으로 수행되었다. 분석 결과 도덕적 신념과 처벌에 대한 인지는 보안 정책 위배에 유의한 영향을 미치는 것으로 나타났다. 반면 도덕적 해당이 존재할 경우 처벌에 대한 인지는 유의하지 않은 것으로 나타났다. 마지막으로 정보보안 인식교육과 도덕적 신념, 그리고 처벌에 대한 인지는 도덕적 해방에 유의한 영향을 미치는 것으로 나타났으며, 도덕적 해방은 정보보안 정책 위배에 유의한 영향을 미치는 것으로 나타났다.

• Asia pacific journal of information systems
• /
• 제33권4호
• /
• pp.863-898
• /
• 2023

Previous studies have shown that insiders pose risks to the security of organisations' secret information. Information security policy (ISP) intentional violation can jeopardise organisations. For years, ISP violations persist despite organisations' best attempts to tackle the problem through security, education, training and awareness (SETA) programs and technology solutions. Stopping hacking attempts e.g., phishing relies on personnel's behaviour. Therefore, it is crucial to consider employee behaviour when designing strategies to protect sensitive data. In this case, organisations should also focus on improving employee behaviour on security and creating positive security perceptions. This paper investigates the role of psychological capital (PsyCap), punishment and organisational security resources in influencing employee behaviour and ultimately reducing ISP violations. The model of the proposed study has been modified to investigate the connection between self-efficacy, resilience, optimism, hope, perceived sanction severity, perceived sanction certainty, security response effectiveness, security competence and ISP violation. The sample of the study includes 364 bank employees in Jordan who participated in a survey using a self-administered questionnaire. The findings show that the proposed approach acquired an acceptable fit with the data and 17 of 25 hypotheses were confirmed to be correct. Furthermore, the variables self-efficacy, resilience, security response efficacy, and protection motivation directly influence ISP violations, while perceived sanction severity and optimism indirectly influence ISP violations through protection motivation. Additionally, hope, perceived sanction certainty, and security skills have no effect on ISP infractions that are statistically significant. Finally, self-efficacy, resiliency, optimism, hope, perceived severity of sanctions, perceived certainty of sanctions, perceived effectiveness of security responses, and security competence have a substantial influence on protection motivation.

• 정보보호학회논문지
• /
• 제22권1호
• /
• pp.107-115
• /
• 2012

우리나라의 정보화 수준과 비교하여 정보보호 수준은 상대적으로 낮다. 정보보호 예산 수준 역시 전체 정보화 예산대비 5%대로 미미하며 기업들의 사후대응 중심의 정보보호 조치는 반복적인 피해비용을 야기한다. 정보보호 침해사고에 대한 대응은 사후대응 체계에서 예방과 사전탐지 중심으로 바뀌어야한다. 정보사회에서의 침해사고 대응은 개인의 책임보다는 국가와 기업이 공동으로 대처해야할 영역이라는 인식 전환이 필요하다. 2004년 정보보호조치 및 안전진단 관련 지침이 고시되면서 우리나라도 침해사고 예방을 위한 제도적 기반을 마련하였다. 하지만 제도적으로 시행되고 있는 관리적, 기술적, 물리적 보호조치가 실제 침해사고 대응에 완벽한 예방책이 되지는 못한다. 본 연구에서는 현행 제도적 보호조치의 예방 효과에 대해 살펴보고 제도적 한계와 개선점을 도출하여 기업들이 실질적인 목표 보안수준을 유지하기 위해 필요한 효과적인 침해 예방 대응책으로써의 선행위협 관리 모델을 제안한다.

• 경영정보학연구
• /
• 제18권4호
• /
• pp.17-42
• /
• 2016

금융회사의 정보보안사고는 정당한 접근 권한을 가진 내부자에 의해 발생하는 사례가 증가하고 있으며, 특히 외주직원에 의한 사고가 증가하고 있다. 금융회사의 외주용역 증가에 따라, 내부자 위협관점에서 정당한 권한을 가진 외주직원은 조직의 정보보안정책을 위반할 수 있는 위협적인 존재가 되고 있다. 본 연구의 목적은 내부직원과 외주직원의 차이를 분석하고 정보보안정책의 위반요인을 확인하여 금융회사의 정보보안정책이 바르게 작용할 수 있도록 하기 위함이다. 금융회사 조직원의 정보보안정책에 대한 위반요인에 대해 계획된 행동이론, 일반억제이론 및 정보보안인식을 기초하여 연구모형을 설계하고, 내부직원과 외주직원 간의 차이를 분석하였다. 분석에 사용된 설문은 온라인과 오프라인으로 수집된 363개의 샘플이 사용되었으며, 그룹 간 차이를 분석하기 위해 내부직원 246명(68%)과 외주직원 117명(32%)을 두 그룹으로 나누어 다중 집단 분석을 이용하였다. 차이 분석을 수행한 결과, 외주직원은 내부직원과 달리 정보보안정책에 대한 위반의도가 정보보안정책에 대한 주관적규범에 영향을 받지 않고 정보보안정책에 대한 행동통제에 영향을 받아 억제되는 것으로 나타났다. 이는 외주직원은 자신이 스스로 할 수 있다고 여기는 자기효능감과 같은 요인에 의해 정보보안정책에 대한 위반의도가 통제되는 것을 나타내는 것이며, 외주직원관리에 이를 응용하여 정보보안교육을 내부직원과 달리 정보보안정책에 대한 조직의 기대를 강조하기보다는 스스로 지킬 수 있을 정도로 외주직원이 기술을 가지고 있음을 강조하고 쉽게 지킬 수 있다는 것을 강조하면 더욱 효과적일 것이다. 결론적으로 금융회사의 외주직원에 대한 정보보안교육 프로그램은 정보보안정책에 대한 이해도를 높일 수 있도록 하여야 하며, 외주직원관리에서는 외주직원이 스스로 지킬 수 있도록 쉬운 보안체계를 유지하는 것이 효과적이라 할 수 있다.

• 정보화정책
• /
• 제25권3호
• /
• pp.95-115
• /
• 2018

본 연구는 조직 구성원들의 보안정책 위반의도를 설명하기 위해 사람-환경 적합 모델(P-E Fit Model: Person-Environment Fit Model)을 기반으로 연구하였다. 보안정책 위반의도에 있어서 조직이 제공하는 보안 환경과 보안에 대한 개인의 가치 간 관계가 어떤 영향을 미치는지 설명하고자 하였다. 조직 구성원이 관찰할 수 있는 보안 환경을 조직의 정보보안 문화와 동료의 보안 준수 행동으로 설정하였고 보안에 대한 개인적 가치는 도덕 이탈 이론에서 제시하는 행동의 재구성, 결과의 왜곡, 조직의 가치감소로 설정하였다. 도덕 이탈 이론의 구성 개념을 바탕으로 조직원의 보안 위반에 대한 인식을 2차 요인(Second Order)으로 측정하였다. 인식의 측정은 조직 내에서 흔히 일어날 수 있는 패스워드 공유 상황을 시나리오로 제시하여 설문을 조사하였다. 연구 결과, 정보보안 문화가 조직의 가치감소에 통계적으로 유의한 영향을 미쳤으나 행동의 재구성과 결과의 왜곡에는 유의한 영향을 미치지 않았다. 동료의 보안 행동은 보안 위반 행동에 대한 재구성, 결과의 왜곡, 조직의 가치감소에 유의한 영향을 미쳤으며 행동의 재구성, 결과의 왜곡, 조직의 가치감소는 조직원의 보안정책 위반의도에 유의한 영향을 미쳤다. 본 연구는 실제 조직 내에서 발생하는 문제를 적용했다는 점에서 실무적인 기여도가 있을 것으로 판단된다.

• Asia pacific journal of information systems
• /
• 제26권1호
• /
• pp.163-188
• /
• 2016

Compliance with information security policies has been an important managerial concern in organizations. Unlike traditional general deterrent theory, this study proposes whistle-blowing as an alternative approach for reducing internal information security policy violations. We build on the theories of planned behavior and rational choice as well as develop a theoretical model to understand the factors that influence whistle-blowing attitudes and intention at both the organizational and individual levels. Our empirical results reveal that altruistic and egoistic concerns are involved in the development of whistle-blowing attitudes. The results not only extend our understanding of whistle-blowing motivation but also offer directions to managers in promoting internal disclosure of information security breaches.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제7권3호
• /
• pp.558-575
• /
• 2013

The purpose of a data leakage prevention system is to protect corporate information assets. The system monitors the packet exchanges between internal systems and the Internet, filters packets according to the data security policy defined by each company, or discretionarily deletes important data included in packets in order to prevent leakage of corporate information. However, the problem arises that the system may monitor employees' personal information, thus allowing their privacy to be violated. Therefore, it is necessary to find not only a solution for detecting leakage of significant information, but also a way to minimize the leakage of internal users' personal information. In this paper, we propose two models for representing the level of personal information disclosure during data leakage detection. One model measures only the disclosure frequencies of keywords that are defined as personal data. These frequencies are used to indicate the privacy violation level. The other model represents the context of privacy violation using a private data matrix. Each row of the matrix represents the disclosure counts for personal data keywords in a given time period, and each column represents the disclosure count of a certain keyword during the entire observation interval. Using the suggested matrix model, we can represent an abstracted context of the privacy violation situation. Experiments on the privacy violation situation to demonstrate the usability of the suggested models are also presented.

• 융합보안논문지
• /
• 제9권4호
• /
• pp.1-6
• /
• 2009

현재 산업보안의 패러다임은 단순한 보안장비 설치에서 효율적인 운영 관리로 바뀌어 가고 있다. 물리적 보안시스템(출입통제시스템, 영상보안시스템 등)과 IT 통합보안관제시스템이 융합하면 기업의 위험관리 및 보안관리를 통하여 내부자의 정보유출을 획기적으로 예방, 차단하고, 사후 추적등을 가능케 해준다. 즉, 기존의 물리적 보안과 IT 보안인력의 추가적인 확충이 없어도 단시간 내에 체계적인 융합보안관리 프로세스 확립이 가능해져 전문 조직 체제를 상시 운영하는 효과를 기대할 수 있게 된다. 이제 개별 기술로 IT보안 및 물리보안 영역의 보안이벤트 수집 및 통합관리, 보안사고 발생시 사후 연계 추적 관리, 정보유출 보안위반 사항에 대한 패턴 정의 및 실시간 감시, 보안위반 정보유출 시도에 대한 신속한 판단 및 대응/조치, 단계적 체계적 보안정책 수립 및 융합보안의 통합보안관리체계 확립이 필요하다.

• 정보보호학회논문지
• /
• 제15권3호
• /
• pp.13-29
• /
• 2005

역할기반 접근제어의 중요한 특징은 그 자체가 정책 중립적이라는 데 있다. 이것은 역할기반 접근제어에는 특정한 접근제어 정책이 내포되어 있다기 보다 응용 환경에 따라 요구되는 정책을 쉽게 표현할 수 있다는 것을 의미한다. 이런 이유로 전통적인 접근제어 정책인 강제적 접근제어 정책과 임의적 접근제어 정책을 역할기반 접근제어 모델로 구성 가능함을 보이고자 하는 연구가 진행되어 왔다. 특히, 역할기반 접근제어를 이용하여 강제적 접근제어를 표현하는 연구에서는 낮은 보안등급에서 높은 보안등급으로의 단방향 정보흐름을 유지할 수 있는 두 가지 규칙인 하향 갱신금지 규칙과 상향 판독 금지 규칙을 준수할 수 있도록 역할기반 접근제어의 일부 컴포넌트(사용자, 역할, 역할 계층, 세션)들을 재구성하고 제약사항들을 추가함으로써 해결하는데 초점을 두고 있다. 그러나 이런 기존 연구들은 비밀성 보장에 초점을 두었지만 실제 일부분에서 비밀성이 보장되지 못하고 있음을 밝힌다. 추가로 권한이 없는 사용자에 의한 정보 수정을 막는 무결성이 위반되고 있음을 밝힌다. 본 논문은 강제적 접근제어 정책에서 요구하고 있는 비밀성과 무결성을 동시에 만족시키는 역할기반 접근제어 모델을 제안한다. 역할기반 접근제어의 일부 컴포넌트들을 재구성하고 추가적인 제약사항들을 제안하였다.