기업 정보보호 활동을 위한 조직 구성원들의 태도와 주요 영향 요인
Primary Factors Affecting Corporate Employees’ Attitudes Toward Information Security
박준경(LG CNS 구매부); 김범수(연세대학교); 조성우(University of Liverpool)
40권 4호, 955~985쪽
초록
기업에서는 정보를 보호하기 위해 보안 시스템을 구축한 후 다양한 정책을 마련할 뿐만 아니라 조직 구성원의 보안 의식을 고취시키기 위한 활동도 더불어 실행하고 있다. 이러한 노력은 구성원에게 지속적으로 사내 홍보와 교육을 통하여 전달되고 있다. 현실은 아직도 개인의 보안 인식의 부족으로 인하여, 기업의 중요 정보의 유출이 빈번하게 일어나고 있다. 본 연구는 이런 현상을 설명하기 위하여 기업의 정보를 보호를 위한 다양한 활동에 영향을 주는 요인들을 조사하였으며,기술수용모델(Technology Acceptance Model, TAM)을 바탕으로 억제이론(Deterrence theory)과 통제이론(Control theory)의 관점에서 접근해 보았다. 먼저 기술수용모델을 바탕으로 정보 보호에 대한 조직 구성원의 수용 태도에 영향을 주는 요인으로 지각된 유용성과 지각된 사용 편의성을 선정하였다. 이러한 요인은 억제이론의 보안 정책, 보안 시스템, 보안 교육 등의 변수를 유용성과 편의성 관점에서 추출하였으며, 통제이론에서는 처벌과 보상이라는 변수를 조직 구성원의 태도에 영향을 주는 요인으로 선택하였다. 정책, 시스템, 교육, 보상과 처벌이 정보 보호를 위한 기업자체의 노력에 대한 것이라면 개인적인 측면 역시 조직 구성원의 태도에 영향을 줄 수 있다. 그러므로 개인적인 경험, 실제 위험에 대한 인식, 보안과 업무 연관성 등을 추가적인 변수로 활용하였다. 실증분석을 위한 자료 수집은 설문조사를 통해 이루어졌으며 인터넷 설문을 통하여 수집된 총 242부의 자료가 분석에 사용되었다. 회귀 분석 결과 인지된 보안 교육과 보상의 유용성, 인지된 처벌의 유용성 그리고 보안에 관련된 위험 인식이기업 조직 구성원의 태도에 직접적이고 긍정적인 영향을 미치는 것으로 나타났다. 본 연구 결과 기업에서는 보안 교육을강화해야 할 필요가 있으며, 정보 보호에 대한 동기를 유발시키기 위한 적절한 보상이 필요함을 알 수 있었다. 또한 이러한 결과는 개인에 대한 처벌이 강화되고 보안에 관련된 위험 인식이 높아진다면 조직 구성원이 지속적인 정보 보호를 위해 노력하게 될 것임을 시사한다.
Abstract
Businesses have been adopting security systems and making a variety of practical policies promoting and implementing information security awareness among employees in order to safeguard valuable corporate information and resources. To achieve this goal, firms implement public relations activities and offer security and privacy education for their staffs continuously;in reality, however, corporate confidential information can be frequently stolen due to lack of employees' security awareness. The main purpose of this study is to investigate employees'attitudes toward enterprise information security based on the technology acceptance model (TAM) from both deterrence and control theory perspectives. Technology acceptance models present perceived usefulness and the perceived ease of use as primary factors that affect employees' attitudes toward security. In relation to perceived usefulness and convenience, security policy, security systems, and education are chosen from deterrence theory. From control theory, punishment and rewards are identified as variables influencing employees' attitudes toward security. In addition to these variables, personal level characteristics can also play a role in shaping individuals' security attitude. Thus, personal experience, perceived risk, and the level of security involvement in their jobs are selected as additional variables. Empirical analysis was conducted based on data collected from a total of 242 questionnaires. Regression analysis shows that security education, usefulness of reward, perceived security risk, and personal experience all directly and positively affect employees' security attitude. Hypotheses on security policy and security systems from deterrence theory failed to be adopted. This result is strikingly different from the technology acceptance model. These results imply that enterprises should enhance security education and appropriate rewards which are essential for motivating employees on information security in an organization. This can help employees to recognize the risk of compromised information and provide personal experience so that they may continually strive to protect enterprise information and resources. Up until now, little research has been conducted on employees security attitudes within an organization. Especially, this study focuses on significant factors which can affect employees'security awareness. However, we must discuss the limitations of this study. The study has been conducted via a questionnaire survey; the collected data is somewhat small in scale; and the extension of implications should be done with caution.
- 발행기관:
- 한국경영학회
- 분류:
- 경영학