정보보안정책지향성과 준수의도의 관계: 비밀정보취급의 환경에서
Relationship between Information Security Policy Orientation and Information Security Compliance Intention: within Classified Information Management Context
박종원(한국정보기술단); 우현종(한국외국어대학교); 김현규(공주대학교)
8권 1호, 285~315쪽
초록
본 논문은 비밀정보를 취급하는 특수한 조직의 사용자들을 대상으로 계획된 행동이론( Theory of Planned Behavior, TPB)에 근거하여 정보보안정책 지향성이 사용자들의 정보보안준수의도에 영향을 미치는지 밝히는 데 초점이 있다. 기존 문헌에 대한 조사를 토대로 본 연구는 전략적 정보보안준수모델이라는 새로운 이론적 모델을 제시하여 구조방정식분석방법을 이용하여 실증적 분석을 실시하였다. 이 연구의 목적은 1) 정보보안정책을 예방지향성과 억제지향성의 두 가지 개념으로 구분하였고, 2) 기존의 정보보안연구분야에 범죄학과 심리학의 이론을 접목하여 학제적 개념들을 융합하여 이 분야의 지식기반을 넓히는데 있다. 실증적 분석 결과, 정보보안 준수혜택에 대한 신념은 준수의도에 영향을 미치는 것으로 나타났지만 준수비용에 대한 신념은 준수의도에 그 영향이 통계적으로 유의하지 않은 것으로 나타났다. 준수 결과에 대한 신념에 미치는 영향을 보면, 예방지향적 정책에 대한 인지가 억제지향적 정책에 대한 인지보다 그 영향이 좀 높은 것으로 나타났으며 두 유형 모두 통계적으로 유의한 것으로 나타났다. 다만 준수비용에 대한 신념이 준수의도에 미치는 영향이 유의하지 않은 것으로 나타났다. 하지만 기술통계적인 관점에서 준수비용에 대한 신념이 준수의도와 부의 관계를 가지고 있으므로 준수비용에 대한 신념의 수준이 낮아지면 준수의도가 높아진다는 것을 보여주고 있다. 그리고 두 유형의 정책수단의 효과가 준수비용에 대한 신념과 모두 부의 관계를 보여주고 있으므로 결국 두 정책수단의 효과를 높이면 준수비용에 대한 신념의 약화를 거쳐 준수의도가 높아진다는 것을 보여주고 있다. 두 정책지향성의 인지가 신념에 상호작용하는 것으로 나타났으며, 예방지향성과 억제지향성에 대한 인지 수준을 동시에 높게 유지하는 것이 낮게 유지하는 것보다 준수비용의 신념을 더 저하시켜 준수의도를 높이는 것으로 나타났다.
Abstract
Based on Theory of Planned Behavior (TPB), this research identified how the different factors of information security strategy orientations influence information security compliance intention of users. With a review of existing literature addressing information security problem this research introduces a new model, Information Security Policy Orientation Model ,with new concepts called Prevention Oriented Policy and Deterrent Oriented Policy.. The results of hypotheses test show that six out of eight hypotheses are supported. Specifically, POPM(the recognition toward Prevention Oriented Policy Means) has positive effect on PB(positive belief of information security to comply). The more POPM the employees recognized, the more PB(positive belief of information security to comply) they had. On the other hand, POPM negatively affect NB(negative belief of information security to comply). DOPM(the recognition of Deterrence oriented policy means) affects PB positively and NB negatively. Both POPM and DOPM have interaction effect on NB. Interestingly, POPM has stronger relationship with PB as well as NB than DOPM. Lastly, PB has positve efffect on IC(intention to comply information security policy) whereas NB has no significant effect on IC. In conclusion, this study suggests high investment on both POPM and DOPM to improve IC by increasing PB and decreasing NB. Accordingly, this study suggests to allocate resources more in POPM rather than in DOPM in case of resource shortage. This study will contribute to the extension of knowledge base with an interdisciplinary approach encompassing crime deterrence theory, situational crime prevention theory and psychology. The findings of this study suggest several practical implications. First, since this study identified the relationships among the cognition, beliefs, and intention to comply information security policy, it would provide information managers with the guideline to develop and implement the information security strategy and policies in organizations. Second, the practitioners could prioritize the investment on information security policy based on the findings of this study. Third, it is recommended to strengthen the strategic link between the business strategy and information security strategy to overcome the contradictions between productivity and information security policy.
- 발행기관:
- KNU 기업경영연구소
- 분류:
- 경영학일반