Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

A Study on Developing of Performance Evaluation Index and Method of Measurement for Information Security Outcomes applying BSC

균형성과표(BSC) 기반의 정보보호 성과 지표 개발 및 측정 방법에 관한 연구

  • 장상수 (아주대학교/지식정보보안학과)
  • Received : 2014.06.10
  • Accepted : 2014.06.24
  • Published : 2014.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

In order to achieve efficient and effective organizational information security objectives, for the level of information security to accurately evaluation and direction for improving that performance evaluation index and method of measurement for information security outcomes are needed. For information security activities of domestic companies to measure the performance or effectiveness, that standard method of measuring and the available evaluation Index are insufficient. company is difficult to investment for information security budget. Therefore, the purpose of this study was developing of performance evaluation index and method of measurement for information security outcomes applying BSC available in the company. The results of this study that companies can determine the level of information security itself. Analysis of the information security status and the strategy establishment of the information security investment can be applied.

조직의 정보보호 목표를 효율적이고 효과적으로 달성하기 위해서는 정보보호 수준을 정확히 평가하고 개선 방향을 제시하는 정보보호 성과평가 지표와 측정방법이 필요하다. 그러나 이러한 요구사항에도 불구하고 국내 기업의 정보보호 활동에 대한 성과나 효과를 측정하기 위한 표준적인 지표나 활용 가능한 측정 방법이 미흡한 실정이다. 이로 인해 기업에서는 지속적인 보안투자 결정을 이끌어 내는데 큰 어려움을 겪고 있다. 본 연구의 목적은 이러한 각 기업 환경에 적합한 합리적인 성과평가를 위하여 성과평가에 영향을 주는 다양한 관점에서 성과평가지표를 도출하고, 평가지표간 중요도에 따른 가중치 부여를 통하여 평가 지표와 측정방법을 개발하는 것이다. 정보보호 활동의 다양한 성과 요인을 균형 있게 평가하기 위해 Norton과 Kaplan(1992)이 개발한 균형성과표 (BSC : Balanced Scorecard) 모형을 활용하였다. 본 연구 결과는 국내 기업들이 정보보호 수준을 파악하고 주기적인 성과측정을 통해 자사의 정보보호 현황 파악과 추이 분석이 가능하고 정보보호 투자 등 전략을 수립하는데 적용할 수 있다.

Keywords

References

  1. 공희경, "BSC관점에 의한 정보보호 투자효과 분석", 충북대학교 박사학위논문, 2008.
  2. 공희경, 김태성, "정보보호 투자효과에 대한 연구동향", 정보보호학회지, 제17권-제4호, pp.12-19, 2007.
  3. 권영옥, 김병도, "정보보호사고와 사고방지 관련투자가 기업가치에 미치는 영향", Information System Review, 제9권-제1호, pp.105-120, 2007.
  4. 김정덕, 박정은, "TCO 기반 정보보호 투자수익률 (ROSI)에 대한 연구", 디지털정책학회 창립학술대회, pp.251-261, 2003.
  5. 선한길, "국내기업의 정보보호 정책 및 조직 요인이 정보보호성과에 미치는 영향", 한국경영정보학회, pp.1087-1095, 2005.
  6. 신일순, "정보보호의 경제학적 의미에 대한 소고", Information Security Review, 제1권-제1권, pp.27-40, 2005.
  7. 이정훈, 신택수, 임종호, "PLS경로모형을 이용한 IT조직의 BSC성공요인간의 인과관계분석", 경영정보학회, 제17권-제4호, pp.207-228, 2007.
  8. 정선호, 이영찬, "BSC를 이용한 IT조직의 성과관리체계에 관한 연구", 한국산업경영시스템학회, pp.49-52, 2005.
  9. Al-Humaigani, M. and Dunn, D.B., "A model of return on investment for information systems security," Circuits and Systems, Vol.1, pp.483-485, 2003.
  10. Bodin, L.D., L.A and Loed, M.P., "Evaluating infortmaion security investment using the analytic hierarchy process," Communication of the ACM, Vol.11, No3, pp.431-448, 2005.
  11. Campbell, K., Gordon, L.A., Loeb, M.P. and Zhou, L., "The economic cost of publicly announced information security breaches: Empirical evidence from the stock market," Journal of Comtuter Security, Vol.11, No.3, pp.431-448, 2003.
  12. NIA, '공공부문 정보화 사업평가를 위한 BSC 모형', 2001.
  13. KISA, '국가 정보보호수준 평가지수 산출과 국제화 추진에 관한 연구;, 2006.
  14. KISA, '인터넷침해사고 피해액 산출 연구', 2006.
  15. KISA, '기업정보보호실태조사' 2013.
  16. KISA, '2014년 국가정보보호백서' 2014.