earticle

한국어

정보보호관리체계(ISMS)는 조직의 정보자산에 대한 안전성과 신뢰성을 향상시키고, 정보보호 운영을 체계적이고 지속적으로 유지하기 위하여 도입된 제도이다. 정보보안 관련 사고는 기술적 요인뿐만 아니라 사회공학적 요인에 의하여 발생한다. ISMS인증 심사 과정에서 관리적, 물리적, 기술적, 인적 분야에서 결함은 발견되고 보고된다. 본 연구는 ISMS인증 심사과정에서 결함 결정에 영향을 미치는 요인을 기술적 관점에서 벗어나 다차원으로 분석하기 위함이다. 우리는 연구 목적을 달성하기 위하여 ISMS인증 심사 팀장(2인), 심사원(2인)을 대상으로 인터뷰를 실시하였으며, 인터뷰 자료를 사회과학 연구방법론인 근거이론으로 분석하였다. 분석 결과는 개방코딩(open coding), 축코딩(axial coding), 선택코딩(selective coding)으로 이루어졌다. 개방 코딩 결과 총67개의 개념과 42개의 하위 범주, 8개의 상위 범주가 도출되었다. 도출된 범주를 인과적조건, 중재적조건, 중심현상, 중재적조건, 상호작용 전략, 결과로 정리되었다. 연구 결과에 의하면, ISMS 결함 결정 요인의 유형은 인증 심사팀장의 심사팀 조율 능력, 인증심사원의 능력, 인증신청기관의 정보보호 역량, 인증위원회 방향성, 심사기간 등으로 구분되었다. 본 연구 결과를 토대로 효율적인 향후 ISMS 제도 정착과 인증심사의 전문성을 강화의 필요성을 제언하였다. 본 연구의 의의는 그 동안 기술 관점에서 논의하던 정보보안을 근거이론을 적용하여 분석하였다는 것이며, ISMS 제도를 운영하고 있거나 제도에 수용하려는 조직에서 효율적으로 ISMS를 운영하는데 새로운 시각을 제공할 것이다.