인터넷 侵害事故나 개인정보 侵害事故와 같은 사이버 侵害事故로 인해 손실費用이 발생하고 있다. 이러한 손실費用의 規模는 어느 정도(How much)가 되고, 이러한 손실을 豫防하기 위해서 어...
다국어 입력
あ
ぁ
か
が
さ
ざ
た
だ
な
は
ば
ぱ
ま
や
ゃ
ら
わ
ゎ
ん
い
ぃ
き
ぎ
し
じ
ち
ぢ
に
ひ
び
ぴ
み
り
う
ぅ
く
ぐ
す
ず
つ
づ
っ
ぬ
ふ
ぶ
ぷ
む
ゆ
ゅ
る
え
ぇ
け
げ
せ
ぜ
て
で
ね
へ
べ
ぺ
め
れ
お
ぉ
こ
ご
そ
ぞ
と
ど
の
ほ
ぼ
ぽ
も
よ
ょ
ろ
を
ア
ァ
カ
サ
ザ
タ
ダ
ナ
ハ
バ
パ
マ
ヤ
ャ
ラ
ワ
ヮ
ン
イ
ィ
キ
ギ
シ
ジ
チ
ヂ
ニ
ヒ
ビ
ピ
ミ
リ
ウ
ゥ
ク
グ
ス
ズ
ツ
ヅ
ッ
ヌ
フ
ブ
プ
ム
ユ
ュ
ル
エ
ェ
ケ
ゲ
セ
ゼ
テ
デ
ヘ
ベ
ペ
メ
レ
オ
ォ
コ
ゴ
ソ
ゾ
ト
ド
ノ
ホ
ボ
ポ
モ
ヨ
ョ
ロ
ヲ
―
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
예시)
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
А
Б
В
Г
Д
Е
Ё
Ж
З
И
Й
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Ъ
Ы
Ь
Э
Ю
Я
а
б
в
г
д
е
ё
ж
з
и
й
к
л
м
н
о
п
р
с
т
у
ф
х
ц
ч
ш
щ
ъ
ы
ь
э
ю
я
′
″
℃
Å
¢
£
¥
¤
℉
‰
$
%
F
₩
㎕
㎖
㎗
ℓ
㎘
㏄
㎣
㎤
㎥
㎦
㎙
㎚
㎛
㎜
㎝
㎞
㎟
㎠
㎡
㎢
㏊
㎍
㎎
㎏
㏏
㎈
㎉
㏈
㎧
㎨
㎰
㎱
㎲
㎳
㎴
㎵
㎶
㎷
㎸
㎹
㎀
㎁
㎂
㎃
㎄
㎺
㎻
㎽
㎾
㎿
㎐
㎑
㎒
㎓
㎔
Ω
㏀
㏁
㎊
㎋
㎌
㏖
㏅
㎭
㎮
㎯
㏛
㎩
㎪
㎫
㎬
㏝
㏐
㏓
㏃
㏉
㏜
㏆
RISS 인기검색어
https://www.riss.kr/link?id=T11949758
- 저자
-
발행사항
서울 : 高麗大學校 情報經營工學專門大學院 , 2010
-
학위논문사항
학위논문(박사) -- 高麗大學校 情報經營工學專門大學院 , 情報經營工學科 , 2010. 2
-
발행연도
2010
-
작성언어
한국어
- 주제어
-
발행국(도시)
서울
-
기타서명
(A)strategic approach for peventing cybersecurity breaches and raising cybersecurity level
-
형태사항
128 p. : 삽도 ; 26 cm.
-
일반주기명
지도교수: 임종인
단면인쇄임
참고문헌: p. 116-124 - DOI식별코드
-
소장기관
- 고려대학교 과학도서관
- 고려대학교 도서관
- 고려대학교 세종학술정보원
- 국립중앙도서관
- 고려대학교 과학도서관
-
0
상세조회 -
0
다운로드
부가정보
국문 초록 (Abstract)
인터넷 侵害事故나 개인정보 侵害事故와 같은 사이버 侵害事故로 인해 손실費用이 발생하고 있다. 이러한 손실費用의 規模는 어느 정도(How much)가 되고, 이러한 손실을 豫防하기 위해서 어떻게 接近(How to approach)해야 효과적인지는 조직 측면에서 매우 큰 관심사항이다.
본 硏究에서는 이러한 맥락에서 첫째, 사이버 侵害事故 발생 시 손실費用을 체계적으로 測定할 수 있는 方法論을 제시하고 이를 국내 사례에 적용하여 손실規模를 測定하고자 한다. 특히 해킹, 바이러스, DDoS 공격 등으로 가용성이 상실된 인터넷 侵害事故에 의한 손실費用 測定과, 개인정보 유·노출 등과 같은 개인정보 侵害事故로 인한 손실費用 測定方法을 제시하여 조직 내에서 활용할 수 있도록 하고, 국가 전체적인 손실費用을 산출하여 情報保護 정책개발에 활용하고자 한다.
둘째, 사이버 侵害事故에 의해 피해손실을 입는 企業들이 侵害事故를 豫防하고, 사이버 安全性을 提高하기 위해서 수행해야 하는 情報保護活動 중에서, 企業의 조직적인 특성(organizational factors)에 따라 어떤 선택을 하면 더 효율적이고 효과적인지를 파악하고자 한다. 즉, 情報保護 정책수립 活動, 情報保護 조직과 인력 구성, 情報保護 교육, 情報保護 시스템 운영, 侵害事故 긴급대응活動과 같은 活動 중에서 中小企業에 효과적인 것과 大企業에 효과적인 것은 어떻게 다른가를 파악하고, 企業의 특성별로 효율적이고 효과적인 接近方法을 제시하는 것을 目的으로 한다.
分析한 結果, 中小企業에서는 상대적으로 費用이 적게 드는 정책수립 活動, 조직과 인력 구성, 교육活動으로도 사이버 安全性 提高에 효과를 보고 있는 것으로 나타났고, 大企業에서는 상대적으로 費用이 많이 들더라도 사이버 安全性 提高를 위해서는 시스템 운영과 侵害事故 긴급대응活動이 필요한 것으로 分析되었다. 따라서 中小企業은 체계중심의 情報保護活動으로도 효과가 있지만, 中小企業이 大企業으로 성장하는 과정에서는 費用이 들더라도 인프라 중심의 情報保護活動이 사이버 安全性 提高를 위해 반드시 필요하다. 결론적으로 企業의 조직적인 특성에 따라 효과적인 情報保護活動은 각각 다르고, 企業이 성장하는 과정에서 중점적으로 추진해야 하는 우선순위도 다르기 때문에, 費用 대비 효과 측면에서 사이버 安全性을 提高하기 위해서는 戰略的으로 接近하는 것이 필요하다.
본 硏究에서는 이러한 맥락에서 첫째, 사이버 侵害事故 발생 시 손실費用을 체계적으로 測定할 수 있는 方法論을 제시하고 이를 국내 사례에 적용하여 손실規模를 測定하고자 한다. 특히 해킹, 바이러스, DDoS 공격 등으로 가용성이 상실된 인터넷 侵害事故에 의한 손실費用 測定과, 개인정보 유·노출 등과 같은 개인정보 侵害事故로 인한 손실費用 測定方法을 제시하여 조직 내에서 활용할 수 있도록 하고, 국가 전체적인 손실費用을 산출하여 情報保護 정책개발에 활용하고자 한다.
둘째, 사이버 侵害事故에 의해 피해손실을 입는 企業들이 侵害事故를 豫防하고, 사이버 安全性을 提高하기 위해서 수행해야 하는 情報保護活動 중에서, 企業의 조직적인 특성(organizational factors)에 따라 어떤 선택을 하면 더 효율적이고 효과적인지를 파악하고자 한다. 즉, 情報保護 정책수립 活動, 情報保護 조직과 인력 구성, 情報保護 교육, 情報保護 시스템 운영, 侵害事故 긴급대응活動과 같은 活動 중에서 中小企業에 효과적인 것과 大企業에 효과적인 것은 어떻게 다른가를 파악하고, 企業의 특성별로 효율적이고 효과적인 接近方法을 제시하는 것을 目的으로 한다.
分析한 結果, 中小企業에서는 상대적으로 費用이 적게 드는 정책수립 活動, 조직과 인력 구성, 교육活動으로도 사이버 安全性 提高에 효과를 보고 있는 것으로 나타났고, 大企業에서는 상대적으로 費用이 많이 들더라도 사이버 安全性 提高를 위해서는 시스템 운영과 侵害事故 긴급대응活動이 필요한 것으로 分析되었다. 따라서 中小企業은 체계중심의 情報保護活動으로도 효과가 있지만, 中小企業이 大企業으로 성장하는 과정에서는 費用이 들더라도 인프라 중심의 情報保護活動이 사이버 安全性 提高를 위해 반드시 필요하다. 결론적으로 企業의 조직적인 특성에 따라 효과적인 情報保護活動은 각각 다르고, 企業이 성장하는 과정에서 중점적으로 추진해야 하는 우선순위도 다르기 때문에, 費用 대비 효과 측면에서 사이버 安全性을 提高하기 위해서는 戰略的으로 接近하는 것이 필요하다.
인터넷 侵害事故나 개인정보 侵害事故와 같은 사이버 侵害事故로 인해 손실費用이 발생하고 있다. 이러한 손실費用의 規模는 어느 정도(How much)가 되고, 이러한 손실을 豫防하기 위해서 어떻게 接近(How to approach)해야 효과적인지는 조직 측면에서 매우 큰 관심사항이다.
본 硏究에서는 이러한 맥락에서 첫째, 사이버 侵害事故 발생 시 손실費用을 체계적으로 測定할 수 있는 方法論을 제시하고 이를 국내 사례에 적용하여 손실規模를 測定하고자 한다. 특히 해킹, 바이러스, DDoS 공격 등으로 가용성이 상실된 인터넷 侵害事故에 의한 손실費用 測定과, 개인정보 유·노출 등과 같은 개인정보 侵害事故로 인한 손실費用 測定方法을 제시하여 조직 내에서 활용할 수 있도록 하고, 국가 전체적인 손실費用을 산출하여 情報保護 정책개발에 활용하고자 한다.
둘째, 사이버 侵害事故에 의해 피해손실을 입는 企業들이 侵害事故를 豫防하고, 사이버 安全性을 提高하기 위해서 수행해야 하는 情報保護活動 중에서, 企業의 조직적인 특성(organizational factors)에 따라 어떤 선택을 하면 더 효율적이고 효과적인지를 파악하고자 한다. 즉, 情報保護 정책수립 活動, 情報保護 조직과 인력 구성, 情報保護 교육, 情報保護 시스템 운영, 侵害事故 긴급대응活動과 같은 活動 중에서 中小企業에 효과적인 것과 大企業에 효과적인 것은 어떻게 다른가를 파악하고, 企業의 특성별로 효율적이고 효과적인 接近方法을 제시하는 것을 目的으로 한다.
分析한 結果, 中小企業에서는 상대적으로 費用이 적게 드는 정책수립 活動, 조직과 인력 구성, 교육活動으로도 사이버 安全性 提高에 효과를 보고 있는 것으로 나타났고, 大企業에서는 상대적으로 費用이 많이 들더라도 사이버 安全性 提高를 위해서는 시스템 운영과 侵害事故 긴급대응活動이 필요한 것으로 分析되었다. 따라서 中小企業은 체계중심의 情報保護活動으로도 효과가 있지만, 中小企業이 大企業으로 성장하는 과정에서는 費用이 들더라도 인프라 중심의 情報保護活動이 사이버 安全性 提高를 위해 반드시 필요하다. 결론적으로 企業의 조직적인 특성에 따라 효과적인 情報保護活動은 각각 다르고, 企業이 성장하는 과정에서 중점적으로 추진해야 하는 우선순위도 다르기 때문에, 費用 대비 효과 측면에서 사이버 安全性을 提高하기 위해서는 戰略的으로 接近하는 것이 필요하다.
다국어 초록 (Multilingual Abstract)
With the rapid development of information technology, cybersecurity breaches like worms, viruses, and DDoS(Distributed Denial of Service) attacks become more frequent. Recently personal information security breaches by unauthorised access, mistakenly disclosure or stolen become more frequent and the scale of the economic loss of such breaches is growing.
This thesis contains two major parts. One is to present a framework to analyze economic loss of cybersecurity breaches and develop formula for each element to empirically calculate the economic loss. Especially, this thesis suggest how to measure economic loss of cybersecurity breaches relating to availability, such as worms, viruses, and DDoS attacks, and of the cybersecurity breaches relating to confidentiality, such as customer profile mistakenly disclosure or stolen. It is also compared annual economic loss of Korea with that of Japan to develop some implications. Assessing economic loss of cysersecurity breaches is needed for decision making of information security investment. This framework can be used as a basis to make information security policies and manage cybersecurity resources at organization and national level.
The other is to suggest an effective information security activity according to organizational factors to prevent cybersecurity breaches and raise corporate cybersecurity level. That is to analyse how different the effective activities in small and medium organizations as compared with large organizations, and suggest an effective and important activity according to organizational factors among the activity related to making information security policy(Policy Dimension), the activity related to making up information security organizational structure and job responsibilities(Organizational Dimension), the activity related to information security awareness and training(Awareness Dimension), the activity related to technical measures installation and operation(Technical Dimension), and the activity related to incidents emergency response(Emergency Monitoring Dimension).
Hypotheses of information security activities are proposed by integrating the findings from previous researches. Data used for validating the hypotheses are collected from 2,828 organizations in Korea through in-depth interview and web-based questionnaires. A general linear model analysis, analysis of covariance, discriminant analysis, frequency analysis, multiple regression analysis are performed to test the hypotheses of information security activities.
A major finding from the analysis is that it was more effective for small and medium organizations to do the activity related to making information security policy, the activity related to making up information security organizational structure and job responsibilities, and the activity related to information security awareness and training to prevent cybersecurity breaches and raise corporate cybersecurity level. Large organizations were differently found to be more effective to perform the activity related to technical measures installation and operation, and the activity related to incidents emergency response.
Therefore, structure-based security activities such as policy dimension, organizational dimension, awareness dimension are more effective at small and medium organizations to prevent cybersecurity breaches and raise corporate cybersecurity level. On the other hand, it is imperative that large organizations have to perform infra-based security activities such as technical dimension and emergency monitoring dimension to raise corporate cybersecurity level.
In conclusion, an effective security activity and priority vary according to corporate organizational factors, so it is necessary to choose a strategic approach according to organizational factors to raise corporate cybersecurity level in terms of cost-benefit effectiveness.
Keywords: Cybersecurity breaches, Information security breaches, Economic loss, Information security activities, Cybersecurity level, Strategic approach
This thesis contains two major parts. One is to present a framework to analyze economic loss of cybersecurity breaches and develop formula for each element to empirically calculate the economic loss. Especially, this thesis suggest how to measure economic loss of cybersecurity breaches relating to availability, such as worms, viruses, and DDoS attacks, and of the cybersecurity breaches relating to confidentiality, such as customer profile mistakenly disclosure or stolen. It is also compared annual economic loss of Korea with that of Japan to develop some implications. Assessing economic loss of cysersecurity breaches is needed for decision making of information security investment. This framework can be used as a basis to make information security policies and manage cybersecurity resources at organization and national level.
The other is to suggest an effective information security activity according to organizational factors to prevent cybersecurity breaches and raise corporate cybersecurity level. That is to analyse how different the effective activities in small and medium organizations as compared with large organizations, and suggest an effective and important activity according to organizational factors among the activity related to making information security policy(Policy Dimension), the activity related to making up information security organizational structure and job responsibilities(Organizational Dimension), the activity related to information security awareness and training(Awareness Dimension), the activity related to technical measures installation and operation(Technical Dimension), and the activity related to incidents emergency response(Emergency Monitoring Dimension).
Hypotheses of information security activities are proposed by integrating the findings from previous researches. Data used for validating the hypotheses are collected from 2,828 organizations in Korea through in-depth interview and web-based questionnaires. A general linear model analysis, analysis of covariance, discriminant analysis, frequency analysis, multiple regression analysis are performed to test the hypotheses of information security activities.
A major finding from the analysis is that it was more effective for small and medium organizations to do the activity related to making information security policy, the activity related to making up information security organizational structure and job responsibilities, and the activity related to information security awareness and training to prevent cybersecurity breaches and raise corporate cybersecurity level. Large organizations were differently found to be more effective to perform the activity related to technical measures installation and operation, and the activity related to incidents emergency response.
Therefore, structure-based security activities such as policy dimension, organizational dimension, awareness dimension are more effective at small and medium organizations to prevent cybersecurity breaches and raise corporate cybersecurity level. On the other hand, it is imperative that large organizations have to perform infra-based security activities such as technical dimension and emergency monitoring dimension to raise corporate cybersecurity level.
In conclusion, an effective security activity and priority vary according to corporate organizational factors, so it is necessary to choose a strategic approach according to organizational factors to raise corporate cybersecurity level in terms of cost-benefit effectiveness.
Keywords: Cybersecurity breaches, Information security breaches, Economic loss, Information security activities, Cybersecurity level, Strategic approach
With the rapid development of information technology, cybersecurity breaches like worms, viruses, and DDoS(Distributed Denial of Service) attacks become more frequent. Recently personal information security breaches by unauthorised access, mistakenly ...
With the rapid development of information technology, cybersecurity breaches like worms, viruses, and DDoS(Distributed Denial of Service) attacks become more frequent. Recently personal information security breaches by unauthorised access, mistakenly disclosure or stolen become more frequent and the scale of the economic loss of such breaches is growing.
This thesis contains two major parts. One is to present a framework to analyze economic loss of cybersecurity breaches and develop formula for each element to empirically calculate the economic loss. Especially, this thesis suggest how to measure economic loss of cybersecurity breaches relating to availability, such as worms, viruses, and DDoS attacks, and of the cybersecurity breaches relating to confidentiality, such as customer profile mistakenly disclosure or stolen. It is also compared annual economic loss of Korea with that of Japan to develop some implications. Assessing economic loss of cysersecurity breaches is needed for decision making of information security investment. This framework can be used as a basis to make information security policies and manage cybersecurity resources at organization and national level.
The other is to suggest an effective information security activity according to organizational factors to prevent cybersecurity breaches and raise corporate cybersecurity level. That is to analyse how different the effective activities in small and medium organizations as compared with large organizations, and suggest an effective and important activity according to organizational factors among the activity related to making information security policy(Policy Dimension), the activity related to making up information security organizational structure and job responsibilities(Organizational Dimension), the activity related to information security awareness and training(Awareness Dimension), the activity related to technical measures installation and operation(Technical Dimension), and the activity related to incidents emergency response(Emergency Monitoring Dimension).
Hypotheses of information security activities are proposed by integrating the findings from previous researches. Data used for validating the hypotheses are collected from 2,828 organizations in Korea through in-depth interview and web-based questionnaires. A general linear model analysis, analysis of covariance, discriminant analysis, frequency analysis, multiple regression analysis are performed to test the hypotheses of information security activities.
A major finding from the analysis is that it was more effective for small and medium organizations to do the activity related to making information security policy, the activity related to making up information security organizational structure and job responsibilities, and the activity related to information security awareness and training to prevent cybersecurity breaches and raise corporate cybersecurity level. Large organizations were differently found to be more effective to perform the activity related to technical measures installation and operation, and the activity related to incidents emergency response.
Therefore, structure-based security activities such as policy dimension, organizational dimension, awareness dimension are more effective at small and medium organizations to prevent cybersecurity breaches and raise corporate cybersecurity level. On the other hand, it is imperative that large organizations have to perform infra-based security activities such as technical dimension and emergency monitoring dimension to raise corporate cybersecurity level.
In conclusion, an effective security activity and priority vary according to corporate organizational factors, so it is necessary to choose a strategic approach according to organizational factors to raise corporate cybersecurity level in terms of cost-benefit effectiveness.
Keywords: Cybersecurity breaches, Information security breaches, Economic loss, Information security activities, Cybersecurity level, Strategic approach
목차 (Table of Contents)
- 1. 序論 1
- 1.1. 硏究의 必要性 1
- 1.2. 硏究의 目的 3
- 1.3. 硏究의 槪要 3
- 1. 序論 1
- 1.1. 硏究의 必要性 1
- 1.2. 硏究의 目的 3
- 1.3. 硏究의 槪要 3
- 2. 사이버 侵害事故의 손실費用 測定 5
- 2.1. 사이버 侵害事故 5
- 2.1.1. 사이버 侵害事故의 定義 5
- 2.1.2. 사이버 侵害事故의 區分 6
- 2.2. 사이버 侵害事故 손실費用 測定硏究 7
- 2.2.1. 인터넷 侵害事故로 인한 손실 測定硏究 7
- 2.2.2. 개인정보 侵害事故로 의한 손실 測定硏究 9
- 2.3. 사이버 侵害事故 손실費用 測定模型 및 測定結果 12
- 2.3.1. 손실費用 測定 模型 12
- 2.3.2. 인터넷 侵害事故에 의한 손실費用 測定 16
- 2.3.3. 개인정보 侵害事故에 의한 손실費用 測定 35
- 2.4. 사이버 侵害事故 손실費用 測定의 정책적 시사점 48
- 3. 사이버 侵害事故 豫防과 安全性 提高를 위한 硏究模型 50
- 3.1. 문제 제기와 理論的 배경 50
- 3.1.1. 情報保護 정책수립 活動 52
- 3.1.2. 情報保護 조직과 인력 구성 53
- 3.1.3. 情報保護 교육 活動 54
- 3.1.4. 情報保護 시스템 운영 55
- 3.1.5. 侵害事故 긴급대응活動 56
- 3.1.6. 사이버 侵害事故 57
- 3.1.7. 사이버 安全性 57
- 3.2. 分析 模型 59
- 3.2.1. 硏究의 개념적 틀 59
- 3.2.2. 假說의 도출 60
- 3.2.3. 변수의 조작적 定義 및 測定方法 64
- 3.3. 硏究 方法 66
- 3.3.1. 표본 선정 66
- 3.3.2. 資料수집 및 分析方法 68
- 4. 假說檢證 및 分析結果 69
- 4.1. 신뢰도 檢證 69
- 4.2. 測定도구의 타당성 檢證 70
- 4.3. 企業規模別, 産業類型別 情報保護活動의 차이分析 73
- 4.4. 企業規模別, 産業類型別 侵害事故 피해빈도 차이分析 78
- 4.5. 企業規模別, 産業類型別 사이버 安全性 정도 차이分析 82
- 4.6. 侵害事故 피해빈도 그룹별 情報保護活動의 차이分析 85
- 4.7. 사이버 安全性 정도 그룹별 情報保護活動의 차이分析 93
- 4.8. 사이버 侵害事故와 사이버 安全性 간의 연관성 分析 100
- 4.9. 情報保護活動, 사이버 侵害事故, 사이버 安全性 간의 연관성 分析 102
- 4.10. 사이버 安全性에 영향을 미치는 情報保護活動 分析 106
- 5. 結論 109
- 5.1. 硏究結果의 要約 및 정책적 시사점 109
- 5.2. 硏究의 戰略的 意味, 한계점 및 向後 硏究方向 115
- 참고문헌 117
- Abstract 126
분석정보
이 자료와 함께 이용한 RISS 자료
나만을 위한 추천자료
