Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Success Factors for the Korean Branches of Global Companies in Obtaining ISMS Certification

글로벌 기업 한국 지사의 정보보호 관리체계(ISMS) 인증 취득의 성공 요인

  • 윤태준 (에프알엘코리아 정보보안실)
  • Received : 2024.09.23
  • Accepted : 2024.10.14
  • Published : 2024.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

This study aims to identify the success factors for the Korean subsidiary of a global company in successfully obtaining Information Security Management System (ISMS) certification. Prior research often focused on the effects of ISMS certification or analyzed success factors based on ISO 27001 in voluntary environments, lacking consideration of Korea's unique legal requirement for ISMS certification in companies exceeding a certain size. Addressing this gap, the study centers on the collaboration between the global headquarters and the Korean subsidiary, integrating perspectives from various stakeholders, including employees, consultants, and ISMS auditors. Utilizing modified Delphi and Analytic Hierarchy Process (AHP) methodologies, the research identifies and quantitatively evaluates the relative importance of success factors. The findings indicate that the higher-order factor 'organization' is most critical, with the sub-factor 'top management support' ranking as the top priority. This emphasizes the essential role of proactive executive backing and organizational cooperation in the ISMS certification success of the Korean subsidiary. Based on these results, the study offers specific strategies and insights for global companies to effectively obtain and maintain ISMS certification in Korea.

본 연구는 글로벌 기업의 한국 지사가 정보보호 관리체계(Information Security Management System) 인증을 성공적으로 취득하기 위한 성공 요인을 파악하고자 하였다. 기존 연구들은 특정 지역이나 조직 유형에 제한되었거나 한국의 법적 의무화된 환경을 충분히 반영하지 못하는 한계가 있었다. 이를 극복하기 위해, 본 연구는 글로벌 본사와 지사 간의 협력 문제를 중심으로 다양한 이해관계자의 관점을 통합하였다. 수정된 델파이 기법과 AHP(Analytic Hierarchy Process) 기법을 활용하여 성공 요인을 도출하고 상대적 중요도를 정량적으로 평가하였다. 연구 결과, '조직'이 가장 중요한 상위 요인으로 나타났으며, 특히 '경영진의 지원'은 전체 하위 요인 중 최우선 순위로 도출되었다. 이는 경영진의 적극적인 지원과 조직 차원의 협력이 글로벌 기업 한국 지사의 ISMS 인증 취득에 핵심적임을 시사한다. 이러한 결과를 바탕으로 글로벌 기업의 한국 지사가 ISMS 인증을 효과적으로 취득하고 유지하기 위한 구체적인 전략과 시사점을 제시하였다.

Keywords

1. 서론

정보보호 관리체계(이하 ISMS, Information Security Management System) 인증은 기업의 정보보호 활동이 인증 기준에 부합함을 증명하는 제도로, 국내에서 일정 규모 이상의 정보통신서비스를 제공하는 기업은 의무적으로 이를 취득해야 한다[1][2][3]. 또한, 국내 시장이나 이용자에게 영향을 미치는 국외 기업에도 적용될 수 있어 글로벌 기업의 준수 필요성이 높아지고 있다[4].

국내 이커머스 시장은 IT와 물류 기술의 발전으로 빠르게 성장하며 경쟁이 치열해져, 해외 글로벌 이커머스 기업들이 적극적으로 진출하고 있다[5]. 이들은 글로벌 본사가 구축하고 관리하는 시스템을 활용하여 한국 지사에서 서비스를 제공하는 경우가 많다. 그러나 본사와의 협력 부족으로 인해 한국 지사가 ISMS 인증을 취득하는 데 어려움을 겪고 있으며, 한국 내 고객을 대상으로 하는 핵심 서비스임에도 불구하고, 한국 지사가 시스템을 직접 관리하지 않으면 ISMS 심사에서 제외되거나 한국 지사가 관리하는 부분만 포함될 수 있다[6].

기존 연구들은 ISMS 인증의 효과나 ISO 27001 도입의 성공 요인에 초점을 맞추었지만, 한국의 법적 의무화 환경에서 글로벌 기업의 한국 지사가 직면하는 구체적인 문제와 본사와의 협력 방안에 관한 연구는 부족하다.

본 연구는 ISMS 인증 취득의 성공 요인을 도출하고, 글로벌 본사와의 효과적인 협력 전략을 제시하는 것을 목표로 한다. 이를 위해 한국 지사와 글로벌 본사 임직원, 컨설턴트, 인증 심사원 등 다양한 이해관계자의 관점을 반영하여 심층 분석을 수행하였다. 수정된 델파이 기법과 분석적 계층화 과정(이하 AHP, Analytic Hierarchy Process) 기법을 활용하여 요인의 상대적 중요도를 평가하고, 이를 바탕으로 한국 지사가 ISMS 인증을 성공적으로 취득할 수 있는 구체적인 방안을 제시하고자 한다.

2. 관련 선행연구

2.1 선행연구의 동향

국내 연구는 주로 ISMS 인증 후의 기대 효과, 경제적 효과 및 기업 성과에 초점을 맞추고 있지만, 국외 연구는 ISO 27001을 중심으로 한 ISMS 도입의 성공 요인을 분석하고 있다. 선행연구들을 종합적으로 분석한 결과, ISMS 또는 ISO 27001 인증의 성공 요인을 식별하고 평가하는 데 공통된 연구 동향이 발견된다. 대부분의 연구는 ISMS의 성공적인 구현을 위한 핵심 성공 요인(CSF, Critical Success Factors)을 식별하고자 하였다. 이러한 요인들은 ‘사람’, ‘프로세스’, ‘조직’이라는 상위 요인으로 그룹화할 수 있으며, 주로 ‘경영진의 지원’, ‘보안 인식’, ‘역량’, ‘비즈니스 정렬’, ‘정책’ 등으로 나타났다. 그룹화한 요인들은 <표 1>과 같다.

<표 1> 선행연구의 핵심 성공 요인

SOBTCQ_2024_v24n4_99_2_t0001.png 이미지

연구 방법론 측면에서, 많은 연구가 질적 연구 방법을 활용하여 문헌 검토와 인터뷰를 통해 심층적인 자료를 수집하고 분석하였다[8][10][12][14][15]. 일부 연구는 양적 연구 방법을 적용하여 설문 조사를 통한 통계적 분석을 수행함으로써 요인의 타당성과 신뢰성을 검증하였다[7][9][11][13][16].

2.2 선행연구의 한계점

2.2.1 지역 및 조직 유형에 따른 한계

다수의 선행연구가 특정 지역, 국가, 조직 유형, 또는 사례에 국한되어 있어 결과의 일반화에 제한이 있었다. 예를 들어, Hai 외 1인(2014)[7]은 대만의 특정 대학교를 연구 대상으로 하였고, Maarop 외 7인(2021)[16]은 말레이시아의 정부 기관을 중심으로 연구를 진행하였다. Tu 외 3인(2018)[9]은 북미 지역의 조직을 대상으로 하였으며, Ključnikov 외 2인(2019)[13]은 슬로바키아의 중소기업을 연구하였다. 이러한 연구들은 해당 지역과 조직의 특수한 환경을 고려하여 진행되었기 때문에, 그 결과를 한국의 상황에 그대로 적용하기에는 한계가 있다. 각 지역과 조직이 처한 보안 요구 사항, 운영 환경, 조직 문화 등이 다르므로, 이러한 선행연구의 결과를 글로벌 기업 한국 지사에 직접 활용하기에는 제약이 존재한다.

2.2.2 이해관계자 범위의 한계

이해관계자의 범위가 제한적이어서 다양한 이해관계자의 의견을 포괄적으로 수렴하지 못하였다. 이에 따라 연구 결과는 특정 이해관계자의 의견만을 반영하게 되었으며, 그 결과 적용성과 신뢰성에 한계를 보인다. 예를 들어, Maarop 외 7인(2021)[16]은 말레이시아 정부 기관의 내부 직원들을 대상으로 ISMS의 성공 요인을 조사하였으나 IT 관련 직원들의 관점에 초점을 맞추었다. Ibrahim 외 1인(2018)[10]의 연구는 말레이시아 공공 부문의 조직에서 ISMS 구현에 참여한 직원을 중심으로 초점을 맞추었다. Ključnikov 외 2인(2019)[13]의 연구는 슬로바키아 중소기업의 고위 IT 보안 전문가의 관점을 중심으로 분석했다.

2.2.3 자율 환경 중심 연구의 한계

ISMS 인증이 법적으로 의무화된 국가의 특수한 규제 환경을 고려한 연구가 부족하였다. 이러한 부족으로 인해 한국과 같이 ISMS 인증이 법적 의무화된 국가에서 글로벌 기업의 한국 지사가 직면하는 독특한 상황을 충분히 다루지 못하는 한계가 나타났다. 즉, 법적 의무화로 인해 발생하는 규제 준수 요구 사항과 글로벌 본사와 지사 간의 협력 문제 등을 포괄적으로 분석한 연구가 부족하여, 이러한 환경에서 ISMS 인증 취득 과정에 대한 심층적인 이해를 제공하지 못하고 있다.

2.3 선행연구와의 차별점

본 연구는 기존의 선행연구와 비교하여 몇 가지 중요한 차별점을 가진다.

첫째, 글로벌 기업의 한국 지사를 대상으로 글로벌 본사와 지사 간의 협력과 지원 문제를 심층적으로 분석하였다. 특히 ISMS 인증이 법적으로 의무화된 한국의 독특한 규제 환경에서 글로벌 기업이 직면하는 도전과제를 다룸으로써 차별화했다. 이는 기존 연구들이 주로 국외 기업 그리고 제한된 조직 유형에 초점을 맞춘 것과는 대조적이다.

둘째, 본 연구는 다양한 이해관계자의 관점을 포괄적으로 수렴하였다. 한국 지사 직원뿐만 아니라 글로벌 본사 임직원, 컨설턴트, 인증심사 팀장과 심사원 등 ISMS 인증 및 준비 과정에 참여한 다양한 이해관계자의 의견을 수집하고 분석하였다. 이를 통해 내부시각에 국한되지 않고, 포괄적인 관점에서 ISMS 인증 취득의 성공 요인을 종합적으로 분석하였다. 이는 대부분의 선행연구가 특정 그룹이나 내부 직원의 의견에만 초점을 맞춘 것과는 차별화된다.

셋째, 수정된 델파이 기법과 AHP 기법을 활용하여 성공 요인을 도출하고, 이들 요인의 상대적 중요도를 정량적으로 평가하였다. 이를 통해 각 요인이 ISMS 인증 취득 과정에서 어떻게 영향을 미치는지를 우선순위로 제시하고, 글로벌 본사와 한국 지사 간의 협력을 강화할 수 있는 구체적인 전략을 제시하였다. 이러한 상대적 중요도 평가와 구체적 전략 제시는 기존 연구에서 부족했던 부분을 보완한다.

따라서 본 연구는 글로벌 본사와 한국 지사 간의 협력 문제를 중심으로, ISMS 인증이 법적으로 의무화된 한국의 특수한 환경에서 발생하는 도전과제를 심층적으로 분석하고, 다양한 이해관계자의 관점을 통합함으로써 기존 연구와는 다른 실질적인 전략을 제시하였다. 이는 글로벌 기업이 한국에서 ISMS 인증을 효과적으로 취득하고 유지하는 데 있어 중요한 시사점을 제공한다.

3. 연구 방법

본 연구는 글로벌 기업 한국 지사의 ISMS 인증 취득의 성공 요인을 파악하기 위해 수정된 델파이 기법과 AHP 기법을 적용하였다. 먼저, 선행연구를 분석하고 22명의 국내외 전문가와 심층 인터뷰를 진행하여 예비 성공 요인을 선정하였다. 이어서 수정된 델파이 기법을 활용해 30명의 전문가로 구성된 패널을 대상으로 1차 조사에서는 반개방형 설문을, 2차 조사에서는 폐쇄형 설문을 통해 예비 성공 요인에 대한 최종 합의된 의견을 도출하였다. 이러한 반복적 피드백 과정을 통해 연구의 신뢰성을 확보하였다. 이후 AHP 기법을 활용하여 선정된 요인의 상대적 중요도를 평가하였다. 쌍대 비교를 통해 각 요인의 가중치를 산출하고, 일관성 비율(이하 CR, Consistency Ratio)을 검증함으로써 응답의 타당성을 확인하였다.

3.1 구안 단계

델파이 기법의 구안 단계는 연구 목적을 달성하기 위한 필수적인 기초 작업이다. 본 연구에서는 ISMS 성공 요인에 관한 국외 선행연구를 검토하고, 이를 바탕으로 상위 요인과 하위 요인을 체계적으로 도출하였다. 또한, 글로벌 기업의 한국 지사 ISMS 인증에 참여한 글로벌 본사 및 한국 지사 임직원 등 22명의 전문가를 대상으로 심층 인터뷰를 진행하여, 선행연구에서 다루지 않았던 '계획 수립'과 '요구 사항 정렬'이라는 추가적인 요인을 도출하였다. 이를 통해 설문 문항을 구체화하고 델파이 조사의 구조를 설계하였다.

'사람' 상위 요인은 ISMS 인증을 위해 실무자들의 역량, 협력, 참여를 강화하는 것을 의미한다. 하위 요인으로는 헌신(ISMS 인증을 위한 실무자들의 책임감과 적극적 참여), 의사소통(본사와 지사 간 정보 공유 및 원활한 소통), 역량(실무자들의 보안 기술과 지식), 동기부여(인증 참여를 유도하는 요인), 보안 인식(보안 위험과 대응에 대한 이해), 교육(ISMS 관련 기술과 지식 교육)이 포함된다.

'프로세스' 상위 요인은 ISMS 인증을 위한 절차와 활동 관리, 법적 요구 사항 준수를 의미한다. 하위 요인으로는 컴플라이언스 관리(법적·규제적 요구 사항 준수), 문서 관리(인증 관련 문서의 체계적 관리), 내부 감사(정책과 절차 준수 여부 점검), 모니터링 및 검토(보안 활동의 지속적 확인), 성과 관리(실무자 활동 및 성과 평가), 계획 수립(인증을 위한 전략과 계획 수립), 요구 사항 정렬(한국 지사의 요구 사항을 글로벌 본사에 이해시키고 반영), 위험 관리(보안 위험의 식별, 평가, 관리)가 있다.

'조직' 상위 요인은 본사와 지사 간 협력, 자원 관리, 전략 수립을 통해 보안 목표를 달성하는 것을 의미한다. 하위 요인으로는 비즈니스 정렬(비즈니스 목표와 보안 전략의 일치), 협업(본사와 지사 간의 협력 강화), 조직구조(보안 관리에 적합한 조직구조), 정책(ISMS 인증 요구 사항을 충족하는 규칙과 지침), 자원 관리(인적·물적 자원의 효율적 관리), 역할과 책임(명확한 역할 분담), 보안 문화(조직 전반의 보안 의식 강화), 전략적 관리(장기 정보보안 목표 수립), 경영진 지원(최고 경영진의 보안 활동 지원)이 포함된다.

3.2 수정된 델파이 기법

수정된 델파이 기법은 전통적인 델파이 기법과 달리 1차 조사에서 비구조화된 질문 대신 구조화된 설문지를 사용하여 시간과 비용을 절약하고 패널이 주제에 집중하도록 한다[17]. 본 연구에서는 이 기법을 적용하여 선행연구와 인터뷰로 도출된 예비 성공 요인을 기반으로, 1차 조사에서 리커트 5점 척도의 구조화된 설문과 개방형 응답란을 사용하였다. 이후 2차 조사에서는 1차 결과를 반영한 폐쇄형 설문으로 전문가들의 추가 의견을 수집하였다.

Gordon(1994)[18]의 연구에서는 대부분의 델파이 연구에서는 15명에서 35명 사이의 패널을 사용한다고 주장했고, Sekayi 외 1인(2017)[19]은 패널의 수가 30명을 넘어가면 반복적인 과정에서 관리가 어려워지고 20~30명으로도 충분한 다양한 관점을 제공할 수 있다고 주장했다. 이를 바탕으로, 최소 3년 이상의 실무 경력을 보유하고 글로벌 기업 한국 지사의 ISMS 인증심사 및 준비 과정에 직접 참여하여 연구 목적에 대한 높은 이해도를 가진 전문가들을 선정하였다. 패널은 글로벌 본사와 한국 지사의 임직원, 컨설턴트, 인증심사 팀장과 심사원 등 총 30명으로 구성하여 적절한 규모를 유지하였다.

1차와 2차 델파이 조사에서 내용 타당도 비율(이하 CVR, Content Validity Ratio)의 유의미성을 판단하기 위해 Lawshe(1975)[20]의 기준에 따라 30명 패널 기준 CVR 최솟값을 0.33으로 설정하였다. 항목 채택 기준은 ① 평균값 4 이상, ② CVR 0.33 이상, ③ 수렴도 0.5 이하, ④ 합의도 0.75 이상, ⑤ 변이계수 0.5 이하를 만족하는 항목들을 선정하였고, 델파이 기법의 익명성과 반복적인 피드백으로 전문가들의 다양한 의견을 반영하여 연구의 타당성과 신뢰성을 확보하였다.

3.3 AHP 기법

본 연구는 수정된 델파이 기법으로 도출한 성공 요인의 상대적 중요도를 평가하기 위해 AHP 기법을 적용하였다. AHP는 여러 대안을 쌍대 비교하여 우선순위를 결정하는 의사 결정 방법으로, 요소 간 상대적 중요도를 1부터 9까지의 척도로 측정한다[21]. CR은 판단 일관성을 평가하는 지표로, CR이 0.1 이하일 때 신뢰할 만하다고 간주한다[22]. AHP 분석에는 디시전 사이언스의 "I Make It" 프로그램을 활용하였으며, CR을 0.1 이하로 유지하는 데 적합하다고 판단하였다. 또한, 수정된 델파이 기법 과정에서 핵심 전문가로 판단된 15인을 AHP 패널로 구성하였다.

Saaty(1994)는 AHP의 일관성을 유지하기 위해 비교 요소 수를 7개로 제한하는 것이 적절하며, 더 많으면 클러스터로 분류하여 비교해야 한다고 주장하였다[22]. 또한, Miller(1956)에 따르면 인간의 단기 기억과 주의 범위는 일반적으로 약 7개 항목(±2)으로 제한된다[23]. 이를 바탕으로, 응답자의 일관성 유지와 집중도 저하를 방지하기 위해 수정된 델파이 기법으로 도출된 요인 중 각 상위 요인별로 하위 요인을 평균값이 높은 순서대로 5개씩 선별하여 분석하였다.

4. 연구 결과

4.1 수정된 델파이 기법

글로벌 기업 한국 지사의 ISMS 인증 취득 과정에 참여한 패널 30명을 대상으로 1차 델파이 조사를 하였다. 조사에 응답한 28명의 결과를 바탕으로 평균값 4 이상, CVR 0.33 이상, 수렴도 0.5 이하, 합의도 0.75 이상인 항목만을 2차 델파이 조사 항목으로 선정하였다. 그 결과, ‘성과 관리’ 항목은 CVR이 0.29로 기준에 미치지 못하여 제외되었다.

2차 델파이 조사에는 25명이 참여하였으며, 평균값 4 이상, CVR 0.33 이상, 수렴도 0.5 이하, 합의도 0.75 이상, 그리고 변이계수 0.5 이하의 기준을 충족하는 항목을 선정하였다. 그중에서 평균값을 기준으로 상위 5개 항목만을 선별하여 최종 요인으로 선정하였다.

2차 델파이 조사 결과는 <표 2>와 같다. ‘사람’ 상위 요인의 하위 요인 중 ‘의사소통(4.80)’의 평균값이 가장 높게 나타났으며, 그 뒤를 이어 ‘보안 인식(4.68)’, ‘헌신(4.40)’, ‘동기부여(4.12)’, ‘역량(4.08)’ 순으로 분석되었다. ‘프로세스’ 상위 요인에서는 ‘컴플라이언스 관리(4.68)’의 평균값이 가장 높았으며, ‘모니터링 및 검토(4.56)’, ‘요구 사항 정렬(4.48)’, ‘계획 수립(4.48)’, ‘위험 관리(4.44)’ 순으로 나타났다. 마지막으로 ‘조직’ 상위 요인의 하위 요인을 보면, ‘경영진의 지원(4.84)’과 ‘협업(4.84)’의 평균값이 가장 높게 나타났고, 이어서 ‘역할과 책임(4.68)’, ‘자원 관리(4.52)’, ‘정책(4.36)’ 순으로 도출되었다.

<표 2> 수정된 델파이 2차 조사 결과

SOBTCQ_2024_v24n4_99_6_t0001.png 이미지

4.2 AHP 기법

본 연구는 델파이 설문으로 도출된 3개의 상위 요인과 15개의 하위 요인을 AHP 설문에 활용하였다. ISMS에 대한 높은 이해도를 가진 델파이 2차 설문 참여자 중 15명을 선정하여 AHP 설문을 진행하였으며, 전원이 응답하였다. 상위 요인의 CR은 0.1 이하로 나타나 응답의 일관성과 결과의 신뢰성을 확보하였다. AHP 조사 결과는 <표 3>과 같다. 상위 요인의 가중치와 우선순위 분석 결과, ‘조직’이 가장 높은 중요도를 보였고, 다음으로 ‘프로세스’와 ‘사람’ 순으로 나타났다. 전체 응답의 CR은 0.00048로, 패널들의 응답이 높은 일관성을 가지고 있으며, 이에 따라 결과의 신뢰성이 높다고 판단된다.

<표 3> AHP 조사 결과

SOBTCQ_2024_v24n4_99_6_t0002.png 이미지

세부적으로 ‘사람’ 요인의 하위 요인을 살펴보면, 우선순위는 ‘의사소통’이 가장 높았고, 이어 ‘보안 인식’, ‘동기부여’, ‘역량’, ‘헌신’ 순으로 나타났다. 해당 요인의 CR은 0.00610으로 분석되었다. ‘프로세스’ 요인의 하위 요인에서는 ‘요구 사항 정렬’이 가장 중요한 것으로 평가되었으며, 다음으로 ‘계획 수립’, ‘위험 관리’, ‘모니터링 및 검토’, ‘컴플라이언스 관리’ 순으로 나타났고, CR은 0.00833으로 나타났다. 마지막으로 ‘조직’ 요인의 하위 요인은 ‘경영진의 지원’이 가장 높은 우선순위를 보였고, 이어 ‘역할과 책임’, ‘정책’, ‘협업’, ‘자원 관리’ 순으로 평가되었으며, CR은 0.00462로 분석되었다.

상위 요인과 하위 요인의 우선순위 분석을 토대로, 상위 요인의 가중치와 하위 요인의 가중치를 곱하여 복합 가중치를 산출하였다. 그 결과는 (그림 1)에 제시되어 있다. 복합 가중치를 통한 우선순위를 자세히 살펴보면, ‘경영진의 지원(0.09051)’이 1위로 나타났으며, ‘역할과 책임(0.04396)’이 2위, ‘정책(0.03747)’이3위로 나타났다. 반면, 우선순위가 낮은 항목은 ‘동기부여(0.00710)’가 13위, ‘역량(0.00628)’이 14위, ‘헌신(0.00598)’이 15위로 확인되었다.

SOBTCQ_2024_v24n4_99_7_f0001.png 이미지

(그림 1) 복합 가중치

5. 결론

본 연구는 글로벌 기업 한국 지사의 ISMS 인증 취득의 성공 요인을 파악하기 위해 수정된 델파이 기법과 AHP 기법을 활용하였다. 델파이 기법으로 도출된 요인들의 상대적 중요도를 AHP로 평가한 결과, '조직'이 가장 중요한 상위 요인으로 나타났으며, 특히 '경영진의 지원'은 전체 하위 요인 중 최우선 순위로 도출되었다. 이를 통해 성공적인 ISMS 인증을 위해 조직 차원의 적극적인 지원, 특히 경영진의 적극적 지원이 필수적임을 확인하였다.

따라서 본 연구는 글로벌 기업 한국 지사의 ISMS 인증 취득을 성공적으로 이끌기 위해 다음과 같은 전략을 제안한다.

첫째, 글로벌 본사 경영진을 설득하기 위한 구체적인 전략을 수립해야 한다. 한국의 법적 요구 사항 준수의 필요성을 강조하여 ISMS 인증의 중요성과 기대효과를 경영진에게 명확히 전달하고, 경영진이 정보보호를 조직의 핵심 목표로 인식하고 주도적으로 추진하도록 유도해야 한다. 이를 통해 조직 구성원 모두가 ISMS를 자신의 업무와 역할에서 중요한 부분으로 받아들이게 될 것이다.

둘째, 명확한 역할과 책임 분담 체계를 구축해야 한다. 경영진을 중심으로 정보보호 정책을 구체화하고, 경영진, 정보보호 조직, 일반 직원 등 각 구성원의 책임과 역할을 명확히 규정함으로써 조직 구성원 모두가 ISMS 구축 및 인증 과정에 적극적으로 참여할 수 있도록 해야 한다. 구성원들이 각자의 역할과 책임을 명확히 이해할 때 자발적인 협력이 가능하며, 이러한 명확한 역할과 책임의 분담은 부서 간 원활한 협업을 촉진한다.

셋째, 글로벌 차원의 지원과 지침을 확보해야 한다. 글로벌 기업의 한국 지사에서는 특히 글로벌 본사와의 협력이 필수적이다. 많은 경우, 한국 지사는 ISMS 인증 준비 과정에서 본사로부터 인적 및 물적 자원의 지원이 필요하다. 이때 글로벌 본사 경영진의 전폭적인 지원과 명확한 지침이 있어야만 글로벌 차원에서의 협력이 원활하게 이루어질 수 있다. 본사 경영진의 지원을 통해 필요한 자원과 정책 조정을 끌어낸다면, 한국 지사의 ISMS 인증 준비 과정에 큰 도움이 될 것이다. 실제로 일부 글로벌 기업의 사례에서는 본사 경영진이 한국 지사의 ISMS 인증을 지원하기 위해 컨설팅 비용을 제공하거나, 본사의 정보보호 정책을 조정하는 등 적극적인 지원을 아끼지 않았다.

이러한 제안을 실제로 적용함으로써 기대되는 효과는 다음과 같다. 첫째, ISMS 인증 준비 과정의 효율성과 체계성이 향상된다. 경영진의 적극적인 지원과 명확한 역할 분담을 통해 부서 간 협업이 강화되어 인증 준비 과정에서의 어려움이 감소할 것이다. 이는 각 부서와 실무진 간의 원활한 협력을 촉진하여 인증 준비 과정을 더 효율적이고 체계적으로 진행할 수 있게 한다.

둘째, 글로벌 조직 전체의 정보보호 수준이 향상된다. 정보보호를 조직의 핵심 전략으로 인식함으로써 구성원들의 보안 인식과 참여도가 높아지고, 이는 실질적인 보안 강화로 이어질 것이다. 특히 글로벌 통합 플랫폼을 사용하는 기업이 많은 만큼, 한국의 ISMS를 통한 개선을 기반으로 글로벌 조직 전체의 보안 향상을 기대할 수 있다.

결론적으로, ISMS 인증은 조직 전체의 협력과 자원 투입이 요구되는 복잡한 프로세스이며, 그 성공 여부는 경영진의 전폭적인 지원에 크게 좌우된다. 경영진이 ISMS 구축에 필요한 자원을 적절히 배분하고, 조직 전체에 명확한 지침을 제공하며, 부서 간의 협력을 촉진할 수 있다면 조직의 정보보호 수준은 현저하게 향상될 것이다. 특히, 글로벌 기업 한국 지사에서는 글로벌 본사 경영진의 지원이 더욱 결정적인 요소로 작용하며, 이는 본 연구를 통해 확인된 주요 성공 요인들에 대한 분석을 통해 명확히 드러났다.

따라서 본 연구는 경영진의 지속적인 관심과 주도적인 참여가 글로벌 기업 한국 지사의 ISMS 인증 취득의 성공과 조직의 전반적인 정보보호 수준 향상을 위한 필수 조건임을 강조한다. 이러한 전략을 실제로 적용함으로써 조직은 ISMS를 효과적으로 구축하고, 글로벌 경쟁력을 강화할 수 있을 것이다. 이를 통해 조직이 정보보호에 대한 노력을 실질적인 성과로 전환할 수 있음을 제시한다.

References

  1. 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제2조.
  2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조 제2항.
  3. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제49조.
  4. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제5조의2.
  5. 이경호, 강우성, '국내 이커머스 시장의 경쟁전략: 가치사슬기반의 자원과 역량 강화를 중심으로', 유통연구, 제29권, 제1호, pp. 85-119, 2024. https://doi.org/10.17657/jcr.2024.1.31.5
  6. 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, "정보보호 및 개인정보보호관리체계(ISMS-P) 인증제도 안내서", 2024.
  7. H.L. Hai and K.M. Wang, "The critical success factors assessment of ISO 27001 certification in computer organization by test-retest reliability", African Journal of Business Management, Vol. 8, No. 17, pp. 705-716, 2014. https://doi.org/10.5897/AJBM2014.7443
  8. N. Maarop, N. Mustapha, R. Yusoff, R. Ibrahim, and N. Zainuddin, "Understanding Success Factors of an Information Security Management System Plan Phase Self-Implementation", International Journal of Computer and Information Engineering, Vol. 9, No. 3, pp. 884-889, 2015.
  9. C. Z. Tu, Y. Yuan, N. Archer, and C. E. Connelly, "Strategic value alignment for information security management: a critical success factor analysis", Information & Computer Security, Vol. 26, No. 2, pp. 150-170, 2018. https://doi.org/10.1108/ICS-06-2017-0042
  10. N. Ibrahim and N. Ali, "The Role of Organizational Factors to the Effectiveness of ISMS Implementation in Malaysian Public Sector", International Journal of Engineering & Technology, Vol. 7, No. 4.35, pp.544-550, 2018. https://doi.org/10.14419/ijet.v7i4.35.22907
  11. M. Zammani, R. Razali, and D. Singh, "Factors Contributing to the Success of Information Security Management Implementation", International Journal of Advanced Computer Science and Applications, Vol. 10, No. 11, pp. 384-391, 2019. https://doi.org/10.14569/IJACSA.2019.0101153
  12. R. Hashim and R. Razali, "Contributing Factors for Successful Information Security Management Implementation: A Conceptual Model", International Journal of Innovative Technology and Exploring Engineering (IJITEE), Vol. 9, No. 2, pp. 4491-4499, 2019. https://doi.org/10.35940/ijitee.B7214.129219
  13. A. Ključnikov, L. Mura, and D. Sklenár, "Information Security Management in SMEs: Factors of Success", Entrepreneurship and Sustainability Issues, Vol. 6, No. 4, pp.2081-2094, 2019. https://doi.org/10.9770/jesi.2019.6.4(37)
  14. K. Arbanas and N. Ž. Hrustek, "Key Success Factors of Information Systems Security", Journal of Information and Organizational Sciences, Vol. 43, No. 2, pp. 131-144, 2019. https://doi.org/10.31341/jios.43.2.1
  15. N. Maarop, M. Zam, G. Narayana Samy, A. Manaf, A. Munshi, and P. Magalingam, "A Qualitative Insight of Success Factors of Information Security Management System", 2021 7th International Conference on Research and Innovation in Information Systems (ICRIIS), 2021.
  16. N. Maarop, D. Witarsyah, S. S. Hussein, G. N. Samy, N. H. Hassan, D. W. H. Ten, R. Mohammad, N. M. M. Zainuddin, "Information Security Management System Success Measurement Indicator", International Journal of Scientific & Technology Research, Vol. 10, No. 2, pp. 314-320, 2021.
  17. J. W. Murray and J. O. Hammons, 'Delphi: A Versatile Methodology for Conducting Qualitative Research', The Review of Higher Education, Vol. 18, No. 4, pp. 423-436, 1995. https://doi.org/10.1353/rhe.1995.0008
  18. T. J. Gordon, "The Delphi Method", AC/UNU Millennium Project, 1994.
  19. D. Sekayi and A. Kennedy, "Qualitative Delphi Method: A Four Round Process with a Worked Example", The Qualitative Report, Vol. 22, No. 10, pp. 2755-2763, 2017.
  20. C. H. Lawshe, "A Quantitative Approach to Content Validity", Personnel Psychology, Vol. 28, pp. 563-575, 1975. https://doi.org/10.1111/j.1744-6570.1975.tb01393.x
  21. T. L. Saaty and L. G. Vargas, "Models, Methods, Concepts & Applications of the Analytic Hierarchy Process", Springer, 2012
  22. T. L. Saaty, 'How to Make a Decision: The Analytic Hierarchy Process', Interfaces, Vol. 24, No. 6, pp. 19-43, 1994. https://doi.org/10.1287/inte.24.6.19
  23. G. A. Miller, "The Magical Number Seven, Plus or Minus Two: Some Limits on our Capacity for Processing Information", Psychological Review, Vol. 63, No. 2, pp. 81-97, 1956. https://doi.org/10.1037/h0043158