본 논문에서는 정보보호 관리체계를 구축하고 운영하고 있는 기업에서 외부감사(ISO27001)와 내부감사(보안전담조직에 의한)에 대한 결함 및 권고사항을 기술적 영역, 관리적 영역, 물리적 영역으로 분류하고 예산과 투자에 대한 상관관계를 확인하여 어떠한 영향이 있는지 분석하였다. 분석 결과는 시간의 흐름에 따라 관리적 보안영역과 기술적 보안영역에서 일관성 있는 연관관계를 확인하였으며 특히 미집행 예산(예산액-집행액) 규모와 감사 결함 및 권고사항의 수가 정(+)의 관계에 있음을 확인할 수 있었다. 이를 통해 상관분석 결과에 따른 유사도를 통계 분석하여 정보보호 투자의 효과성을 검증할 수 있는 모델을 제시한다. 그리하여 기업의 정보보호 투자에 대한 체계적인 방법론 접근과 정보보호 정책 수립 시 정확한 의사결정 방향에 도움이 되고자 한다.
This paper classifies technical, administrative and physical areas of defects and advices made by an external audit (ISO27001) and internal audit (performed by a security team) in a company which has the management system of information security. With the classified data it finds the correlation between the budget and investment of information security, and analyze the correlation. As a result of the analysis, it has been found that as time goes on there is a consistent correlation between a administrative area and technical area of security. Specially, it has been confirmed that the relation between the scale of the budget which is not executed and the number of the defects and advices made by the audit is in direct proportion. Therefore, in this paper, so as to provide a model that can be used for validating the effectiveness of the protective investment information by statistically calculating the similarity based on the results of correlation analysis. This research is intended to help that a company makes a precise decision when it establishes a policy of information security and systematic methodology of the investment in information security.
