Information Security Policy Decision Making: An Analytic Hierarchy Process Approach

황준석, Irfan Syamsuddin (2009) · Asia International Conference on Modelling & Simulation · DOI ↗

인도네시아 정부의 정보보안 정책 의사결정을 계층 분석법 로 구조화한 paper. 관리, 기술, 경제, 문화의 4개 기준과 CIA 보안 요소, 즉 confidentiality, integrity, availability 를 위계화해 어느 보안 요소를 정책적으로 우선할지 평가한다. 결과는 availability 와 technology/management 기준이 높은 가중치를 얻지만, 저자들은 economy 와 culture 차원의 보완 없이는 정책 실행력이 약해질 수 있다고 본다.

• RQ: 인도네시아 정부의 정보보안 정책 우선순위는 어떤 기준과 보안 요소의 조합으로 구조화될 수 있는가
• 방법론: 계층 분석법
• 데이터: 인도네시아 정부 정보보안 정책 의사결정 사례, Web-HIPRE 기반 pairwise comparison
• 주요 발견: 기준 가중치는 technology 0.415, management 0.402, economy 0.104, culture 0.079 순이며, 보안 요소 종합 가중치는 availability 0.432, confidentiality 0.387, integrity 0.181 순이다.
• 시사점: 기술·관리 중심의 보안 정책만으로는 충분하지 않으며, 예산 제약과 보안 인식 같은 경제·문화 요인을 함께 다루어야 한다.

요약

이 paper는 정보보안 정책 결정을 단순한 기술 선택이 아니라 다기준 의사결정 문제로 본다. 저자들은 정부 조직의 보안 정책이 관리, 기술, 경제, 문화의 제약을 동시에 받으며, 보안 목표도 confidentiality, integrity, availability 사이의 균형 문제로 나타난다고 전제한다.

분석은 계층 분석법 로 수행된다. 4개 상위 기준과 3개 보안 요소를 위계적으로 연결하고, Web-HIPRE 도구를 사용해 pairwise comparison 결과를 종합한다. 종합 결과에서는 availability 가 가장 높은 정책 우선순위로 나타나고, 상위 기준에서는 technology 와 management 가 economy, culture 보다 크게 높게 평가된다.

해석상 중요한 점은 이 결과가 “기술 투자를 더 하라”는 단선적 결론이 아니라는 데 있다. 논문은 technology 와 management 의 높은 우선순위를 인정하면서도, 경제적 제약과 보안 문화, 특히 훈련과 인식 개선이 뒷받침되지 않으면 정보보안 정책 의 실행 가능성이 약해진다고 본다.

핵심 결과

항목	가중치	해석
Technology	0.415	기술적 보안 역량이 가장 높게 평가됨
Management	0.402	조직 관리와 정책 실행 체계가 거의 같은 수준으로 중요
Economy	0.104	예산과 비용 요인은 낮게 평가되지만 실행 제약으로 남음
Culture	0.079	보안 인식과 훈련은 낮은 가중치이나 저자들이 보완 필요성을 강조
Availability	0.432	종합 보안 요소 중 최우선
Confidentiality	0.387	두 번째 우선순위
Integrity	0.181	상대적으로 낮게 평가됨

방법론 노트

계층 분석법 는 목표, 기준, 대안을 계층화한 뒤 쌍대비교 행렬에서 우선순위 벡터를 계산한다. 이 paper의 계층은 목표인 정보보안 정책 의사결정, 4개 기준인 management, technology, economy, culture, 그리고 3개 보안 요소인 confidentiality, integrity, availability 로 구성된다.

쌍대비교 행렬의 일반형은 다음과 같다.

$$A = \begin{bmatrix} 1 & a_{12} & \cdots & a_{1n} \\ a_{21} & 1 & \cdots & a_{2n} \\ \vdots & \vdots & \ddots & \vdots \\ a_{n1} & a_{n2} & \cdots & 1 \end{bmatrix}$$

각 행렬에서 eigenvector 기반 우선순위를 산출하고, 상위 기준의 가중치와 하위 보안 요소의 local priority 를 곱해 종합 우선순위를 계산한다. 논문은 이를 Web-HIPRE 로 구현한다.

연구 계보

황준석 의 초기 ICT 정책·개도국 전자정부 라인 안에서 보면, 이 paper는 Failure of E-Government Implementation: A Case Study of South Sulawesi 의 전자정부 실행 문제를 정보보안 정책 의사결정으로 좁힌 자매 작업이다. 같은 공저자 Irfan Syamsuddin 의 The Application of AHP Model to Guide Decision Makers: A Case Study of E-Banking Security 와 함께 인도네시아 정보보안 맥락에 계층 분석법 를 적용한 묶음으로 읽을 수 있다.

See also

• 황준석
• Irfan Syamsuddin
• The Application of AHP Model to Guide Decision Makers: A Case Study of E-Banking Security
• 정보보안 정책
• 계층 분석법
• 전자정부

인접 그래프

1-hop 이웃 10개

• 인물 2
• 방법론 1
• 주제 2
• 수록처 1
• 분류 2
• 논문 2

↻ 초기화

휠 = 확대/축소 · 드래그 = 이동 · hover = 강조 · 클릭 = 페이지 이동

이 문서를 가리키는 페이지

인물 (1)

• Irfan Syamsuddin

수록처 (1)

• Asia International Conference on Modelling & Simulation