This thesis attempts to draw the pictorial blueprint of risk analysis for IS manager. Although contingency model remains at a conceptual level, we believe that our integrative framework will be fueling the enhancement of the managerial insights. As the proverbs goes as “A person is known by the company he keeps", we can obtain the necessary information about IS-risk itself, if we comprehensively see over the related IS environment such as IS characteristics, business process, and human. First, we make a start in finding IS-risk factors on the analogy of this concept. Here, we focus attention on the relationship among the IS-related components. Then, we determine two factors for assessing IS-risk: business-impact intensity of IS and IS-vulnerability index. IS-vulnerability index also consists of openness degree and preparedness degree to the threats. Second, we built a contingency model based on two IS-risk factors. This approach consists of four cells: emergency care, life insurance, out-patient treatment, and a periodical inspection. Here, "emergency care" cell has the highest priority for IS-risk management and "a periodical inspection" lowest. Finally, we built the integrative framework for risk analysis and management. This framework includes uncertainty avoidance index and maturity level of IS. This thesis also used the LISREL package(Ver.7.16) as the statistical tool in order to validate our research hypotheses. Results of this study indicate that there is inconsistency between the level of IS use and IS security activity.

본 연구의 목적은 '위험'이란 추상적인 개념을 가시화함으로써 정보 시스템 관리자에게 유용한 청사진을 제시하는 데 있다. 제안한 두가지 위험 분석 틀이 개념적인 수준이긴 하지만, 정보 시스템 위험 분석을 위한 통합적인 시각은 관리적인 통찰력을 향상시키는 데에 기여할 수 있을 것이다. 본 연구에서는 정보 시스템 자체의 특성은 물론 관련된 비즈니스 프로세스와 인적 요인를 관찰함으로써 정보 시스템의 취약성과 비즈니스에 미치는 영향을 위험을 산정하는 변수로서 도출하였다. 여기서 취약성은 위협에 대한 정보 시스템 자체의 노출 정도와 제반 위협에 대한 조직의 준비 정도로 구분하였으며, 비즈니스에 미치는 영향은 운영상의 영향과 비용상의 영향으로 세분하었다. 본 연구는 이러한 일련의 작업을 토대로 하여 두가지 위험 분석 틀을 제시하였다. 하나는 정보 시스템 자체의 위험에 대한 이해를 돕는 개념적인 위험 분석 틀이고, 다른 하나는 정보 시스템의 제반 위험에 대한 관리적인 통찰력을 제고하기 위한 통합적인 분석 틀이다. 여기서 후자는 불확실성 회피 정도에 대한 조직 구성원의 성향 및 계획과 개발 분야에 있어서의 정보 시스템 사용 성숙도를 포함하고 있다. 또한 본 연구는 설문을 통한 가설의 검증 작업을 통하여 계획과 개발에 있어서 정보 시스템 사용 성숙도가 제반 위협에 대한 준비 수준에 영향을 미치지 않음을 알 수 있었다. 이로써 정보 시스템 위험 관리 활동에 대한 경영층의 관심과 지원이 정보 시스템 사용을 위한 계획 및 개발에 비하여 상대적으로 미약했다고 추론할 수 있다.