위험 분석 및 위험 관리
위험 관리 과정
1. 위험 관리 계획 수립
2. 위험 식별
3. 위험 분석 수행
4. 위험 대응 계획 수립
5. 위험 감시 및 통제
위험분석 : 보호해야 할 자산과 조직의 위험을 측정하고 이 위험이 허용 가능한 수준인지 판단. 위험 관리의 대부분은 위험 분석이 차지.
1. 위험의 종류
가 . 알려진 위험
나. 알려지지 않은 위험
2. 위험 분석 구성요소
자산(Assets) : 조직이 보유한 시스템 등의 모든 요소
위협(Threats) : 자산의 고유 취약점을 이용하여 직접적 피해를 줄 수 있는 요소
취약점(Vulnerability) : 자산과 위협을 이어주는 요소
3. 위험 분석 방법
가. 베이스라인 접근법
체크리스트 형태의 분석. 소규모 조직에 적합한 방식.
시간과 비용을 절약할 수 있는 장점이 있지만
계량화가 어렵고 점수로만 알 수 있어 자세한 보안 환경 관리가 어려움.
나. 비정형 접근법
위험 분석하는 전문가의 전문성 활용한 분석 방법
중소규모 조직에 적합하며 비교적 빠르게 수행이 가능한 장점이 있지만
주관적 판단에 의해 결과가 왜곡될 수 있는 문제가 있다.
다. 상세 위험 분석
모든 자산에 대하여 상세 위험 분석 실시
자산의 가치, 위협, 취약점을 고려한 위험 산정으로, 계량화 가능하며 해당 위험에 대한 통제 시 지출에 대한 정당화가 가능
돈과 인력이 문제
라. 복합 접근법
낮은 영역에 대하여는 기준 접근법을, 높은 위험 영역에는 상세 위험분석을 조합하여 분석
비용 및 자원을 효율적으로 사용 가능
4. 위험관리(위험 대응) - 모든 위험을 수용 가능한 수준으로 관리해야 함
가. 정보보안대책 - 위협에 대응하여 자산을 보호하기 위한 관리적, 물리적, 기술적 대책
나. 알려진 위험과 알려지지 않은 위험에 대한 관리가 필요
위험 감소 : 투자를 늘리는 등의 방법으로 위험 발생 확률을 감소
위험 회피 : 문제가 될 사업을 시행하지 않거나, 다른 방법을 사용
위험 전가 : 외주 전환, 보험 가입 등을 통해 책임 전가
