위험관리: Difference between revisions

From CS Wiki
(새 문서: ;Risk Management 측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지·관리 ==위험관리 목적== * 위험을 수용...)
 
 
(10 intermediate revisions by 3 users not shown)
Line 1: Line 1:
;Risk Management
;Risk Management
측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지·관리
[[위험]]을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정


==위험관리 목적==
==위험관리 목적==
* 위험을 수용 가능한 수준으로 감소시킨다.
* [[위험]]을 수용 가능한 수준으로 감소시킨다.


==위험분석과의 관계==
==위험관리 과정==
* 위험분석(Risk Analysis)이란 위험을 분석하고 해석하는 과정
# 위험 관리 계획 수립
# 위험 식별
# 정성적 [[위험분석]] 수행
# 정량적 [[위험분석]] 수행
# 위험 대응 계획 수립
# 위험 감시 및 통제
 
===위험분석과의 관계===
* [[위험분석|위험분석(Risk Analysis)]]이란 위험을 분석하고 해석하는 과정
* 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정
* 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정
* 위험관리는 분석된 위험에 대해 관리하는 것을 말한다.
* 위험관리는 분석된 위험에 대해 관리하는 것을 말한다.
* '''위험분석 → 위험관리'''의 순서로 이루어짐
* '''위험분석 → 위험관리'''의 순서로 이루어짐
* 과정상 위험관리의 하위 개념으로 볼 수도 있지만 위험분석이 모두 위험관리로 이어지는 것은 아니므로 구분해서 볼 수도 있다. (위험관리를 위험통제의 관점에서 좁게 본 경우)
=== 위험관리 계획 ===
선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것
==위험 대응 및 통제==
=== 기본 통제 ===
* 위험관리 방법론의 기본적인 방법
* 위험분석없이 통제를 적용한다.
* 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다.
* 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다.


==대책 유형==
=== [[위험관리 방법]] ===
* '''기본 통제방식'''
* [[위험 감소]]: 보안 투자를 늘리는 등의 방법으로 위험이 발생할 확률을 줄인다.
** 위험관리 방법론의 기본적인 방법
* [[위험 회피]]: 위험이 동반되는 사업을 수행하지 않거나 완전 다른 방법을 사용한다.
** 위험분석없이 통제를 적용한다.
* [[위험 전가]]: 위험한 사업을 외주로 전환하거나 보험에 들어 위험부담이나 책임을 이전시킨다.
** 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다.
* [[위험 수용]]: 위험부담을 그대로 감수하고 진행한다.
** 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다.


* '''상세 위험분석'''
=== 상세 위험분석 ===
** 위험에 대해 정량적·정성적 분석을 수행한다.
* 위험에 대해 [[위험분석|정량적·정성적 분석]]을 수행후 그에 따른 적절한 통제를 수행한다.
** '''정량적 분석''' : [[연간예상손실액]], [[과거자료 분석법]], 수학공식 접근법, 확률 분포법
*** 계산이 복잡하여 분석하는데 시간, 노력이 많이 든다.
*** 수치작업의 어려움으로 신뢰도가 도구 또는 벤더에 의존된다.
*** 정보의 가치가 논리적으로 평가되어 위험관리 성능 평가가 용이하다.
** '''정성적 분석''' : [[델파이법]], [[시나리오법]], [[순위결정법]]
*** 위험평가 과정과 측정기준이 일관되지 않고 주관적이다.
*** 위험완화 대책 및 비용·효과에 대한 명확한 근거가 없다.
*** 위험관리 성능을 추적할 수 없다.
*** 정보자산에 대한 수치화가 불필요하여 계산에 대한 시간과 노력이 적게 든다.


[[분류:보안]]
[[분류:보안]][[분류:정보보안기사]]

Latest revision as of 09:52, 7 September 2019

Risk Management

위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

위험관리 목적[edit | edit source]

  • 위험을 수용 가능한 수준으로 감소시킨다.

위험관리 과정[edit | edit source]

  1. 위험 관리 계획 수립
  2. 위험 식별
  3. 정성적 위험분석 수행
  4. 정량적 위험분석 수행
  5. 위험 대응 계획 수립
  6. 위험 감시 및 통제

위험분석과의 관계[edit | edit source]

  • 위험분석(Risk Analysis)이란 위험을 분석하고 해석하는 과정
  • 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정
  • 위험관리는 분석된 위험에 대해 관리하는 것을 말한다.
  • 위험분석 → 위험관리의 순서로 이루어짐
  • 과정상 위험관리의 하위 개념으로 볼 수도 있지만 위험분석이 모두 위험관리로 이어지는 것은 아니므로 구분해서 볼 수도 있다. (위험관리를 위험통제의 관점에서 좁게 본 경우)

위험관리 계획[edit | edit source]

선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것

위험 대응 및 통제[edit | edit source]

기본 통제[edit | edit source]

  • 위험관리 방법론의 기본적인 방법
  • 위험분석없이 통제를 적용한다.
  • 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다.
  • 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다.

위험관리 방법[edit | edit source]

  • 위험 감소: 보안 투자를 늘리는 등의 방법으로 위험이 발생할 확률을 줄인다.
  • 위험 회피: 위험이 동반되는 사업을 수행하지 않거나 완전 다른 방법을 사용한다.
  • 위험 전가: 위험한 사업을 외주로 전환하거나 보험에 들어 위험부담이나 책임을 이전시킨다.
  • 위험 수용: 위험부담을 그대로 감수하고 진행한다.

상세 위험분석[edit | edit source]