위험

From CS Wiki
Revision as of 09:46, 20 May 2018 by 221.153.37.97 (talk)
Risk
부정적인 일이 발생할 수 있는 가능성

위험의 구성요소

자산(Asset) × 취약점(Vulnerability) × 위협(Threat) - 정보보호대책(Safeguard)

위험 분석

정보나 정보처리 기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정

위험 분석 접근 방법

  • 베이스라인 접근법(Baseline approach)
    • 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위해 일련의 보호 대책을 선택
    • 장점 : 시간 및 비용 절약 모든 조직에서 기본적으로 필요한 보호 대책 선택 가능
    • 단점 : 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달 가능성
  • 비정형 접근법(Informal Approach)
    • 전문가의 지식과 경험에 따라 위험을 분석
    • 장점 : 시간과 비용이 절약되고 작은 조직에서 부담 없이 접근 가능
    • 단점 : 구조화된 접근이 아니며 보호대책 및 소요비용의 불확실성 존재
  • 상세 위험분석(Detailed Risk Analysis)
    • 자산의 가치를 측정하고 자산에 대한 위험과 취약성을 분석하여 위험 측정
    • 장점 : 조직 내 적절한 보안수준 마련 가능
    • 단점 : 전문적인 지식이 필요하고 시관가 비용을 많이 소모
  • 복합 접근법(Combined Approach)
    • 상세 위험 분석과 베이스라인 접근법을 복합적으로 사용
    • 장점 : 빠르고 효율적인 보안전략 구축
    • 단점 : 적용 대상의 불명확성으로 인한 자원 낭비의 가능성

위험 관리

Risk Management

위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

위험 관리 계획

선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것

위험 통제의 종류 =