정량적 위험분석: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 1: | Line 1: | ||
== '''노출 계수''' == | == 지표 == | ||
=== '''노출 계수''' === | |||
* Exposure Factor, '''EF''' | * Exposure Factor, '''EF''' | ||
* 자산에 대한 손실 가능성(0~1) | * 자산에 대한 손실 가능성(0~1) | ||
== '''연간 발생률''' == | === '''연간 발생률''' === | ||
* Annual Rate of Occurrence, '''ARO''' | * Annual Rate of Occurrence, '''ARO''' | ||
* 연간 위험 발생 가능성(0~1) | * 연간 위험 발생 가능성(0~1) | ||
== '''단일 예상 손실액''' == | === '''단일 예상 손실액''' === | ||
* Single Loss Expectancy, '''SLE''' | * Single Loss Expectancy, '''SLE''' | ||
* 자산가치 × 노출 계수 | * 자산가치 × 노출 계수 | ||
== '''연간 예상 손실액''' == | === '''연간 예상 손실액''' === | ||
* Annual Loss Expectancy, '''ALE''' | * Annual Loss Expectancy, '''ALE''' | ||
* 1년동안 발생 가능한 손실액 | * 1년동안 발생 가능한 손실액 | ||
* 단일 예상 손실액(SLE) × 연간 발생률(ARO) | * 단일 예상 손실액(SLE) × 연간 발생률(ARO) | ||
* 이론적으로 연간 보안 예산은 연간 예상 손실액 이내인 것이 합리적이다. | * 이론적으로 연간 보안 예산은 연간 예상 손실액 이내인 것이 합리적이다. | ||
== 분석 방법 == | |||
=== 민감도 분석 (Sensitivity analysis) === | |||
* 다른 조건이 일정한 경우에 어느 한 투입요소가 변동할 때의 예측치가 어느정도 민감하게 변동하는가를 분석하는 것 | |||
* 표시방법 중 토네이도 도표가 있는데 이 도표는 불확실성 수준이 높은 변수의 상대적 중요성을 보다 안정적인 변수와 비교할 때 유용하다. | |||
=== 금전적 기대값 분석 (Expected monetary value analysis) ==== | |||
* EMV 분석은 발생할 수도 있고 발생하지 않을 수도 있는 시나리오가 미래에 포함될 때 평균결과를 계산하는 통계적 개념이다. | |||
* 기회의 EMV는 양수값으로, 리스크의 EMV는 음수값으로 표현된다. | |||
* EMV는 각 예상 결과 값에 확률을 곱한 다음 모든 값을 더하여 계산한다. | |||
* 일반적으로 의사결정 트리 분석(Decision tree analysis)에서 사용한다. | |||
* 효용이론 (Utility Theory): 서로 다른 수준의 보상으로 리스크를 수용하는 개인의 의지 측정을 위한 이론적 접근법 | |||
=== 몬테카를로 시물레이션 === | |||
* 우연현상의 경과를 난수를 써서 수치적, 모형적으로 실현시켜 그것을 관찰함으로써 문제의 근사 해를 얻는 방법 | |||
* 가능한 원가 또는 기간의 확률 분포에서 임의로 선정한(random) 값을 사용하여 | |||
* 프로젝트 원가나 프로젝트 일정을 여러 차례 계산하거나 반복하는 방법 | |||
* 총 프로젝트 원가 또는 완료날짜의 분포를 산출하는 기법으로 사용한다. | |||
=== 의사결정 나무 분석 (Decision tree analysis) === | |||
* 기대 값과 리스크 확률을 곱하여 잠재적 산출 및 영향을 분석하여 의사 결정에 도움이 되는 분석 기법 | |||
=== 과거자료 분석법 === | |||
* 과거의 자료를 통한 위험발생 가능성 예측, 과거 데이터 수량에 따른 정확도 | |||
== =수학공식 접근법 === | |||
* 위협발생빈도를 계산하는 식을 이용하여 위험을 계량화 | |||
=== 확률분포법 === | |||
* 미지의 사건을 확률적으로 편차를 이용하여 최저,보통, 최고 위험평가를 예측 |
Revision as of 21:10, 13 May 2019
지표
노출 계수
- Exposure Factor, EF
- 자산에 대한 손실 가능성(0~1)
연간 발생률
- Annual Rate of Occurrence, ARO
- 연간 위험 발생 가능성(0~1)
단일 예상 손실액
- Single Loss Expectancy, SLE
- 자산가치 × 노출 계수
연간 예상 손실액
- Annual Loss Expectancy, ALE
- 1년동안 발생 가능한 손실액
- 단일 예상 손실액(SLE) × 연간 발생률(ARO)
- 이론적으로 연간 보안 예산은 연간 예상 손실액 이내인 것이 합리적이다.
분석 방법
민감도 분석 (Sensitivity analysis)
- 다른 조건이 일정한 경우에 어느 한 투입요소가 변동할 때의 예측치가 어느정도 민감하게 변동하는가를 분석하는 것
- 표시방법 중 토네이도 도표가 있는데 이 도표는 불확실성 수준이 높은 변수의 상대적 중요성을 보다 안정적인 변수와 비교할 때 유용하다.
금전적 기대값 분석 (Expected monetary value analysis) =
- EMV 분석은 발생할 수도 있고 발생하지 않을 수도 있는 시나리오가 미래에 포함될 때 평균결과를 계산하는 통계적 개념이다.
- 기회의 EMV는 양수값으로, 리스크의 EMV는 음수값으로 표현된다.
- EMV는 각 예상 결과 값에 확률을 곱한 다음 모든 값을 더하여 계산한다.
- 일반적으로 의사결정 트리 분석(Decision tree analysis)에서 사용한다.
- 효용이론 (Utility Theory): 서로 다른 수준의 보상으로 리스크를 수용하는 개인의 의지 측정을 위한 이론적 접근법
몬테카를로 시물레이션
- 우연현상의 경과를 난수를 써서 수치적, 모형적으로 실현시켜 그것을 관찰함으로써 문제의 근사 해를 얻는 방법
- 가능한 원가 또는 기간의 확률 분포에서 임의로 선정한(random) 값을 사용하여
- 프로젝트 원가나 프로젝트 일정을 여러 차례 계산하거나 반복하는 방법
- 총 프로젝트 원가 또는 완료날짜의 분포를 산출하는 기법으로 사용한다.
의사결정 나무 분석 (Decision tree analysis)
- 기대 값과 리스크 확률을 곱하여 잠재적 산출 및 영향을 분석하여 의사 결정에 도움이 되는 분석 기법
과거자료 분석법
- 과거의 자료를 통한 위험발생 가능성 예측, 과거 데이터 수량에 따른 정확도
=수학공식 접근법 =
- 위협발생빈도를 계산하는 식을 이용하여 위험을 계량화
확률분포법
- 미지의 사건을 확률적으로 편차를 이용하여 최저,보통, 최고 위험평가를 예측