위험관리: Difference between revisions

From IT Wiki
No edit summary
Line 39: Line 39:
* 위험에 대해 [[위험분석|정량적·정성적 분석]]을 수행후 그에 따른 적절한 통제를 수행한다.
* 위험에 대해 [[위험분석|정량적·정성적 분석]]을 수행후 그에 따른 적절한 통제를 수행한다.


[[분류:보안]]
[[분류:보안]][[분류:정보보안기사]]

Revision as of 14:26, 20 April 2019

Risk Management

위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

위험관리 목적

  • 위험을 수용 가능한 수준으로 감소시킨다.

위험관리 과정

  1. 위험 관리 계획 수립
  2. 위험 식별
  3. 정성적 위험분석 수행
  4. 정량적 위험분석 수행
  5. 위험 대응 계획 수립
  6. 위험 감시 및 통제

위험분석과의 관계

  • 위험분석(Risk Analysis)이란 위험을 분석하고 해석하는 과정
  • 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정
  • 위험관리는 분석된 위험에 대해 관리하는 것을 말한다.
  • 위험분석 → 위험관리의 순서로 이루어짐
  • 과정상 위험관리의 하위 개념으로 볼 수도 있지만 위험분석이 모두 위험관리로 이어지는 것은 아니므로 구분해서 볼 수도 있다. (위험관리를 위험통제의 관점에서 좁게 본 경우)

위험관리 계획

선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것

위험 대응 및 통제

기본 통제

  • 위험관리 방법론의 기본적인 방법
  • 위험분석없이 통제를 적용한다.
  • 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다.
  • 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다.

통제 방법

상세 위험분석