위험관리

From IT Wiki
Revision as of 21:54, 4 May 2018 by Itwiki (talk | contribs) (새 문서: ;Risk Management 측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지·관리 ==위험관리 목적== * 위험을 수용...)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Risk Management

측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지·관리

위험관리 목적

  • 위험을 수용 가능한 수준으로 감소시킨다.

위험분석과의 관계

  • 위험분석(Risk Analysis)이란 위험을 분석하고 해석하는 과정
  • 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정
  • 위험관리는 분석된 위험에 대해 관리하는 것을 말한다.
  • 위험분석 → 위험관리의 순서로 이루어짐

대책 유형

  • 기본 통제방식
    • 위험관리 방법론의 기본적인 방법
    • 위험분석없이 통제를 적용한다.
    • 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다.
    • 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다.
  • 상세 위험분석
    • 위험에 대해 정량적·정성적 분석을 수행한다.
    • 정량적 분석 : 연간예상손실액, 과거자료 분석법, 수학공식 접근법, 확률 분포법
      • 계산이 복잡하여 분석하는데 시간, 노력이 많이 든다.
      • 수치작업의 어려움으로 신뢰도가 도구 또는 벤더에 의존된다.
      • 정보의 가치가 논리적으로 평가되어 위험관리 성능 평가가 용이하다.
    • 정성적 분석 : 델파이법, 시나리오법, 순위결정법
      • 위험평가 과정과 측정기준이 일관되지 않고 주관적이다.
      • 위험완화 대책 및 비용·효과에 대한 명확한 근거가 없다.
      • 위험관리 성능을 추적할 수 없다.
      • 정보자산에 대한 수치화가 불필요하여 계산에 대한 시간과 노력이 적게 든다.