위험관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
;Risk Management | ;Risk Management | ||
위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정 | |||
==위험관리 목적== | ==위험관리 목적== | ||
* | * 위험을 수용 가능한 수준으로 감소시킨다. | ||
==위험관리 과정== | ==위험관리 과정== | ||
13번째 줄: | 13번째 줄: | ||
# 위험 감시 및 통제 | # 위험 감시 및 통제 | ||
==위험분석과의 관계== | |||
* [[위험분석|위험분석(Risk Analysis)]]이란 위험을 분석하고 해석하는 과정 | * [[위험분석|위험분석(Risk Analysis)]]이란 위험을 분석하고 해석하는 과정 | ||
* 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정 | * 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정 | ||
* 위험관리는 분석된 위험에 대해 관리하는 것을 말한다. | * 위험관리는 분석된 위험에 대해 관리하는 것을 말한다. | ||
* '''위험분석 → 위험관리'''의 순서로 이루어짐 | * '''위험분석 → 위험관리'''의 순서로 이루어짐 | ||
* 과정상 위험관리의 하위 개념으로 볼 수도 있지만 위험분석이 모두 위험관리로 이어지는 것은 아니므로 구분해서 볼 수도 있다. | * 과정상 위험관리의 하위 개념으로 볼 수도 있지만 위험분석이 모두 위험관리로 이어지는 것은 아니므로 구분해서 볼 수도 있다. | ||
== | == 위험 관리 계획 == | ||
선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것 | 선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것 | ||
==위험 대응 및 통제== | ==위험 대응 및 통제== | ||
=== 기본 통제 === | === 기본 통제 === | ||
* 위험관리 방법론의 기본적인 방법 | ** 위험관리 방법론의 기본적인 방법 | ||
* 위험분석없이 통제를 적용한다. | ** 위험분석없이 통제를 적용한다. | ||
* 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다. | ** 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다. | ||
* 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다. | ** 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다. | ||
=== | === 통제 방법 === | ||
* [[위험 감소]] | * [[위험 감소]] | ||
* [[위험 회피]] | * [[위험 회피]] | ||
* [[위험 전가]] | * [[위험 전가]] | ||
* [[위험 수용]] | * [[위험 수용]] | ||
=== 상세 위험분석 === | === 상세 위험분석 === | ||
* 위험에 대해 [[ | ** 위험에 대해 정량적·정성적 분석을 수행한다. | ||
** '''정량적 분석''' : [[연간예상손실액]], [[과거자료 분석법]], 수학공식 접근법, 확률 분포법 | |||
*** 계산이 복잡하여 분석하는데 시간, 노력이 많이 든다. | |||
*** 수치작업의 어려움으로 신뢰도가 도구 또는 벤더에 의존된다. | |||
*** 정보의 가치가 논리적으로 평가되어 위험관리 성능 평가가 용이하다. | |||
** '''정성적 분석''' : [[델파이법]], [[시나리오법]], [[순위결정법]] | |||
*** 위험평가 과정과 측정기준이 일관되지 않고 주관적이다. | |||
*** 위험완화 대책 및 비용·효과에 대한 명확한 근거가 없다. | |||
*** 위험관리 성능을 추적할 수 없다. | |||
*** 정보자산에 대한 수치화가 불필요하여 계산에 대한 시간과 노력이 적게 든다. | |||
[[분류:보안 | |||
[[분류:보안]] |