위험관리

IT위키
222.121.93.72 (토론)님의 2019년 3월 10일 (일) 20:38 판
Risk Management

위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

위험관리 목적

  • 위험을 수용 가능한 수준으로 감소시킨다.

위험관리 과정

  1. 위험 관리 계획 수립
  2. 위험 식별
  3. 정성적 위험분석 수행
  4. 정량적 위험분석 수행
  5. 위험 대응 계획 수립
  6. 위험 감시 및 통제

위험분석과의 관계

  • 위험분석(Risk Analysis)이란 위험을 분석하고 해석하는 과정
  • 조직 자산의 취약성을 식별하고 발생 가능한 위험의 내용과 범위를 결정
  • 위험관리는 분석된 위험에 대해 관리하는 것을 말한다.
  • 위험분석 → 위험관리의 순서로 이루어짐
  • 과정상 위험관리의 하위 개념으로 볼 수도 있지만 위험분석이 모두 위험관리로 이어지는 것은 아니므로 구분해서 볼 수도 있다.

위험 관리 계획

선택된 통제의 목적과 통제 방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것

위험 대응 및 통제

기본 통제

    • 위험관리 방법론의 기본적인 방법
    • 위험분석없이 통제를 적용한다.
    • 보호대책 선택에 들어가는 시간과 노력이 적은, 비용대비 효과적인 방식이다.
    • 보호 수준 설정이 부정확하여 지나친 가용성 제한 또는 보안결핍을 가져올 수 있다.

통제 방법

상세 위험분석

    • 위험에 대해 정량적·정성적 분석을 수행한다.
    • 정량적 분석 : 연간예상손실액, 과거자료 분석법, 수학공식 접근법, 확률 분포법
      • 계산이 복잡하여 분석하는데 시간, 노력이 많이 든다.
      • 수치작업의 어려움으로 신뢰도가 도구 또는 벤더에 의존된다.
      • 정보의 가치가 논리적으로 평가되어 위험관리 성능 평가가 용이하다.
    • 정성적 분석 : 델파이법, 시나리오법, 순위결정법
      • 위험평가 과정과 측정기준이 일관되지 않고 주관적이다.
      • 위험완화 대책 및 비용·효과에 대한 명확한 근거가 없다.
      • 위험관리 성능을 추적할 수 없다.
      • 정보자산에 대한 수치화가 불필요하여 계산에 대한 시간과 노력이 적게 든다.