[정보보안] 위험관리란? (위험대책, 위험분석 기법 정리)

  위험관리란?

위험관리(Risk Management)란 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 관리하기 위하여 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 효과적인 보호대책을 마련하는 일련의 과정을 말한다.

위험관리 전략 수립 => 위험분석 => 위험평가 => 대책수립 => 계획수립

 

  위험대책 및 예시

1) 위험감소 (완화)

: 기술적, 관리적, 물리적 통제를 통해 위험 수준을 감소시킨다.

2) 위험전가 (전가)

: 위험에 대한 책임을 제3자와 공유한다. (ex. 보험 가입)

 

3) 위험회피

: 위험이 존재하는 프로세스나 사업을 포기한다. (ex. 자산 매각, 설계 변경)

 

4) 위험수용

: 비즈니스 목적상 위험을 그대로 수용한다. 관리부서는 위험의 결과에 따른 책임을 받아들여야 한다. (CISO승인 필수)

---

  위험분석 기법

1) 기준선 접근법(Base Line Approach)

: 국내외 표준이나 법령, 가이드를 기준으로 최소한의 기준 수준을 정한다. 

2) 비정형 접근법(Informal Approach)

: 경험자의 지식을 사용해 위험분석 수행

3) 상세위험분석(Detailed Risk Analysis)

: 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험평가

4) 복합적 접근법(Combined Approach)

: 위 분석기법들을 비용과 자원의 효율성을 고려하여 복합적으로 사용

 

참고자료: KISA 정보보호관리체계 위험관리 가이드