당신은 주제를 찾고 있습니까 “위험 관리 5 단계 – #008 위험 관리(Risk Management)“? 다음 카테고리의 웹사이트 kk.taphoamini.com 에서 귀하의 모든 질문에 답변해 드립니다: kk.taphoamini.com/wiki. 바로 아래에서 답을 찾을 수 있습니다. 작성자 시리클래스 이(가) 작성한 기사에는 조회수 1,237회 및 좋아요 11개 개의 좋아요가 있습니다.
- 위험관리 전략 및 계획 수립 …
- 위험 분석 …
- 위험 = [발생가능성] * [손실의 정도]
- 위험 = f(자산, 위협, 취약성) …
- – 자산 (assets) : 보호해야 할 대상.
Table of Contents
위험 관리 5 단계 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 #008 위험 관리(Risk Management) – 위험 관리 5 단계 주제에 대한 세부정보를 참조하세요
키워드로 정리하는 정보보안 119의 #008 위험 관리입니다.
위험의 식별, 분석, 대응에 대해 알아보겠습니다.
저자 블로그 : http://blog.naver.com/security_reader
위험 관리 5 단계 주제에 대한 자세한 내용은 여기를 참조하세요.
위험 관리 5 단계 | #008 위험 관리(Risk Management) 3911 …
[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 … 위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실 …Source: you.dianhac.com.vn
Date Published: 4/4/2021
View: 7646
[Expert Column] ‘위험관리’ 단계별 따라 하기 – AhnLab | 보안 이슈
위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 …
Source: www.ahnlab.com
Date Published: 2/4/2022
View: 5670
위험관리 (Risk Management) – project-bs – 티스토리
위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, … 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 …
Source: retro-blue.tistory.com
Date Published: 5/25/2022
View: 8848
[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 …
위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 …
Source: m.blog.naver.com
Date Published: 7/16/2021
View: 6724
Top 39 위험 관리 5 단계 29475 Votes This Answer
위험 관리는 총 5가지 단계로 이루어진다. 위험관리 전략 및 계획 수립 … 위험 분석 … 위험 = [발생가능성] * [손실의 정도]; 위험 …
Source: toplist.khunganhtreotuong.vn
Date Published: 10/13/2021
View: 2462
위험관리체계의 기록관리표준 적용방안 연구
4. 위험관리 프로세스의 기록관리표준. 대응 전략. 4.1 전략수립 단계. 4.2 위험 식별 및 분석 단계. 4.3 위험 평가 단계. 4.4 위험 대응 단계. 5. 결론 및 제언.
Source: www.koreascience.or.kr
Date Published: 3/29/2022
View: 5363
제목 위험관리(Risk management)와 ISO 글쓴이 – 국제표준인증원
즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다. 3. 위험관리 절차 위험관리는 다음의 5단계로 수행된다. (1) 위험확인
Source: www.iscqa.com
Date Published: 6/6/2022
View: 6958
5과목 정보보안 관리 및 법규 Part1
— 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?) … — 소규모조직이나, …
Source: naltaengi.tistory.com
Date Published: 1/7/2021
View: 4839
주제와 관련된 이미지 위험 관리 5 단계
주제와 관련된 더 많은 사진을 참조하십시오 #008 위험 관리(Risk Management). 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 위험 관리 5 단계
- Author: 시리클래스
- Views: 조회수 1,237회
- Likes: 좋아요 11개
- Date Published: 2020. 5. 7.
- Video Url link: https://www.youtube.com/watch?v=Z4IhI5KMzxE
위험 관리 (Risk management)
반응형
정보보호 대책수립, 조직체계에 대해 알아보았으니 이제 위험관리에 대해 알아볼 차례이다.
위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해
위험을 분석하고 그에 대한 보호대책을 마련하는 것을 말한다.
위험 관리는 총 5가지 단계로 이루어진다.
1. 위험관리 전략 및 계획 수립
위험관리를 위해 전략과 계획 그리고 우선순위를 결정하는 과정이다.
2. 위험 분석
위험 분석은 말그대로 위험을 끼칠 수 있는 사고에 대해 분석하는 과정이다.
위험은 아래와 같은 공식으로 성립된다.
위험 = [발생가능성] * [손실의 정도]
위험 = f(자산, 위협, 취약성)
위험의 구성요소에는 4가지가 있다.
– 자산 (assets) : 보호해야 할 대상.
– 위협 (threats) : 자산에 손실을 초래할 수 있는 잠재적 원인, 의도적 위협과 우연한 위협으로 나뉨.
– 취약성 (Vulnerability) : 잠재적인 위협의 이용 대상.
– 정보보호대책 (Safeguard) : 위험에 대한 물리적, 기술적, 관리적 대응책을 말한다.
위 4가지는 위험과 아주 밀접한 상관관계를 갖고있다. (구성요소니까 당연한???)
이 위험분석 과정은 국제 표준 지침인 ISO/IEC 13335-1에서 크게 4가지 전략을 제안한다 .
2-1. 위험분석 접근법
* 베이스라인 접근법 (Baseline Approach)
– 표준화된 보호대책 체크리스트를 가지고 점검하는 접근법.
– 따로 위험분석을 실시하지 않고 이미 나와있는 체크리스트로 점검한다.
– 주로 소규모 조직에서 사용된다.
* 비정형 접근법 (Informal Approach)
– 방법론에 의거하지 않고 경험자의 지식으로 위험분석
– 경험에 의존하기에, 초고수가 맡아야 한다.
* 상세위험분석 (Detailed Risk Analysis)
– 세부적인 단계를 밟아 위험분석 하는것. 가장 적절한 대처가 가능한 접근법
– 많은 시간과 노력이 들어가고, 여기 또한 고급 인력이 필요하다.
위와 같은 세부적인 과정을 통해 진행된다. 자세한 설명은 필요 없이 이름만 보면 알 수 있다.
순서는 웬만하면 외워두는 것이 좋을 것 같다.
* 혼합접근법 (Combined Approach)
– 상세위험분석을 수행하고, 그 외 영역은 베이스라인으로 접근하는 방법.
– 비용과 자원을 효과적으로 사용할 수 있고, 식별 속도가 빨라 많이 사용된다.
그리고 다음은 위험분석 방법론에 대해서 알아보자.
2-2. 위험분석 방법론
* 정량적 분석방법
위험을 손실액과 같은 숫자값으로 표현함.
ALE(연간손실액) = SLE * ARO
SLE(단일예상 손실액) = AV(자산가치) * EF(노출계수)
예를 들어, 10년에 한번 태풍이 불어 회사 시설에 50%가 손상 된다고 치자.
회사 시설은 $200,000이다. 이때 연간 손실액을 구하면?
SLE = 200,000*0.5 = 100,000
ALE = 100,000*0.1 = 10,000
이러한 방식을 이용하여 예산계획에 활용이 가능하다. 하지만 분석에 너무 오버헤드가 크다.
정량적 분석방법은 3가지 방법들이 있다.
– 과거 자료 분석법 : 과거자료를 통해 위험 발생 가능성을 분석하는 방법. 표본이 많을수록 좋지만.. 과거는 과거일뿐
– 수학공식 접근법 : 과거자료 분석이 힘들 때 사용한다. 위험발생 빈도를 수학적 공식으로 계산하여 계량화 하는 것.
– 확률분포법 : 미지의 사건을 확률적 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법. 정확성 낮다.
정량적 분석방법의 장/단점을 알아보자.
– 장점 : 객관적이고 수치로 표현되기 때문에 이해가 쉽다. 성능평가에 용이하다.
– 단점 : 계산이 복잡해서 시간, 노력, 비용이 많이 든다. 그리고 자동화 도구를 이용하여 신뢰도가 벤더에 의존됨.
* 정성적 분석방법
어떠한 위험에 대해 ‘매우높음’, ‘높음’, ‘보통’, ‘낮음’ 등으로 표현하는 것이다.
그냥 표에다가 높음 낮음 표시하는거다. 이것 또한 몇가지 방법이 있다.
– 델파이법 : 전문가 집단 의견을 추출하고 종합하기 위해 동일한 전문가 집단에게 설문조사하여 의견 정리하는 방법.
비용/시간은 적게들지만 정확도가 낮다.
– 시나리오법 : 어떤 사실도 기대대로 되지 않는다는 가정하에 시나리오를 통하여 분석하는 방법. 정확도 낮다.
– 순위결정법 : 비교우위 순위 결정표에 위험 항목들의 순위를 결정하는 방법.
– 그 외 : 질문서법, 브레인스토밍, 스토리보딩
정성적 분석방법의 장단점을 알아보장
– 장점 : 계산에 대한 노력/비용이 적게들고, 수치로 표현된 값은 평가할 필요가 없다.
– 단점 : 주관적이라 신빙성이 떨어진다. 성능추적이 어렵고, 결과를 수치로 표현 불가능하다.
3. 위혐 평가
자 이제 다음 단계인 위험평가 단계에 대해 알아봅시다.
이 단계는 위험분석 한 결과를 바탕으로 기밀성, 무결성, 가용성에 따른 잠재적 손실규모를 평가하는 단계이다.
* 정량적 방식의 위험평가
자산의 가치는 금액, 위험은 연간 발생률, 취약성은 백분율로 평가하는 방법
연간예상손실액 = (자산가치) * (연간발생횟수) * (취약성%)
* 정성적 방식의 위험평가
자산, 위험, 취약성 3가지를 3점 척도로 평가하는 방법이 일반적이다.
3점 척도 평가 더하기 방식은 위 표와 같이 쓴다.
* 목표 위험 수준 및 우선순위 결정
위험 평가가 끝나면 수용 가능한 위험수준 및 우선순위를 결정해야 한다.
수준이 높은 위험과 낮은 위험에 대한 대비책을 사전에 정의하지 않으면 일관성이 결여되니까
반드시 필요하다.
4. 위험처리 방법
자 이번에는 위험이 발생했는데, 수용가능한 범위를 넘어섰을 때, 위험을 어떻게 처리하는지 알아보자.
– 위험수용 : 위험의 잠재 손실 비용을 감수하는 것. 일정 수준이하로 감소시키고 사업을 계속 진행한다.
– 위험감소 : 위험을 감소시킬 대책을 마련하는 것. 비용이 많이 드니까 비용분석을 실시한다.
– 위험회피 : 위험이 존재하는 사업, 프로세스를 진행하지 않는 것을 말한다.
– 위험전가 : 보험이나 외주 등으로 잠재적 위험을 제3자에게 전가하는 방법이다.
반응형
위험 관리 5 단계 | #008 위험 관리(Risk Management) 3911 투표 이 답변
당신은 주제를 찾고 있습니까 “위험 관리 5 단계 – #008 위험 관리(Risk Management)“? 다음 카테고리의 웹사이트 https://you.dianhac.com.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://you.dianhac.com.vn/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 시리클래스 이(가) 작성한 기사에는 조회수 1,203회 및 좋아요 11개 개의 좋아요가 있습니다.
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
키워드로 정리하는 정보보안 119의 #008 위험 관리입니다.
위험의 식별, 분석, 대응에 대해 알아보겠습니다.
저자 블로그 : http://blog.naver.com/security_reader
위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 …
+ 여기에 보기
Source: www.ahnlab.com
Date Published: 7/5/2021
View: 249
위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, … 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 …
+ 여기에 보기
Source: retro-blue.tistory.com
Date Published: 12/27/2021
View: 2205
위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 …
+ 여기를 클릭
Source: m.blog.naver.com
Date Published: 4/13/2022
View: 734
4. 위험관리 프로세스의 기록관리표준. 대응 전략. 4.1 전략수립 단계. 4.2 위험 식별 및 분석 단계. 4.3 위험 평가 단계. 4.4 위험 대응 단계. 5. 결론 및 제언.
+ 여기를 클릭
Source: jksarm.accesson.kr
Date Published: 2/22/2022
View: 3486
즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다. 3. 위험관리 절차 위험관리는 다음의 5단계로 수행된다. (1) 위험확인
+ 여기에 보기
Source: www.iscqa.com
Date Published: 7/18/2021
View: 1720
minimize the adverse effects of accental losses upon an organization. . ○위험관리의 의사결정 5단계. 1 …
+ 여기에 더 보기
Source: www.bcdm.or.kr
Date Published: 7/30/2022
View: 5303
— 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?) … — 소규모조직이나, …
+ 여기에 표시
Source: naltaengi.tistory.com
Date Published: 5/21/2021
View: 9326
또한 위험 핵심 요소 요약 및 기록 업무수행 계획, 정량 분석 등이 포함된 위험관리 계약서를 작성/관리 합니다. 5단계 개선 및 유지 위험요소를 완화 및 제거하기 …
+ 더 읽기
Source: planbuild.co.kr
Date Published: 10/2/2021
View: 2747
주제와 관련된 더 많은 사진을 참조하십시오 #008 위험 관리(Risk Management). 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
예를 들어, ISO 14001에서는 PDCA(Plan, Do, Check, Action)주기에 따라 시스템을 검토하고 도입하는데, 위험관리절차에서도 기본적으로 동일한 진행방법(Plan : 위험확인/측정 및 평가/처리방법 선택, Do : 처리방법 실시, Check : 통제, Action : 개선 및 재처리)을 취하게 된다.
위험관리란 회사에 갑작스런 손실(사고)이 발생할 경우 이에 동반하여 나타날 수 있는 각종 부정적인 영향을 최소화하기 위하여 미리 의사 결정 단계를 거쳐 이를 수행하는
활동을 말합니다.
Risk Management is the process of making and carrying out decisions that will
minimize the adverse effects of accidental losses upon an organization.
[Expert Column] ‘위험관리’ 단계별 따라 하기
그 동안 ‘월간 안’을 통해 정보보호 컴플라이언스에 관한 내용을 여러 차례 다룬 바 있다. 이번에는 보안 활동의 핵심이라 할 수 있는 ‘위험관리’에 대해 알아보고자 한다. ‘위험관리’는 정보보호 법령과도 밀접한 관계가 있다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’(이하 정통망법)에서 요구하는 정보보호관리체계인증의 핵심적인 단계가 바로 위험관리이기 때문이다.
정통망법 제47조(정보보호관리체계의 인증)는 일정 기준(정보통신서비스 부문 전년도 매출액이 100억 원 이상이거나 전년도 말 기준, 직전 3개월 간의 일일 평균 이용자 수가 100만 명 이상인 경우)에 해당하는 기업은 정보보호관리체계인증(이하 ISMS)을 의무적으로 취득해야 한다고 명시하고 있다.
[그림 1] 정보보호관리체계 5단계 관리 과정 (*출처: 한국인터넷진흥원)위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 접근법, 상세 위험 분석, 복합 접근법 등 여러 기법이 있다.
이 글에서는 일반인, 즉 보안 전문지식이 높지 않은 사람이 위험관리의 개념을 이해하고 현실에서 적용할 수 있도록 위험 분석을 예를 들어 쉽고 간략하게 설명하겠다. 각 단계별로 사례를 통해 설명하기 위해 가상의 실습자를 설정하였는데, 한 사람은 기업 인사팀 직원이고 다른 사람은 한 아이의 아버지이다. 기업 담당자가 아닌 일반인을 예로 든 까닭은 위험관리가 비즈니스에서만 쓰는 것이 아니라 일상에서도 활용할 수 있는 유용한 지식이기 때문이다.
1단계: 나에게 소중한 대상은 무엇인가 – 자산 식별
위험관리에서 자산을 식별하는 것은 가장 먼저 하는 일이자 핵심이 되는 일이다. 자산(Asset)이란 ‘가치 있는 대상’을 뜻한다. 기업의 자산이라면 경제적 가치를 중심으로 하겠지만 개인에게 있어서는 어떤 의미로든 가치가 있다면 그 대상을 자산으로 보면 된다. 자산이 중요한 이유는 그것이 보안의 목적이자 활동 근거이기 때문이다.
보안(保安)은 ‘안전하게(安) 지킨다(保)’는 뜻이다. 안전하게 지키기 위해서는 지키고자 하는 대상이 있어야 하고, 그 대상은 지킬 가치가 있는 것이라야 할 것이다. 그러한 대상이 무엇인지 파악하고 지켜야 할 이유를 납득하며 지키는 주체가 누구인지 확실히 아는 것이 위험관리의 시작이자 이후의 과정을 관통하는 중추인 것이다.
자산의 내용을 파악했다면 자산을 지킬 책임이 누구에게 있는지, 자산의 손실이 미칠 영향이 어느 정도인지 그 중요도를 정량적 또는 정성적으로 표현한다. 사례에서 기업의 정보 자산을 취급하는 안전해 대리는 자산 가치를 3점 단위로 정량 평가하고 인자한 씨의 경우는 정성적으로 표현하였다.
2단계: 소중한 대상(자산)에 해를 끼칠 수 있는 요소는 무엇인가 – 위협 분석
위협(Threat)이란 자산의 속성을 훼손할 수 있는 내•외부의 요인이다. 정보보호 분야에서 안전하게 유지해야 할 자산의 속성은 ▲가용성(Availability) ▲무결성(Integrity) ▲기밀성(Confidentiality) 등 세 가지이다.
가용성이란 어떤 대상의 지속적인 사용을 보장하는 것으로, 정보시스템이라면 서비스가 장애 없이 운영되는 것이고 사람이라면 아프지 않고 정상적인 활동이 가능한 상태라 할 수 있겠다. 무결성은 정보의 내용이 변조되지 않고 일관성을 유지할 수 있는 상태를 뜻한다. 예를 들어, 은행 전산시스템이 해킹되어 통장 잔고가 1억 원에서 1원으로 바뀌었다면 무결성이 훼손되었다고 할 수 있다. 기밀성은 정보에 접근할 수 있는 권한의 차등성이 유지되는 것이다. 쉽게 말해 다른 사람이 알면 안 되는 내용이라면 그들이 알 수 없도록 지켜져야 한다는 뜻이다.
위협의 정도는 위협이 미칠 영향과 위협이 발생할 빈도를 고려하여 측정하는 것이 일반적이다. 자주 발생하더라도 별다른 영향이 없는 위협이 있을 수 있고, 딱 한 번이더라도 돌이킬 수 없는 손실을 입히는 위협도 있을 것이다.
인자한 씨라면 아이가 놀다가 넘어지는 정도는 여러 번 발생하더라도 심각한 영향은 없는 위협으로 볼 수도 있다. 반면 교통사고는 단 한 번 일어나더라도 치명적인 위협일 것이다. [표 1]의 평가 모델은 기업의 위험 분석에 쓰이기는 하지만 이것이 절대적인 기준은 아니다. 기업 나름의 기준을 정하여 일관성 있게 적용한다면 그것으로 충분하다.
[표 1] 위협 평가 모델 (*출처: 한국인터넷진흥원)3단계: 위협에 대한 약점은 무엇인가 – 취약성 분석
취약성(Vulnerability)이란 위협에 대응하여 위험의 실현 가능성을 높이는 요인이다. 자산에 내재된 단일한 요소를 뜻하지만 현실에서는 여러 요소의 결합이나 특정한 상황을 포함할 수도 있다. 예컨대 B형 간염 항원이라는 위협에 대해서 항체가 없는 상태라면 ‘B형 간염 항체 없음’이 취약성이 된다.
정보통신서비스와 관련한 취약성은 발견된 내용이 너무 많아 일종의 사전(Dictionary)이 구축되어 있을 정도다. cve.mitre.org와 같은 사이트를 참고하면 도움이 될 것이다.
안전해 대리의 인터뷰에 따르면, ‘채용시스템 장애’라는 위협에 대한 취약성은 데이터 백업이 되지 않고 있는 상황이라 할 수 있다. 입사지원자의 정보를 출력한 문서가 관리 부실로 방치되고 있다는 점도 서류 분실에 따른 위험을 높이고 있음이 분명하다. 한편 인자한 씨는 아이가 건널목을 건너다가 교통사고를 당할 수도 있다는 위험과 관련해, 관리가 되지 않는 아침 2개 구간과 방과 후 5개의 건널목 모두에 보호 방책이 없는 환경을 우려하고 있다.
취약성의 영향도는 위협이 작동할 여지를 크게 한다고 판단될수록 심각하다고 볼 수 있다. 사례에서는 VH(Very High), H(High)와 같은 형식으로 표현했지만 숫자로만 표시해도 무방하고 다른 어떤 표현을 써도 관계없다. 단지 각각의 취약성 정도가 동일한 수준이 아닐 때 그 차이를 식별할 기준만 명확하면 된다.
4단계: 얼마나 위험한 것인가 – 위험 평가
위험 평가는 앞의 1,2,3 단계에서 측정한 자산 중요도, 위협 정도, 취약성 정도를 입력 값으로 하여 위험 수준이라는 출력 값을 얻고 어느 수준까지 위험을 수용할지 판단하는 과정이다. 국제공인 정보시스템 보안전문가(CISSP) 가이드북에는 다음과 같은 수식으로 위험이 표현되어 있다.
이 수식에서 곱셈 기호(x)는 위험 수준을 구하기 위해서는 3가지 입력 값을 곱하라는 뜻이라기보다는 어느 하나의 값이 0이라면 출력값인 위험 역시 0으로 보아도 된다는 의미로 이해하는 것이 좋겠다.
즉, 아무리 큰 위협이 있다 하더라도 그 위협이 가해질 자산이 없다면 위험이란 의미가 업고, 자산이 있고 위협이 있다 하더라도 취약점이 전혀 없어 위협이 작동할 여지가 없다면 이 또한 위험은 없는 것과 같다는 뜻이다. 실제 위험수준의 계산은 앞에서 구한 3가지 요소들의 측정값을 1~3점이나 1~5점 범위로 구분한 다음, 이를 합산하는 방법이 주로 쓰인다. 이를 기준으로 안전해 대리와 인자한 씨의 위험평가 결과를 보면 다음과 같다.
어떤 방식으로 위험 정도를 산출하는가는 중요한 문제가 아니다. 위험평가를 하는 이유는 위험에 대처할 기준을 정하기 위한 것이다. 위험을 처리하려면 대개 비용이 소요되기 마련인데, 비용은 한계가 있기 때문에 의사결정이 필요하다. 만약 비용이 무한정이고 시기적으로 급박한 정도도 동일하다면(시간도 비용이다), 굳이 위험평가를 할 필요가 없다. 위험 정도를 측정한 뒤 ‘수용할 수 있는 수준’ 이상의 위험에 대해서만 비용을 들여 대응하는 것으로 결정하는데, 이 ‘수용할 수 있는 수준’을 보안 분야에서는 DoA(Degree of Acceptance)라고 한다.
안전해 대리의 경우, 해당 회사에서 DoA를 11로 정했다면 위험 정도가 11을 초과하는 경우에만 위험 대응 전략을 고려하고 그 이하의 위험에 대해서는 감수하거나 잠정적으로 대책을 보류하는 것으로 결정한다. 인자한 씨는 어떻게 해야 할까? 인자한 씨의 자산 가치는 사실상 평가 불가능하다. 부모가 아니더라도 어린 아이가 교통사고로 인해 중상을 입거나 생명을 잃었을 때 입을 손실이나 영향을 가늠하는 일은 상당히 어렵다. 결과적으로 인자한 씨는 ‘아이의 교통사고’라는 위험에 대해서 ‘위험 감수’라는 선택은 불가능하며 어떤 방법이든 위험에 대처할 방법을 찾아야만 한다.
5단계: 어떻게 위험에 대응할 것인가 – 위험대응전략
이제 위험관리의 마지막 단계에 이르렀다. 위험에 대응하는 전략은 일반적으로 ▲회피 ▲전가 ▲감소 ▲수용 등 4가지로 분류하곤 한다.
‘회피’란 말 그대로 위험이 발생할 상황 자체를 피하는 것이다. 연인과 야외로 피크닉을 가기로 했는데 오늘 비가 올 확률이 60%라는 일기예보를 들었다고 하자. 이때 위험은 ‘비가 와서 피크닉을 망치는 것’이고 위협은 ‘비’, 취약점은 ‘야외라 마땅히 비를 피할 곳이 없다’라는 정도로 볼 수 있다. 이 경우 취할 수 있는 대응 전략 중 하나는 비 올 가능성이 높은 오늘의 피크닉을 아예 취소하는 것인데, 이런 선택을 ‘회피’라고 볼 수 있다.
‘전가’는 위험으로 인한 손실을 누군가에게 분담시키는 선택이다. 전가의 대표적인 예는 ‘보험’이다. 가능성 있는 위험이 실제로 발생하면 보험사를 통해 그에 대한 보상을 받음으로써 손실의 규모를 줄이는 것이다.
‘감소’는 위험을 줄이기 위한 대책을 구현하는 것이다. 앞서 예를 든 피크닉 경우라면, 우산을 준비해 가는 것이 위험감소 대책이 될 것이다. ‘우산’이라는 비용은 들지만 비가 내렸을 때 망쳐버릴 수 있는 피크닉의 위험을 얼마쯤은 줄여줄 것이기 때문이다.
마지막 선택은 ‘위험 수용’이다. 이는 위험이 발생할 가능성을 그대로 받아들이는 것이다. ‘피크닉 가서 비가 오면 그냥 비를 맞지 뭐. 그것 때문에 여자친구가 화를 낸다면 어쩔 수 없고.’ 대범하거나 미련한 남자의 선택인 셈이다.
전략 결정에 가장 큰 영향을 미치는 것은 위험평가와 마찬가지로 ‘비용’이다. 위험으로 인한 ‘손실’이 위험을 억제하는데 드는 비용보다 적다면, 그 손실은 감수하는 편이 낫다는 것이 기본 논리이다. 역설적이지만 위험관리의 목적은 위험을 아예 제거하는 것이 아니라 수용할 수 있는 수준까지 낮추는 것이다. (물론, 예외도 있긴 하다.)
이제 안전해 대리와 인자한 씨의 위험대응 전략을 살펴보는 것으로 실습을 마무리하자.
결국 안전해 대리와 인자한 씨 모두 위험을 감소시키는 방향으로 전략을 결정했다. 사례에서는 취약점이나 위협의 수가 적기 때문에 한 가지 전략을 선택했지만 실제 기업 운영이나 아이를 키우면서 직면하게 되는 위험은 매우 다양할 수 있다. 그에 따른 전략과 대책 또한 다양하게 도출될 수 있을 것이다.
변화하는 위협, 지속적인 위험관리 필요
끝으로 인자한 씨를 사례로 든 이유 또는 변명을 다시금 하고자 한다. 기업 보안 담당자라면 불필요한 사례라고 느꼈을 듯도 싶다. 그럼에도 불구하고 굳이 아이를 안전하게 지키고 싶은 아버지를 사례로 언급한 이유는 위험관리에서 가장 중요한 출발점은 자신이 지키고자 하는 대상에 대한 애정과 관심이라고 생각하기 때문이다. 아이들은 시시각각 성장하고 변한다. 기업의 자산도 처음 상태 그대로 있는 것이 아니다. 서버 시스템이라면 초기의 가용성과 5년 뒤, 10년 뒤의 가용성이 같은 상태일 수 없다. 위협 또한 고정적이지 않다. 초등학교 1학년 때는 길을 건너는 일조차 위험일 수 있지만 대학생이 된다면 그때는 또 다른 위험에 대해 고려해야만 한다. 기업 자산에 대한 위협 역시 늘 다양한 유형으로 바뀌고 늘어난다.
따라서 위험관리란 1회성으로 끝낼 일이 결코 아니다. 자산과 위협과 취약점의 변화를 지속적으로 주시하고 종합적인 위험을 수시로 가늠하면서 소중한 대상이 안전하게 유지될 수 있도록 돌보는 영속적인 과정이다. 만약 인자한 씨가 아들 걱정하듯 기업의 직원들이 자신에게 소중한 자산이 무엇인지 인식하고 지키고자 한다면 위험관리 방법론이 무엇이든 중요치 않다고 본다. 내게 전문 지식이 없다면 아이가 아플 때 병원 진료를 받듯이 전문가의 도움을 받으면 된다. 중요한 것은 어떤 상황에서도 내 자산은 내가 돌보겠다는 책임감과 의지가 보안의 핵심이라는 것이다. 손발이 오그라들 수 있는 멘트로 글을 맺는다. 보안은 사랑이다. 사랑하면 지키게 된다. @
위험관리 (Risk Management)
반응형
■ 위험관리 (Risk Management)
– 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정
– 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, 이에 대한 위협 및 취약점을 분석하여 위험을 측정하고, 이를 조직에 적합한 위험수준으로 조정하기 위해 보안대책을 선택하는 일련의 활동이다
– 위험관리는 위험분석과 위험평가가 주된 활동이다
– 위험관리는 보호대상, 위험요소, 취약점 분석 등을 통한 위험분석, 적절한 메커니즘의 선택, 선택된 메커니즘의 구현과 시험, 구현된 메커니즘의 보안성 평가, 종합적인 보안의 재평가를 포함
– 위험평가는 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계
★ 위험관리 목적
① 위험분석에서 나온 근거에 바탕을 두며 불필요하거나 과도한 정보보호 투자를 방지한다
② 자산에 대한 위험을 분석, 비용 효과적 측면에서 적절한 보호대책을 수립한다
③ 위험관리는 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정이다. 즉 위험을 무조건 최소한으로 감소시키는 것 보다는 수용할 수 잇는 수준으로 감소시키는 것이 목적이다
★ 위험관리의 순서
– 위험관리 순서는 자산식별 및 평가, 위협식별, 취약점식별, 영향평가, 대책선정, 권고안 작성 순으로 진행
– 자산식별 및 평가 단계는 조직의 업무와 연관된 정보, 정보시스템을 포함한 정보자산을 식별하고, 해당 자산의 보안성이 상실되었을 때의 결과가 조직에 미칠 수 있는 영향을 고려하여 가치를 평가한다
– 위험관리 순서는 크게 ‘위험분석 → 위험평가 → 대책설정’의 3가지 과정으로 구성된다
■ 3단계 위험관리 순서
1) 위험분석
– 자산의 위협과 취약점을 분석하여 보안 위험의 내용과 정도를 결정하는 과정
– 위험을 분석하고 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위험의 내용과 정도를 결정하는 과정을 의미
– 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다
2) 위험평가
– 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계
– 위험평가의 목적은 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것이다
– 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고, 자산별 위협, 취약점 및 위험도를 정리하여 위험을 평가한다
3) 대책설정
– 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행계획을 구축한다
■ 위험분석
– 정보기술 보안관리(IT Security Management)를 수행하기 위해서 필수적인 과정 중의 하나이다
– 실질적으로 가장 핵심이 되는 부분
– 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다
– 위험분석의 목적은 보호되어야 할 대상인 정보시스템과 조직의 위험을 측정하고, 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것이다
★ 구성요소
① 자산
– 위험관리를 수행하는 가장 큰 목적은 조직의 자산을 보호하기 위함이다. 자산은 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소를 포함한다. 이러한 자산은 조직의 업무 특성과 시스템 구성환경에 따라 그 가치와 중요도가 다르다
– 자산의 식별된 위험을 처리하는 방안으로는 위험 수용, 위험 회피, 위험 전가 등이 있다
– 자산의 가치 평가를 위해 자산구입비용, 자산유지보수비용 등을 고려할 수 있다
– 자산의 적절한 보호를 위해 소유자와 책임소재를 지정함으로써 자산의 책임추적성을 보장받을 수 있다
– 자산은 조직이 보호해야 할 대상으로서 주로 정보(Data)와 장비(Hardware) 및 소프트웨어(Software), 기반시설 등을 말하며 관련 인력과 기업 이미지 등의 무형 자산을 포함하기도 한다. 자산의 가치 평가 범위에 데이터베이스, 계약서, 시스템 유지보수 인력 등도 포함된다
② 위협
– 자산이 가지고 있는 고유의 취약점을 이용하여 자산에 직접적인 피해를 줄 수 있는 요소로써, 자산이 가진 취약점을 통해서만 자산에 피해를 줄 수 있다
③ 취약점
– 취약점은 자산의 약점(weakness) 또는 보호대책의 결핍으로 정의할 수 있다
– 취약점은 위협이 조직에 원하지 않는 사건이나 결말을 가져오는 것을 가능하게 만드는 통제 및 환경상의 결함이나 조건으로 취약점은 존재 자체만으로는 자산에 어떠한 영향이나 피해를 주지 못한다
– 자산이 보유하고 있는 약점으로 위협에 의해서 이용된다. 이러한 취약점은 네트워크나 시스템 장비가 개발될 때 가지고 있는 고유한 약점이거나, 기존의 시스템 구성에 새로운 장비가 추가되어 생겨날 수 있는 약점일 수도 있다
④ 대응책
– 자산의 취약점이 위협에 노출되어 자산에게 피해를 입힐 수 있는 것을 막아주는 각종 절차, 방법, 기술, 시스템 등이 있다. 보안의 목적을 최대한 달성하기 위하여 여러 종류의 대응책들이 서로 조합을 이루어 다른 종류의 대응책을 구성해 낼 수도 있다
⑤ 위험
– 위협의 발생으로 인하여 자산에 실질적으로 가해진 결과이다. 이로 인하여 자산 자체가 파괴되거나 구성 환경이 변경될 수 있으며, 자산에 저장되어 있는 정보들이 변조, 폭로, 서비스 거부 등의 피해를 입을 수 있다. 이는 자산에 대한 기밀성, 무결성, 가용성, 인증, 신뢰성 등에 손실을 주게 된다
– 위험은 위협 정도, 취약점 정도, 자산 가치 등의 함수관계로 산정할 수 있다
■ 위험분석 접근법
1) 기준선 접근법 (Baseline Approach, 기본통제 접근법)
– 기준선 접근법은 표준화 된 보호대책의 세트를 체크리스트 형태로 구현하여 이를 기반으로 보호대책을 식별하는 방법
– 모든 시스템에 대하여 기본적이고 일반적인 수준에서 표준화 된 정보보호 대책 세트를 체크리스트 형태로 제공하는 것을 목표로 함
– 글로벌 선도 기업이 수행하고 있는 가장 이상적인 업무 수행 방법(업계 최선 실무)을 벤치마킹하여 위험분석을 시행한다
– ISO/IEC 17799와 같은 정보보호관리체계 표준에 나열된 보안 통제사항을 근거로 시스템에 대한 보안 위험을 분석하는 방법이다. 즉 표준에 나열된 보안 통제사항을 체크리스트 형태로 비교하면서 보안 위험을 분석한다
☆ 장점
– 위험분석에 필요한 비용 및 시간을 최소화 할 수 있다
☆ 단점
– 기본 통제의 수준이 너무 높으면 비용이 과다 지출되는 과보호의 위험이 있으며, 또한 너무 낮으면 부족한 보호가 될 가능성이 상존한다
– 보안환경 변화에 따른 요구사항 반영이 적절한 수준으로 조정되지 않으면 새로운 취약점에 대한 통제가 미비될 수 있다
– 점수에 집착 할 수 있고 계량화가 어려운 단점이 있으며, 소규모 조직에 적합하다
2) 비정형화 된 접근법 (Informal Approach, 비형식화 된 접근법)
– 정형화되고 구조화 된 프로세스를 사용하는 대신에, 분석을 수행하는 내부 전문가나 외부 컨설턴트의 지식과 전문성을 활용한다
– 모든 정보자산에 전문가 지식 및 경험을 활용하는 방법으로 전문가 판단법이라고도 하며, 중소규모 조직에 일반적으로 추천된다
☆ 장점
– 비용 대비 효과가 우수하며 중소규모 조직에 적합하다
– 상세 위험분석보다 빠르고 값싸게 수행될 수 있다
☆ 단점
– 비정형화 된 접근법으로 특정 위험이 고려되지 않아 누락하는 경우가 발생할 수 있다
– 설정의 근거가 희박하며, 검토자의 개인적 경험에 지나치게 의존한다
– 전문성이 높은 인력이 수행하지 않으면 실패할 위험이 있다
– 측정의 완전도가 낮다
3) 상세 위험분석 접근법 (Detail Risk Analysis)
– 상세 위험분석 접근법은 자산의 가치 분석, 위협 분석, 취약점 분석을 수행하여 위험을 분석하는 방법이다
– 정형화되고 구조화 된 프로세스를 사용하여 모든 정보자산에 대해 상세 위험분석을 하는 방법이다
☆ 장점
– 자산가치, 위협, 취약점의 평가에 기초한 위험을 산정하므로 경영상 허용수준까지 위험을 줄이는 근거가 명확하다
– 계량적 수치화가 가능하다
– 평가의 완전도가 높다
☆ 단점
– 상당한 시간, 노력, 비용이 상당히 든다
– 고급의 숙련된 인력이 필요하다
4) 복합 접근법 (Combined Approach, 통합된 접근법)
– 기준선 접근법과 상세 위험분석 접근법을 조합하여 분석하는 방법으로 고위험 영역은 상세 위험분석을 수행하고, 다른 영역은 기준선 접근법을 사용하는 방식이다
☆ 장점
– 비용 및 자원을 효과적으로 사용할 수 있으며 고위험 영역을 빠르게 식별하고 처리할 수 있다
– 부분적 계량화가 가능하다
☆ 단점
– 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응이 이루어 질 수 있다
– 기준선 접근법이 부정확한 경우 상세 위험분석이 필요한 시스템이 누락될 위험이 있다
■ 정성적 위험분석과 정량적 위험분석
1) 정성적 위험분석
– 정성적 위험분석은 구성 요소와 손실에 대해 숫자와 화폐적 가치를 부여하는 대신에, 다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다
– 정성적 위험분석 기술은 판단, 직관, 그리고 경험을 포함한다
☆ 정성적 위험분석을 수행하는 경우
– 위험분석을 수행하는 직원이 정량적 위험분석 경험이 부족할 경우
– 위험분석 수행기간이 단기일 경우
– 조직이 위험분석을 수행하는 데 필요한 충분한 데이터를 제공할 수 없는 경우
☆ 장점
– 계산에 대한 노력이 적게 든다
– 정보자산에 대한 가치를 평가할 필요가 없다
– 비용/이익을 평가할 필요가 없다
☆ 단점
– 진단 및 결과가 기본적으로 주관적이어서 사람마다 결과가 달라질 수 있다
– 측정결과를 화폐가치로 평가하기 어렵다
– 비용/효과 분석에 있어 기회비용을 일반적으로 무시한다
– 주관적 측정치로 위험관리 목적들을 추적하기 어렵다
– 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있다
– 표준을 사용할 수 없다. 각각의 업체들은 자기만의 절차와 결과의 해석방법을 갖는다
* 정성적 위험분석 방법 종류
구분 설명 델파이법 – 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법
– 전문가 집단으로 구성된 위험분석 팀의 위험분석 및 평가를 통해 여러 가능성을 전제로 위협과 취약성에 대한 의견수렴을 통한 분석 방법
– 위험분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만 정확도가 낮음 시나리오법 – 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법이다
– 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석 팀과 관리충 간의 원활한 의사소통을 가능케 한다. 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다 순위결정법 – 순위결정법은 비교 우위 순위 결정표를 위험 항목들의 서술적 순위로 결정하는 방법이다
– 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법이다
– 위험분석에 소요되는 시간과 분석하여야 하는 자원의 양이 적다는 점이 있으나 위험 추정의 정확도가 낮다 퍼지 행렬법 – 복잡하고 비선형적인 시스템에 대한 정확한 모델링 없이 분석하는 방법이다
2) 정량적 위험분석
– 정량적 위험분석은 수학적 기법을 활용하여 자산에 대한 해당 위험도를 분석하는 방법으로, 위험에 대한 분석을 숫자나 금액 등을 이용하여 객관적으로 분석하는 것이다
– 정량적 위험분석은 평가 대상 자산의 화폐가치 산정이 가능한 경우로 자산 도입비용, 자산 복구비용, 자산 교체비용이 기준이 된다
– 정량적 위험분석을 통해 위험비용이 보안대책의 비용을 초과하는지 분석하는 것으로 많은 시간과 경험, 그리고 경험 많은 인력을 필요로 한다
– 분석 내 각 요소의 자산가치, 위협빈도, 취약의 심각성, 피해영향, 안정장치 비용, 불확실성, 그리고 개연성 항목이 수량화되어 전체적인 위험과 잉여 위험을 결정하기 위해 방정식에 입력된다. 이때 자동화 위험분석 도구가 많이 사용된다
☆ 정량적 위험분석을 사용하는 경우
– 조직의 데이터 수집, 보관 프로세스가 복잡한 경우
– 위험분석 수행 직원의 경험이 많은 경우
– 위험분석 수행기간이 장기일 경우
☆ 장점
– 객관적인 평가기준이 적용된다
– 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘된다
– 위험관리 성능평가가 용이하다
– 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해하기 쉽다
☆ 단점
– 계산이 복잡하여 분석하는 데 시간, 노력, 비용이 많이 든다
– 관리자는 결과값이 어떤 방법으로 도출되었는지 알 수 없다
– 자동화 도구 없이는 작업량이 너무 많으며, 위험분석의 신뢰도가 자동화 도구를 생산한 벤더에 의존된다
– 환경에 대한 자세한 정보의 수집이 필요하다
* 정량적 위험분석의 예
구분 설명 ALE (연간 예상 손실) – 자산가치 x 노출 계수 = 단일 예상 손실 (SLE)
– 단일 예상 손실 x 연간 발생률 = 연간 예상 손실 (ALE) 과거자료 분석법 – 과거자료 분석법은 과거의 자료를 통해 위험발생 가능성을 예측하는 방법으로써 과거 자료가 많을수록 분석의 정확도가 높아진다 수학공식 접근법 – 수학공식 접근법은 위험의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법이다
– 과거 자료 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는 데 유용하다. 위험을 정량화하여 매우 간결하게 나타낼 수 있다 (기대손실을 추정하는 자료의 양이 낮다) 확률 분포법 – 미지의 사건을 추정하는 데 사용되는 방법이다
– 미지의 사건을 확률적(통계적) 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다 (정확성이 낮다)
더보기 ■ 브레인스토밍 (Brain Storming) – 리더, 기록자 외에 10명 이내의 참가자(stomer)들이 기존의 관념에 사로잡히지 않고 자유로운 발상으로 아이디어나 의견을 내는 것 – 6~12명 정도의 사람들이 모여 20분~1시간 가량 문제에 관한 리더의 설명을 듣고, 가능한 많은 대체인을 제시하면 이들은 비판받지 않고 기록된다. 그 후 토의와 분석이 이루어진다 – 이의 목적은 보다 자유롭고 융통성 있는 사고를 증진하고 구성원들의 창조성을 촉진시키는 것이다. 브레인스토밍에서는 어떠한 내용의 발언이라도 그에 대한 비판을 해서는 안 되며, 오히려 자유분방하고 엉뚱하기까지 한 의견을 출발점으로 해서 아이디어를 전개시켜 나가도록 하고 있다. 이를테면, 일종의 자유연상법이라고도 할 수 있다 – 어떠한 아이디어도 평가받거나 비난받지 않아야 하며, 브레인스토밍의 목적은 아이디어 평가가 아니다 – 우습거나 독단적일지라도 다양한 아이디어가 용납되며, 질보다는 양을 추구하는 경향이 있다 – 타인의 아이디어와의 결합을 통해 새로운 아이디어와 의견을 발상하고, 각 아이디어는 개인이 아닌 집단에 속하게 된다 ■ 명목집단 기법 (Nominal Grouping Technique) – ‘명목(名目)’이란 독립적으로 행동하는, 이름만으로 집단을 구성함을 뜻한다. 사람들이 모이기는 하나 구두로 서로 의사소통 하도록 용납하지 않는 과정을 뜻한다 – 7~10명의 구조화 된 집단모임으로 테이블에 둘러앉기는 하지만 서로 말하지 않고 종이에 아이디어를 기록하고 5분 후에 각자가 한 아이디어를 발표함으로써 아이디어의 공유가 시작된다 – 지명된 한 사람이 기록자로서 흑판에 구성원 전체의 모든 아이디어를 익명으로 기록한다. 그때까지 토의는 시작되지 않는다. 이것이 첫 단계로써 통상 20분 전후가 걸린다 – 다음 단계는 투표를 하기 전에 각 아이디어에 대한 구조적 토의가 이루어지는 과정이다. 각 아이디어의 지지도를 분명히 하기 위해 질문이 계속 된다. 그 후 투표를 통해 우선순위가 결정된다. 구성원들이 대면한다는 사실만 제외하고는 델파이법과 유사하다
반응형
[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계)
[현직 컨설턴트 견해]정보보호 위험관리는 보안 서비스인 기밀성, 무결성, 가용성 등에 영향을 미치는 요소를 위협으 로 선별하여 적절한 통제대책을 수립하는 것을 의미합니다. 따라서 위험관리를 위해서는 사전에 세 밀한 위험분석이 선행되어야 합니다.
컨설팅 착수보고 시 위험분석을 설명하기 앞 서 위협과 취약성의 차이를 감기 바이러스를 예로 들어 설명합니다.
흔히 감기바이러스는 어디에나 존재하지만 감기에 걸리는 사람이 있고 안 걸리는 사람이 있지요. 그것은 그 사람의 건강 상태에 의해서 결정됩니다. 마찬가지로 위협(감기 바이러스)은 어디에서 있지만 취약성(건강상태) 여부 및 정도에 따라 위험(감기에 걸리는 상태)으로 바뀌어 지느냐 여부가 결정됩니다.
위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 정도를 예측하여 각 자산별 보호 우선순위를 정리할 필요가 있습니다.
이제 정보보호관리 5단계 12개 관리과정 중 “정보보호 위험관리(5~7번 째 단계)”에 대해 알아보도록 하겠습니다.
[ISMS 본문](5단계) 위험관리 방법 및 계획수립
위험관리 방법 및 계획
(출처: ISMS구축 및 운영교육-실무자 과정.pdf)
위험관리 단계(위험관리 방법 및 계획 수립)의 요구사항
관리과정 세부관리과정 관리과정 상세내용 위험관리 3.1 위험관리 방법 및 계획수립 관리적, 기술적, 물리적, 법적 분야 등 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립하여야 한다.
위험관리 계획 정의 및 필요성
– 앞으로 위험분석∙평가를 시행하기 위한 조직, 일정, 방법 등을 명시한 계획서이다.
– 이것이 마련되어야만 조직이 위험관리를 조직의 요구에 맞게 선정하고 이에 따라 수행하였는지 평가할 수 있다.
– 이를 달성하기 위해서는 위험관리의 수행주기를 정하여 주기적으로 위험관리를 재수행해야 한다. 또한, 이때 위험관리 방법 자체의 적절성도 주기적으로 검토해야 한다.
위험관리 절차
– 조직의 정보보호정책에 따라 조직의 목표, 법적 요구사항 등을 고려하여 위험관리를 수행할 조직을 지정하고, 관련된 각 조직의 역할과 책임, 기본적인 절차 등을 문서화해야 한다.
– 위험분석∙평가 수행 조직에는 전담조직뿐만 아니라 관련 대상 부서의 책임자가 당연히 포함되어야 하며 필요한 경우 외부 전문가가 포함될 수 있다.
– 또는 외부 전문가에서 위험분석∙평가를 위탁하는 경우에도 관련 대상 부서의 책임자는 반드시 포함되어야 한다. 이는 위험분석에서 자산책임자가 직접 그 가치를 평가하고 중요 위협과 취약성 및 그 결과를 확인하는 것이 매우 중요하기 때문이다.
– 위험분석∙평가 방법을 선정하여 위험관리를 수행한 후에도 조직의 정보자산 변화 및 정보보호 환경의 변화에 따라 조직의 위험수준이 변동 될 수 있기 때문에 위험관리는 주기적으로 수행하는 것이 가장 효과적이다.
– 위험분석∙평가는 1~2년 단위로 정기적으로 다시 수행하는 것을 권고하고, 위험관리 방법 및 계획은 구체적인 수행주기를 정하여 명시하여야 한다.
– 수행주기를 명시하지 않았더라도 중요한 사업 프로세스의 변화나 정보 보호 관련 기술에 커다란 변화가 발생했다면 위험분석을 재수행 하도록 명시하는 것이 좋다.
– 위험분석∙평가를 다시 수행할 경우 기존의 위험분석∙평가 방법이 현재에도 적절한지를 검토하고 수행해야 한다.
위험관리 분석 시기
– 초기 분석 시에는 위험관리에 대한 전반적인 지식이나 예산 등의 자원 부족으로 인해 단순한 분석방법이 적용될 수 있고, 또는 급박한 위험에 대처하기 위하여 특정 영역을 중심으로 위험분석이 수행되었을 수도 있다.
– 재 수행 시기에는 이러한 대응의 필요성이 여전히 유효한지, 또는 상황변환에 따라 새로운 방법론을 적용하는 것이 바람직한지 검토하여 수행하는 것이 좋다.
– 검토 시에는 위험이 높은 영역을 정확히 식별하였는지, 위험이 낮은 영역과 높은 영역에 각각 적절한 방법론이 적용하였는지를 고려하여 기존과 동일한 위험분석 방법을 사용하거나 다른 위험분석 방법을 선택할 수 있다.
(6단계) 위험 식별 및 평가
위험분석
(출처: ISMS구축 및 운영교육-실무자 과정.pdf)
위험관리 단계(위험분석)의 요구사항
관리과정 세부관리과정 관리과정 상세내용 위험관리 3.2 위험 식별 및 평가 위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정 하여 관리하여야 한다.
위험 식별 및 평가
– 정보보호 관리체계 범위 내의 각 부서 소유 정보자산을 식별하고 정보자산대장을 작성, 유지한다.
– 정보보호(위험관리)담당자는 정보자산대장의 각 자산별 가치를 산정(기밀성, 무결성, 가용성 관점)하여, 이를 위해 각 부서 담당자의 의견을 반영하여 결정할 수 있다.
– 만약 자산 중요도, 사양(Specification), 관리부서, 자산가치 등이 모두 동일하다면 위험부석의 대상을 줄여 위험분석 및 평가를 효율적으로 하기 위하여 그룹핑(Grouping)을 하는 것도 좋은 방법이다.
취약성 분석 대상 및 과정
– 자산 중 장비에 해당하는 서버, 네트워크, 정보보호시스템, 업무용 PC 등에 대하여는 기술적인 위협과 취약성을 식별하는 분석 작업을 실시한다.
– 업무프로세스 등의 이행현황을 분석하기 위하여 정보보호 관리체계 인증 기준 중 문서보안, 인원보안, 물리적 보안을 비롯한 각 장비 별 관리적인 위협과 취약성을 식별하기 위한 갭(Gap)분석 또한 실시한다.
– 이 분석 활동 시기에 도출된 위협과 취약성 중, 즉시조치(Hot Fix) 가능한 것들은 해당 부서에서 판단하여 개선조치를 하고 그 근거(증적)를 남긴다.
수용 가능한 위험수준(DoA) 설정 및 관리
– 취약성 분석된 결과를 종합하여 위험도(Risk Value)를 결정하고, 위험도 구간에 따른 위험처리 전략을 결정하기 위하여 수용 가능한 위험수준(DoA: Degree of Assurance)을 정한다.
– 이를 정할 때에는 정보보호 조직과 관련 부서의 협의를 거쳐야 하며, 정보보호 조직 만의 검토로 결정이 이루어져서는 안 된다.
– DoA 이상의 위험은 위험을 줄여야 하는 수준으로 판단하고 위험 감소를 위해 적용이 요구되는 각 위험별 정보보호 관리체계 인증기준(통제항목)을 정한다.
정보보호 계획 수립 절차
– 위험별 정보보호 관리체계 통제항목의 통제를 실현하기 위하여 해당 부서 별 구체적인 정보보호 대책과 추진시기 등을 포함하는 정보보호 계획을 취합한다.
– 정보보호 계획 중에는 단기(연내 실시), 중장기(차년도 또는 그 이후) 등으로 구분하여 해당 위험이 매년 위험관리를 통해 지속적으로 관리될 수 있도록 문서화 해야 한다.
– 최종 위험분석 및 위험평가 보고서는 정보보호최고책임자(CISO) 이상의 검토 및 승인을 거쳐야만 한다.
(7단계) 정보보호 대책 선정 및 이행계획 구축
정보보호 대책 선정 및 이행계획
(출처: ISMS구축 및 운영교육-실무자 과정.pdf)
위험관리 단계(정보보호대책 선정 및 이행계획 수립)의 요구사항
관리과정 세부관리과정 관리과정 상세내용 위험관리 3.3 정보보호대책 선정 및 이행 계획 수립 위험을 수용 가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
정보보호 대책 선정
– 위험감소 전략으로 선정된 위험들을 수용 가능한 수준으로 감소시키기 위해 정보보호 관리체계의 기준에서 제시하는 적절한 통제항목과 연결시켜 해당 통제가 적용되도록 명문화한다.
– 대책 구축을 통한 위험감소 방안을 선택할 경우에는 기술, 재정, 적용되는 법제도, 시간, 조직문화 등 여러 가지 제약조건 또한 고려되어야 한다.
– 위험에 따라서 제시된 통제사항보다 더 세부적이고 강한 대책이 선정될 수 있고, 구체적으로 제시되지 않은 통제사항이 필요한 경우도 있다.
– 위험분석 및 평가에 의거하여 위험수용, 위험감소, 위험회피, 위험전가 등의 전략을 설정하고 기준에서 제시하는 통제사항을 선택한다.
구분 내용 위험수용 위험을 받아들이고 비용을 감수함 위험감소 위험을 감소시킬 수 있는 대책을 채택하여 구현함 위험회피 위험이 존재하는 프로세스나 사업을 포기함 위험전가 잠재적 비용을 제 3자에게 이전하거나 할당함
위험 대응 방안
기술적인 위험
– 해당 취약점을 제거하는 방향으로 위험을 감소시키고 실제 이를 이행하기 위한 시기와 소요예산도 함께 고려하는 것이 좋다.
– 예를 들어, 서버 관리자의 업무용 PC에서 도출된 위험에 대한 정보보호 대책 선정 예시는 다음과 같다.
위험(우려사항) 보호대책 업무용 PC에서 관리자가 접속하는 툴의 아이디/패스워드가 노출되어 있어 업무용 PC의 접근권한이 획득되면 관리자 서버로의 접근이 가능하고 이를 통해 관리자 계정이 악용될 우려가 있음 ISMS 10.3.3 사용자패스워드 관리 및 서버보안관리 지침 2.2.2.1 패스워드 관리정책을 준용하여 관리자 패스워드가 노출되지 않도록 해당 툴의 설정을 강화 (패스워드 기억설정 해제) 적용시기 소요 예산 단기적용(1주일 이내) 0원
기술적인 위험 및 보호대책 예시
관리적인 위험
– 정보보호 관리체계 통제항목을 중심으로 담당자 인터뷰, 지침 열람, 현장 실사 등을 통해 각 우려사항을 도출하고 그에 대한 개선방안을 함께 기술한다.
– 예를 들어, 정보보호 교육 후 평가 및 보고에 대한 정보보호 대책 선정 예시는 다음과 같다.
통제항목 위험(우려사항) 보호대책 5.2.1 교육시행 및 평가 다양한 교육이 실시되고 있으나 교육 시행 후 평가 및 보고(개선점 도출)는 이루어지지 않음 교육 후 표준 평가(설문)지를 활용하여 교육결과를 분석하고 향후 교육효과를 제고시킬 수 있는 개선점을 도출, 보고하도록 함 이를 위하여 관련 지침을 개정(양식 추가)함
관리적인 위험 및 보호대책 예시
보호대책 선정 시 유의사항
– 법규에 의하여 강제화되는 보호조치 원칙은 그 원칙 자체가 보호수준이므로 법규에서 요구하는 보호수준 보다 낮은 보호대책이 구축되지 않도록 해야 한다.
– 예를 들어, 개인정보처리시스템(고객정보를 볼 수 있는 홈페이지)을 외부에서 접근 가능한 경우는 기술적 보호조치 기준(고시)에 따라 공인인증서 등의 안전한 인증수단을 이용하도록 하고 있으므로 아이디와 패스워드만으로 접속을 허용하고 있는 경우는 법률 위반에 해당한다.
경영진 승인
– 정보보호대책 이행계획은 매월, 분기, 반기 등 연 1회 이상 주기적으로 그 이행여부와 문제점을 파악하여 정보보호최고책임자(CISO) 등의 경영진에게 보고하여야 한다.
– 정보보호최고책임자(CISO) 또는 정보보호책임자는 매년 위험관리를 통해 도출된 정보보호 이행계획의 시행여부를 연 1회 이상 확인하여야 한다
– 정보보호 이행계획의 시행여부 확인은 경영진 보고회의 때 정보보호 조직이 정보보호 이행계획의 각 이행사항에 대한 진도 및 이슈사항 등을 포함하는 내용으로 보고가 이루어 질 수 있다.
이번 포스트는 정보보호관리 5단계 12개 관리과정 중 “위험관리 단계(5~7번 째 단계)”에 대한 포스팅이었습니다. 다음 포스트는 “정보보호 대책 구현”에 대해 이야기 해보도록 하겠습니다.
Top 39 위험 관리 5 단계 29475 Votes This Answer
[세종사이버대학교] 위험성평가 개요_장영민 교수님. [세종사이버대학교] 위험성평가 개요_장영민 교수님.위험 관리 (Risk management)
Article author: plummmm.tistory.com
Reviews from users: 1914 Ratings
Ratings Top rated: 3.5
Lowest rated: 1
Summary of article content: Articles about 위험 관리 (Risk management) Updating …
Most searched keywords: Whether you are looking for 위험 관리 (Risk management) Updating 정보보호 대책수립, 조직체계에 대해 알아보았으니 이제 위험관리에 대해 알아볼 차례이다. 위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해 위험을 분석하고 그..IT보안, 재테크 그 외 여러가지 주제로 글 쓰고 있습니다.
Table of Contents:
위험 관리 (Risk management)
티스토리툴바
위험 관리 (Risk management)
Read More
AhnLab | 보안 이슈
Article author: www.ahnlab.com
Reviews from users: 25345 Ratings
Ratings Top rated: 4.0
Lowest rated: 1
Summary of article content: Articles about AhnLab | 보안 이슈 위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 … …
Most searched keywords: Whether you are looking for AhnLab | 보안 이슈 위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 … 보안 이슈, 보안트랜드, 보안 이슈 정보안랩이 최신 IT 및 보안 이슈를 알기 쉽게 풀어드립니다.
Table of Contents:
AhnLab | 보안 이슈
Read More
위험관리 (Risk Management)
Article author: retro-blue.tistory.com
Reviews from users: 9907 Ratings
Ratings Top rated: 3.7
Lowest rated: 1
Summary of article content: Articles about 위험관리 (Risk Management) 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, … 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 … …
Most searched keywords: Whether you are looking for 위험관리 (Risk Management) 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, … 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 … ■ 위험관리 (Risk Management) – 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지..나만의 Data Science 자습소
Table of Contents:
위험관리 (Risk Management)
티스토리툴바
위험관리 (Risk Management)
Read More
위험 관리 5 단계
Article author: jksarm.accesson.kr
Reviews from users: 2558 Ratings
Ratings Top rated: 4.8
Lowest rated: 1
Summary of article content: Articles about 위험 관리 5 단계 4. 위험관리 프로세스의 기록관리표준. 대응 전략. 4.1 전략수립 단계. 4.2 위험 식별 및 분석 단계. 4.3 위험 평가 단계. 4.4 위험 대응 단계. 5. 결론 및 제언. …
Most searched keywords: Whether you are looking for 위험 관리 5 단계 4. 위험관리 프로세스의 기록관리표준. 대응 전략. 4.1 전략수립 단계. 4.2 위험 식별 및 분석 단계. 4.3 위험 평가 단계. 4.4 위험 대응 단계. 5. 결론 및 제언.
Table of Contents:
위험 관리 5 단계
Read More
[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그Article author: m.blog.naver.com
Reviews from users: 1852 Ratings
Ratings Top rated: 4.9
Lowest rated: 1
Summary of article content: Articles about [ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그 위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 … …
Most searched keywords: Whether you are looking for [ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그 위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 …
Table of Contents:
카테고리 이동
innerbus
이 블로그
컴플라이언스
카테고리 글
카테고리
이 블로그
컴플라이언스
카테고리 글
[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그Read More
¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À
Article author: www.iscqa.com
Reviews from users: 7608 Ratings
Ratings Top rated: 3.5
Lowest rated: 1
Summary of article content: Articles about ¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À 즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다. 3. 위험관리 절차 위험관리는 다음의 5단계로 수행된다. (1) 위험확인 …
Most searched keywords: Whether you are looking for ¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À 즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다. 3. 위험관리 절차 위험관리는 다음의 5단계로 수행된다. (1) 위험확인
Table of Contents:
¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À
Read More
(특)기업재해경감협회
Article author: www.bcdm.or.kr
Reviews from users: 2865 Ratings
Ratings Top rated: 3.2
Lowest rated: 1
Summary of article content: Articles about (특)기업재해경감협회 minimize the adverse effects of accental losses upon an organization. . ○위험관리의 의사결정 5단계. 1 … …
Most searched keywords: Whether you are looking for (특)기업재해경감협회 minimize the adverse effects of accental losses upon an organization. . ○위험관리의 의사결정 5단계. 1 …
Table of Contents:
(특)기업재해경감협회
Read More
´Ù¿ø°Ç¼³ °Ç¼³ºÎ¹®
Article author: planbuild.co.kr
Reviews from users: 44397 Ratings
Ratings Top rated: 4.1
Lowest rated: 1
Summary of article content: Articles about ´Ù¿ø°Ç¼³ °Ç¼³ºÎ¹® 또한 위험 핵심 요소 요약 및 기록 업무수행 계획, 정량 분석 등이 포함된 위험관리 계약서를 작성/관리 합니다. 5단계 개선 및 유지 위험요소를 완화 및 제거하기 … …
Most searched keywords: Whether you are looking for ´Ù¿ø°Ç¼³ °Ç¼³ºÎ¹® 또한 위험 핵심 요소 요약 및 기록 업무수행 계획, 정량 분석 등이 포함된 위험관리 계약서를 작성/관리 합니다. 5단계 개선 및 유지 위험요소를 완화 및 제거하기 …
Table of Contents:
´Ù¿ø°Ç¼³ °Ç¼³ºÎ¹®
Read More
5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자
Article author: naltaengi.tistory.com
Reviews from users: 18069 Ratings
Ratings Top rated: 3.0
Lowest rated: 1
Summary of article content: Articles about 5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자 — 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?) … — 소규모조직이나, … …
Most searched keywords: Whether you are looking for 5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자 — 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?) … — 소규모조직이나, … 1. 정보보호 관리 (1) 정보보관리 개념 1) 정보보호의 목적 및 특성 – 정보보호의 정의 : 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기..
Table of Contents:
5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자
Read More
See more articles in the same category here: 844+ tips for you.
위험 관리 (Risk management)
반응형 정보보호 대책수립, 조직체계에 대해 알아보았으니 이제 위험관리에 대해 알아볼 차례이다. 위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해 위험을 분석하고 그에 대한 보호대책을 마련하는 것을 말한다. 위험 관리는 총 5가지 단계로 이루어진다. 1. 위험관리 전략 및 계획 수립 위험관리를 위해 전략과 계획 그리고 우선순위를 결정하는 과정이다. 2. 위험 분석 위험 분석은 말그대로 위험을 끼칠 수 있는 사고에 대해 분석하는 과정이다. 위험은 아래와 같은 공식으로 성립된다. 위험 = [발생가능성] * [손실의 정도] 위험 = f(자산, 위협, 취약성) 위험의 구성요소에는 4가지가 있다. – 자산 (assets) : 보호해야 할 대상. – 위협 (threats) : 자산에 손실을 초래할 수 있는 잠재적 원인, 의도적 위협과 우연한 위협으로 나뉨. – 취약성 (Vulnerability) : 잠재적인 위협의 이용 대상. – 정보보호대책 (Safeguard) : 위험에 대한 물리적, 기술적, 관리적 대응책을 말한다. 위 4가지는 위험과 아주 밀접한 상관관계를 갖고있다. (구성요소니까 당연한???) 이 위험분석 과정은 국제 표준 지침인 ISO/IEC 13335-1에서 크게 4가지 전략을 제안한다 . 2-1. 위험분석 접근법 * 베이스라인 접근법 (Baseline Approach) – 표준화된 보호대책 체크리스트를 가지고 점검하는 접근법. – 따로 위험분석을 실시하지 않고 이미 나와있는 체크리스트로 점검한다. – 주로 소규모 조직에서 사용된다. * 비정형 접근법 (Informal Approach) – 방법론에 의거하지 않고 경험자의 지식으로 위험분석 – 경험에 의존하기에, 초고수가 맡아야 한다. * 상세위험분석 (Detailed Risk Analysis) – 세부적인 단계를 밟아 위험분석 하는것. 가장 적절한 대처가 가능한 접근법 – 많은 시간과 노력이 들어가고, 여기 또한 고급 인력이 필요하다. 위와 같은 세부적인 과정을 통해 진행된다. 자세한 설명은 필요 없이 이름만 보면 알 수 있다. 순서는 웬만하면 외워두는 것이 좋을 것 같다. * 혼합접근법 (Combined Approach) – 상세위험분석을 수행하고, 그 외 영역은 베이스라인으로 접근하는 방법. – 비용과 자원을 효과적으로 사용할 수 있고, 식별 속도가 빨라 많이 사용된다. 그리고 다음은 위험분석 방법론에 대해서 알아보자. 2-2. 위험분석 방법론 * 정량적 분석방법 위험을 손실액과 같은 숫자값으로 표현함. ALE(연간손실액) = SLE * ARO SLE(단일예상 손실액) = AV(자산가치) * EF(노출계수) 예를 들어, 10년에 한번 태풍이 불어 회사 시설에 50%가 손상 된다고 치자. 회사 시설은 $200,000이다. 이때 연간 손실액을 구하면? SLE = 200,000*0.5 = 100,000 ALE = 100,000*0.1 = 10,000 이러한 방식을 이용하여 예산계획에 활용이 가능하다. 하지만 분석에 너무 오버헤드가 크다. 정량적 분석방법은 3가지 방법들이 있다. – 과거 자료 분석법 : 과거자료를 통해 위험 발생 가능성을 분석하는 방법. 표본이 많을수록 좋지만.. 과거는 과거일뿐 – 수학공식 접근법 : 과거자료 분석이 힘들 때 사용한다. 위험발생 빈도를 수학적 공식으로 계산하여 계량화 하는 것. – 확률분포법 : 미지의 사건을 확률적 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법. 정확성 낮다. 정량적 분석방법의 장/단점을 알아보자. – 장점 : 객관적이고 수치로 표현되기 때문에 이해가 쉽다. 성능평가에 용이하다. – 단점 : 계산이 복잡해서 시간, 노력, 비용이 많이 든다. 그리고 자동화 도구를 이용하여 신뢰도가 벤더에 의존됨. * 정성적 분석방법 어떠한 위험에 대해 ‘매우높음’, ‘높음’, ‘보통’, ‘낮음’ 등으로 표현하는 것이다. 그냥 표에다가 높음 낮음 표시하는거다. 이것 또한 몇가지 방법이 있다. – 델파이법 : 전문가 집단 의견을 추출하고 종합하기 위해 동일한 전문가 집단에게 설문조사하여 의견 정리하는 방법. 비용/시간은 적게들지만 정확도가 낮다. – 시나리오법 : 어떤 사실도 기대대로 되지 않는다는 가정하에 시나리오를 통하여 분석하는 방법. 정확도 낮다. – 순위결정법 : 비교우위 순위 결정표에 위험 항목들의 순위를 결정하는 방법. – 그 외 : 질문서법, 브레인스토밍, 스토리보딩 정성적 분석방법의 장단점을 알아보장 – 장점 : 계산에 대한 노력/비용이 적게들고, 수치로 표현된 값은 평가할 필요가 없다. – 단점 : 주관적이라 신빙성이 떨어진다. 성능추적이 어렵고, 결과를 수치로 표현 불가능하다. 3. 위혐 평가 자 이제 다음 단계인 위험평가 단계에 대해 알아봅시다. 이 단계는 위험분석 한 결과를 바탕으로 기밀성, 무결성, 가용성에 따른 잠재적 손실규모를 평가하는 단계이다. * 정량적 방식의 위험평가 자산의 가치는 금액, 위험은 연간 발생률, 취약성은 백분율로 평가하는 방법 연간예상손실액 = (자산가치) * (연간발생횟수) * (취약성%) * 정성적 방식의 위험평가 자산, 위험, 취약성 3가지를 3점 척도로 평가하는 방법이 일반적이다. 3점 척도 평가 더하기 방식은 위 표와 같이 쓴다. * 목표 위험 수준 및 우선순위 결정 위험 평가가 끝나면 수용 가능한 위험수준 및 우선순위를 결정해야 한다. 수준이 높은 위험과 낮은 위험에 대한 대비책을 사전에 정의하지 않으면 일관성이 결여되니까 반드시 필요하다. 4. 위험처리 방법 자 이번에는 위험이 발생했는데, 수용가능한 범위를 넘어섰을 때, 위험을 어떻게 처리하는지 알아보자. – 위험수용 : 위험의 잠재 손실 비용을 감수하는 것. 일정 수준이하로 감소시키고 사업을 계속 진행한다. – 위험감소 : 위험을 감소시킬 대책을 마련하는 것. 비용이 많이 드니까 비용분석을 실시한다. – 위험회피 : 위험이 존재하는 사업, 프로세스를 진행하지 않는 것을 말한다. – 위험전가 : 보험이나 외주 등으로 잠재적 위험을 제3자에게 전가하는 방법이다. 반응형
[Expert Column] ‘위험관리’ 단계별 따라 하기그 동안 ‘월간 안’을 통해 정보보호 컴플라이언스에 관한 내용을 여러 차례 다룬 바 있다. 이번에는 보안 활동의 핵심이라 할 수 있는 ‘위험관리’에 대해 알아보고자 한다. ‘위험관리’는 정보보호 법령과도 밀접한 관계가 있다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’(이하 정통망법)에서 요구하는 정보보호관리체계인증의 핵심적인 단계가 바로 위험관리이기 때문이다. 정통망법 제47조(정보보호관리체계의 인증)는 일정 기준(정보통신서비스 부문 전년도 매출액이 100억 원 이상이거나 전년도 말 기준, 직전 3개월 간의 일일 평균 이용자 수가 100만 명 이상인 경우)에 해당하는 기업은 정보보호관리체계인증(이하 ISMS)을 의무적으로 취득해야 한다고 명시하고 있다. [그림 1] 정보보호관리체계 5단계 관리 과정 (*출처: 한국인터넷진흥원) 위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 접근법, 상세 위험 분석, 복합 접근법 등 여러 기법이 있다. 이 글에서는 일반인, 즉 보안 전문지식이 높지 않은 사람이 위험관리의 개념을 이해하고 현실에서 적용할 수 있도록 위험 분석을 예를 들어 쉽고 간략하게 설명하겠다. 각 단계별로 사례를 통해 설명하기 위해 가상의 실습자를 설정하였는데, 한 사람은 기업 인사팀 직원이고 다른 사람은 한 아이의 아버지이다. 기업 담당자가 아닌 일반인을 예로 든 까닭은 위험관리가 비즈니스에서만 쓰는 것이 아니라 일상에서도 활용할 수 있는 유용한 지식이기 때문이다. 1단계: 나에게 소중한 대상은 무엇인가 – 자산 식별 위험관리에서 자산을 식별하는 것은 가장 먼저 하는 일이자 핵심이 되는 일이다. 자산(Asset)이란 ‘가치 있는 대상’을 뜻한다. 기업의 자산이라면 경제적 가치를 중심으로 하겠지만 개인에게 있어서는 어떤 의미로든 가치가 있다면 그 대상을 자산으로 보면 된다. 자산이 중요한 이유는 그것이 보안의 목적이자 활동 근거이기 때문이다. 보안(保安)은 ‘안전하게(安) 지킨다(保)’는 뜻이다. 안전하게 지키기 위해서는 지키고자 하는 대상이 있어야 하고, 그 대상은 지킬 가치가 있는 것이라야 할 것이다. 그러한 대상이 무엇인지 파악하고 지켜야 할 이유를 납득하며 지키는 주체가 누구인지 확실히 아는 것이 위험관리의 시작이자 이후의 과정을 관통하는 중추인 것이다. 자산의 내용을 파악했다면 자산을 지킬 책임이 누구에게 있는지, 자산의 손실이 미칠 영향이 어느 정도인지 그 중요도를 정량적 또는 정성적으로 표현한다. 사례에서 기업의 정보 자산을 취급하는 안전해 대리는 자산 가치를 3점 단위로 정량 평가하고 인자한 씨의 경우는 정성적으로 표현하였다. 2단계: 소중한 대상(자산)에 해를 끼칠 수 있는 요소는 무엇인가 – 위협 분석 위협(Threat)이란 자산의 속성을 훼손할 수 있는 내•외부의 요인이다. 정보보호 분야에서 안전하게 유지해야 할 자산의 속성은 ▲가용성(Availability) ▲무결성(Integrity) ▲기밀성(Confidentiality) 등 세 가지이다. 가용성이란 어떤 대상의 지속적인 사용을 보장하는 것으로, 정보시스템이라면 서비스가 장애 없이 운영되는 것이고 사람이라면 아프지 않고 정상적인 활동이 가능한 상태라 할 수 있겠다. 무결성은 정보의 내용이 변조되지 않고 일관성을 유지할 수 있는 상태를 뜻한다. 예를 들어, 은행 전산시스템이 해킹되어 통장 잔고가 1억 원에서 1원으로 바뀌었다면 무결성이 훼손되었다고 할 수 있다. 기밀성은 정보에 접근할 수 있는 권한의 차등성이 유지되는 것이다. 쉽게 말해 다른 사람이 알면 안 되는 내용이라면 그들이 알 수 없도록 지켜져야 한다는 뜻이다. 위협의 정도는 위협이 미칠 영향과 위협이 발생할 빈도를 고려하여 측정하는 것이 일반적이다. 자주 발생하더라도 별다른 영향이 없는 위협이 있을 수 있고, 딱 한 번이더라도 돌이킬 수 없는 손실을 입히는 위협도 있을 것이다. 인자한 씨라면 아이가 놀다가 넘어지는 정도는 여러 번 발생하더라도 심각한 영향은 없는 위협으로 볼 수도 있다. 반면 교통사고는 단 한 번 일어나더라도 치명적인 위협일 것이다. [표 1]의 평가 모델은 기업의 위험 분석에 쓰이기는 하지만 이것이 절대적인 기준은 아니다. 기업 나름의 기준을 정하여 일관성 있게 적용한다면 그것으로 충분하다. [표 1] 위협 평가 모델 (*출처: 한국인터넷진흥원) 3단계: 위협에 대한 약점은 무엇인가 – 취약성 분석 취약성(Vulnerability)이란 위협에 대응하여 위험의 실현 가능성을 높이는 요인이다. 자산에 내재된 단일한 요소를 뜻하지만 현실에서는 여러 요소의 결합이나 특정한 상황을 포함할 수도 있다. 예컨대 B형 간염 항원이라는 위협에 대해서 항체가 없는 상태라면 ‘B형 간염 항체 없음’이 취약성이 된다. 정보통신서비스와 관련한 취약성은 발견된 내용이 너무 많아 일종의 사전(Dictionary)이 구축되어 있을 정도다. cve.mitre.org와 같은 사이트를 참고하면 도움이 될 것이다. 안전해 대리의 인터뷰에 따르면, ‘채용시스템 장애’라는 위협에 대한 취약성은 데이터 백업이 되지 않고 있는 상황이라 할 수 있다. 입사지원자의 정보를 출력한 문서가 관리 부실로 방치되고 있다는 점도 서류 분실에 따른 위험을 높이고 있음이 분명하다. 한편 인자한 씨는 아이가 건널목을 건너다가 교통사고를 당할 수도 있다는 위험과 관련해, 관리가 되지 않는 아침 2개 구간과 방과 후 5개의 건널목 모두에 보호 방책이 없는 환경을 우려하고 있다. 취약성의 영향도는 위협이 작동할 여지를 크게 한다고 판단될수록 심각하다고 볼 수 있다. 사례에서는 VH(Very High), H(High)와 같은 형식으로 표현했지만 숫자로만 표시해도 무방하고 다른 어떤 표현을 써도 관계없다. 단지 각각의 취약성 정도가 동일한 수준이 아닐 때 그 차이를 식별할 기준만 명확하면 된다. 4단계: 얼마나 위험한 것인가 – 위험 평가 위험 평가는 앞의 1,2,3 단계에서 측정한 자산 중요도, 위협 정도, 취약성 정도를 입력 값으로 하여 위험 수준이라는 출력 값을 얻고 어느 수준까지 위험을 수용할지 판단하는 과정이다. 국제공인 정보시스템 보안전문가(CISSP) 가이드북에는 다음과 같은 수식으로 위험이 표현되어 있다. 이 수식에서 곱셈 기호(x)는 위험 수준을 구하기 위해서는 3가지 입력 값을 곱하라는 뜻이라기보다는 어느 하나의 값이 0이라면 출력값인 위험 역시 0으로 보아도 된다는 의미로 이해하는 것이 좋겠다. 즉, 아무리 큰 위협이 있다 하더라도 그 위협이 가해질 자산이 없다면 위험이란 의미가 업고, 자산이 있고 위협이 있다 하더라도 취약점이 전혀 없어 위협이 작동할 여지가 없다면 이 또한 위험은 없는 것과 같다는 뜻이다. 실제 위험수준의 계산은 앞에서 구한 3가지 요소들의 측정값을 1~3점이나 1~5점 범위로 구분한 다음, 이를 합산하는 방법이 주로 쓰인다. 이를 기준으로 안전해 대리와 인자한 씨의 위험평가 결과를 보면 다음과 같다. 어떤 방식으로 위험 정도를 산출하는가는 중요한 문제가 아니다. 위험평가를 하는 이유는 위험에 대처할 기준을 정하기 위한 것이다. 위험을 처리하려면 대개 비용이 소요되기 마련인데, 비용은 한계가 있기 때문에 의사결정이 필요하다. 만약 비용이 무한정이고 시기적으로 급박한 정도도 동일하다면(시간도 비용이다), 굳이 위험평가를 할 필요가 없다. 위험 정도를 측정한 뒤 ‘수용할 수 있는 수준’ 이상의 위험에 대해서만 비용을 들여 대응하는 것으로 결정하는데, 이 ‘수용할 수 있는 수준’을 보안 분야에서는 DoA(Degree of Acceptance)라고 한다. 안전해 대리의 경우, 해당 회사에서 DoA를 11로 정했다면 위험 정도가 11을 초과하는 경우에만 위험 대응 전략을 고려하고 그 이하의 위험에 대해서는 감수하거나 잠정적으로 대책을 보류하는 것으로 결정한다. 인자한 씨는 어떻게 해야 할까? 인자한 씨의 자산 가치는 사실상 평가 불가능하다. 부모가 아니더라도 어린 아이가 교통사고로 인해 중상을 입거나 생명을 잃었을 때 입을 손실이나 영향을 가늠하는 일은 상당히 어렵다. 결과적으로 인자한 씨는 ‘아이의 교통사고’라는 위험에 대해서 ‘위험 감수’라는 선택은 불가능하며 어떤 방법이든 위험에 대처할 방법을 찾아야만 한다. 5단계: 어떻게 위험에 대응할 것인가 – 위험대응전략 이제 위험관리의 마지막 단계에 이르렀다. 위험에 대응하는 전략은 일반적으로 ▲회피 ▲전가 ▲감소 ▲수용 등 4가지로 분류하곤 한다. ‘회피’란 말 그대로 위험이 발생할 상황 자체를 피하는 것이다. 연인과 야외로 피크닉을 가기로 했는데 오늘 비가 올 확률이 60%라는 일기예보를 들었다고 하자. 이때 위험은 ‘비가 와서 피크닉을 망치는 것’이고 위협은 ‘비’, 취약점은 ‘야외라 마땅히 비를 피할 곳이 없다’라는 정도로 볼 수 있다. 이 경우 취할 수 있는 대응 전략 중 하나는 비 올 가능성이 높은 오늘의 피크닉을 아예 취소하는 것인데, 이런 선택을 ‘회피’라고 볼 수 있다. ‘전가’는 위험으로 인한 손실을 누군가에게 분담시키는 선택이다. 전가의 대표적인 예는 ‘보험’이다. 가능성 있는 위험이 실제로 발생하면 보험사를 통해 그에 대한 보상을 받음으로써 손실의 규모를 줄이는 것이다. ‘감소’는 위험을 줄이기 위한 대책을 구현하는 것이다. 앞서 예를 든 피크닉 경우라면, 우산을 준비해 가는 것이 위험감소 대책이 될 것이다. ‘우산’이라는 비용은 들지만 비가 내렸을 때 망쳐버릴 수 있는 피크닉의 위험을 얼마쯤은 줄여줄 것이기 때문이다. 마지막 선택은 ‘위험 수용’이다. 이는 위험이 발생할 가능성을 그대로 받아들이는 것이다. ‘피크닉 가서 비가 오면 그냥 비를 맞지 뭐. 그것 때문에 여자친구가 화를 낸다면 어쩔 수 없고.’ 대범하거나 미련한 남자의 선택인 셈이다. 전략 결정에 가장 큰 영향을 미치는 것은 위험평가와 마찬가지로 ‘비용’이다. 위험으로 인한 ‘손실’이 위험을 억제하는데 드는 비용보다 적다면, 그 손실은 감수하는 편이 낫다는 것이 기본 논리이다. 역설적이지만 위험관리의 목적은 위험을 아예 제거하는 것이 아니라 수용할 수 있는 수준까지 낮추는 것이다. (물론, 예외도 있긴 하다.) 이제 안전해 대리와 인자한 씨의 위험대응 전략을 살펴보는 것으로 실습을 마무리하자. 결국 안전해 대리와 인자한 씨 모두 위험을 감소시키는 방향으로 전략을 결정했다. 사례에서는 취약점이나 위협의 수가 적기 때문에 한 가지 전략을 선택했지만 실제 기업 운영이나 아이를 키우면서 직면하게 되는 위험은 매우 다양할 수 있다. 그에 따른 전략과 대책 또한 다양하게 도출될 수 있을 것이다. 변화하는 위협, 지속적인 위험관리 필요 끝으로 인자한 씨를 사례로 든 이유 또는 변명을 다시금 하고자 한다. 기업 보안 담당자라면 불필요한 사례라고 느꼈을 듯도 싶다. 그럼에도 불구하고 굳이 아이를 안전하게 지키고 싶은 아버지를 사례로 언급한 이유는 위험관리에서 가장 중요한 출발점은 자신이 지키고자 하는 대상에 대한 애정과 관심이라고 생각하기 때문이다. 아이들은 시시각각 성장하고 변한다. 기업의 자산도 처음 상태 그대로 있는 것이 아니다. 서버 시스템이라면 초기의 가용성과 5년 뒤, 10년 뒤의 가용성이 같은 상태일 수 없다. 위협 또한 고정적이지 않다. 초등학교 1학년 때는 길을 건너는 일조차 위험일 수 있지만 대학생이 된다면 그때는 또 다른 위험에 대해 고려해야만 한다. 기업 자산에 대한 위협 역시 늘 다양한 유형으로 바뀌고 늘어난다. 따라서 위험관리란 1회성으로 끝낼 일이 결코 아니다. 자산과 위협과 취약점의 변화를 지속적으로 주시하고 종합적인 위험을 수시로 가늠하면서 소중한 대상이 안전하게 유지될 수 있도록 돌보는 영속적인 과정이다. 만약 인자한 씨가 아들 걱정하듯 기업의 직원들이 자신에게 소중한 자산이 무엇인지 인식하고 지키고자 한다면 위험관리 방법론이 무엇이든 중요치 않다고 본다. 내게 전문 지식이 없다면 아이가 아플 때 병원 진료를 받듯이 전문가의 도움을 받으면 된다. 중요한 것은 어떤 상황에서도 내 자산은 내가 돌보겠다는 책임감과 의지가 보안의 핵심이라는 것이다. 손발이 오그라들 수 있는 멘트로 글을 맺는다. 보안은 사랑이다. 사랑하면 지키게 된다. @
위험관리 (Risk Management)
반응형 ■ 위험관리 (Risk Management) – 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정 – 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, 이에 대한 위협 및 취약점을 분석하여 위험을 측정하고, 이를 조직에 적합한 위험수준으로 조정하기 위해 보안대책을 선택하는 일련의 활동이다 – 위험관리는 위험분석과 위험평가가 주된 활동이다 – 위험관리는 보호대상, 위험요소, 취약점 분석 등을 통한 위험분석, 적절한 메커니즘의 선택, 선택된 메커니즘의 구현과 시험, 구현된 메커니즘의 보안성 평가, 종합적인 보안의 재평가를 포함 – 위험평가는 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계 ★ 위험관리 목적 ① 위험분석에서 나온 근거에 바탕을 두며 불필요하거나 과도한 정보보호 투자를 방지한다 ② 자산에 대한 위험을 분석, 비용 효과적 측면에서 적절한 보호대책을 수립한다 ③ 위험관리는 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정이다. 즉 위험을 무조건 최소한으로 감소시키는 것 보다는 수용할 수 잇는 수준으로 감소시키는 것이 목적이다 ★ 위험관리의 순서 – 위험관리 순서는 자산식별 및 평가, 위협식별, 취약점식별, 영향평가, 대책선정, 권고안 작성 순으로 진행 – 자산식별 및 평가 단계는 조직의 업무와 연관된 정보, 정보시스템을 포함한 정보자산을 식별하고, 해당 자산의 보안성이 상실되었을 때의 결과가 조직에 미칠 수 있는 영향을 고려하여 가치를 평가한다 – 위험관리 순서는 크게 ‘위험분석 → 위험평가 → 대책설정’의 3가지 과정으로 구성된다 ■ 3단계 위험관리 순서 1) 위험분석 – 자산의 위협과 취약점을 분석하여 보안 위험의 내용과 정도를 결정하는 과정 – 위험을 분석하고 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위험의 내용과 정도를 결정하는 과정을 의미 – 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다 2) 위험평가 – 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계 – 위험평가의 목적은 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것이다 – 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고, 자산별 위협, 취약점 및 위험도를 정리하여 위험을 평가한다 3) 대책설정 – 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행계획을 구축한다 ■ 위험분석 – 정보기술 보안관리(IT Security Management)를 수행하기 위해서 필수적인 과정 중의 하나이다 – 실질적으로 가장 핵심이 되는 부분 – 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다 – 위험분석의 목적은 보호되어야 할 대상인 정보시스템과 조직의 위험을 측정하고, 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것이다 ★ 구성요소 ① 자산 – 위험관리를 수행하는 가장 큰 목적은 조직의 자산을 보호하기 위함이다. 자산은 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소를 포함한다. 이러한 자산은 조직의 업무 특성과 시스템 구성환경에 따라 그 가치와 중요도가 다르다 – 자산의 식별된 위험을 처리하는 방안으로는 위험 수용, 위험 회피, 위험 전가 등이 있다 – 자산의 가치 평가를 위해 자산구입비용, 자산유지보수비용 등을 고려할 수 있다 – 자산의 적절한 보호를 위해 소유자와 책임소재를 지정함으로써 자산의 책임추적성을 보장받을 수 있다 – 자산은 조직이 보호해야 할 대상으로서 주로 정보(Data)와 장비(Hardware) 및 소프트웨어(Software), 기반시설 등을 말하며 관련 인력과 기업 이미지 등의 무형 자산을 포함하기도 한다. 자산의 가치 평가 범위에 데이터베이스, 계약서, 시스템 유지보수 인력 등도 포함된다 ② 위협 – 자산이 가지고 있는 고유의 취약점을 이용하여 자산에 직접적인 피해를 줄 수 있는 요소로써, 자산이 가진 취약점을 통해서만 자산에 피해를 줄 수 있다 ③ 취약점 – 취약점은 자산의 약점(weakness) 또는 보호대책의 결핍으로 정의할 수 있다 – 취약점은 위협이 조직에 원하지 않는 사건이나 결말을 가져오는 것을 가능하게 만드는 통제 및 환경상의 결함이나 조건으로 취약점은 존재 자체만으로는 자산에 어떠한 영향이나 피해를 주지 못한다 – 자산이 보유하고 있는 약점으로 위협에 의해서 이용된다. 이러한 취약점은 네트워크나 시스템 장비가 개발될 때 가지고 있는 고유한 약점이거나, 기존의 시스템 구성에 새로운 장비가 추가되어 생겨날 수 있는 약점일 수도 있다 ④ 대응책 – 자산의 취약점이 위협에 노출되어 자산에게 피해를 입힐 수 있는 것을 막아주는 각종 절차, 방법, 기술, 시스템 등이 있다. 보안의 목적을 최대한 달성하기 위하여 여러 종류의 대응책들이 서로 조합을 이루어 다른 종류의 대응책을 구성해 낼 수도 있다 ⑤ 위험 – 위협의 발생으로 인하여 자산에 실질적으로 가해진 결과이다. 이로 인하여 자산 자체가 파괴되거나 구성 환경이 변경될 수 있으며, 자산에 저장되어 있는 정보들이 변조, 폭로, 서비스 거부 등의 피해를 입을 수 있다. 이는 자산에 대한 기밀성, 무결성, 가용성, 인증, 신뢰성 등에 손실을 주게 된다 – 위험은 위협 정도, 취약점 정도, 자산 가치 등의 함수관계로 산정할 수 있다 ■ 위험분석 접근법 1) 기준선 접근법 (Baseline Approach, 기본통제 접근법) – 기준선 접근법은 표준화 된 보호대책의 세트를 체크리스트 형태로 구현하여 이를 기반으로 보호대책을 식별하는 방법 – 모든 시스템에 대하여 기본적이고 일반적인 수준에서 표준화 된 정보보호 대책 세트를 체크리스트 형태로 제공하는 것을 목표로 함 – 글로벌 선도 기업이 수행하고 있는 가장 이상적인 업무 수행 방법(업계 최선 실무)을 벤치마킹하여 위험분석을 시행한다 – ISO/IEC 17799와 같은 정보보호관리체계 표준에 나열된 보안 통제사항을 근거로 시스템에 대한 보안 위험을 분석하는 방법이다. 즉 표준에 나열된 보안 통제사항을 체크리스트 형태로 비교하면서 보안 위험을 분석한다 ☆ 장점 – 위험분석에 필요한 비용 및 시간을 최소화 할 수 있다 ☆ 단점 – 기본 통제의 수준이 너무 높으면 비용이 과다 지출되는 과보호의 위험이 있으며, 또한 너무 낮으면 부족한 보호가 될 가능성이 상존한다 – 보안환경 변화에 따른 요구사항 반영이 적절한 수준으로 조정되지 않으면 새로운 취약점에 대한 통제가 미비될 수 있다 – 점수에 집착 할 수 있고 계량화가 어려운 단점이 있으며, 소규모 조직에 적합하다 2) 비정형화 된 접근법 (Informal Approach, 비형식화 된 접근법) – 정형화되고 구조화 된 프로세스를 사용하는 대신에, 분석을 수행하는 내부 전문가나 외부 컨설턴트의 지식과 전문성을 활용한다 – 모든 정보자산에 전문가 지식 및 경험을 활용하는 방법으로 전문가 판단법이라고도 하며, 중소규모 조직에 일반적으로 추천된다 ☆ 장점 – 비용 대비 효과가 우수하며 중소규모 조직에 적합하다 – 상세 위험분석보다 빠르고 값싸게 수행될 수 있다 ☆ 단점 – 비정형화 된 접근법으로 특정 위험이 고려되지 않아 누락하는 경우가 발생할 수 있다 – 설정의 근거가 희박하며, 검토자의 개인적 경험에 지나치게 의존한다 – 전문성이 높은 인력이 수행하지 않으면 실패할 위험이 있다 – 측정의 완전도가 낮다 3) 상세 위험분석 접근법 (Detail Risk Analysis) – 상세 위험분석 접근법은 자산의 가치 분석, 위협 분석, 취약점 분석을 수행하여 위험을 분석하는 방법이다 – 정형화되고 구조화 된 프로세스를 사용하여 모든 정보자산에 대해 상세 위험분석을 하는 방법이다 ☆ 장점 – 자산가치, 위협, 취약점의 평가에 기초한 위험을 산정하므로 경영상 허용수준까지 위험을 줄이는 근거가 명확하다 – 계량적 수치화가 가능하다 – 평가의 완전도가 높다 ☆ 단점 – 상당한 시간, 노력, 비용이 상당히 든다 – 고급의 숙련된 인력이 필요하다 4) 복합 접근법 (Combined Approach, 통합된 접근법) – 기준선 접근법과 상세 위험분석 접근법을 조합하여 분석하는 방법으로 고위험 영역은 상세 위험분석을 수행하고, 다른 영역은 기준선 접근법을 사용하는 방식이다 ☆ 장점 – 비용 및 자원을 효과적으로 사용할 수 있으며 고위험 영역을 빠르게 식별하고 처리할 수 있다 – 부분적 계량화가 가능하다 ☆ 단점 – 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응이 이루어 질 수 있다 – 기준선 접근법이 부정확한 경우 상세 위험분석이 필요한 시스템이 누락될 위험이 있다 ■ 정성적 위험분석과 정량적 위험분석 1) 정성적 위험분석 – 정성적 위험분석은 구성 요소와 손실에 대해 숫자와 화폐적 가치를 부여하는 대신에, 다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다 – 정성적 위험분석 기술은 판단, 직관, 그리고 경험을 포함한다 ☆ 정성적 위험분석을 수행하는 경우 – 위험분석을 수행하는 직원이 정량적 위험분석 경험이 부족할 경우 – 위험분석 수행기간이 단기일 경우 – 조직이 위험분석을 수행하는 데 필요한 충분한 데이터를 제공할 수 없는 경우 ☆ 장점 – 계산에 대한 노력이 적게 든다 – 정보자산에 대한 가치를 평가할 필요가 없다 – 비용/이익을 평가할 필요가 없다 ☆ 단점 – 진단 및 결과가 기본적으로 주관적이어서 사람마다 결과가 달라질 수 있다 – 측정결과를 화폐가치로 평가하기 어렵다 – 비용/효과 분석에 있어 기회비용을 일반적으로 무시한다 – 주관적 측정치로 위험관리 목적들을 추적하기 어렵다 – 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있다 – 표준을 사용할 수 없다. 각각의 업체들은 자기만의 절차와 결과의 해석방법을 갖는다 * 정성적 위험분석 방법 종류 구분 설명 델파이법 – 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법 – 전문가 집단으로 구성된 위험분석 팀의 위험분석 및 평가를 통해 여러 가능성을 전제로 위협과 취약성에 대한 의견수렴을 통한 분석 방법 – 위험분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만 정확도가 낮음 시나리오법 – 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법이다 – 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석 팀과 관리충 간의 원활한 의사소통을 가능케 한다. 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다 순위결정법 – 순위결정법은 비교 우위 순위 결정표를 위험 항목들의 서술적 순위로 결정하는 방법이다 – 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법이다 – 위험분석에 소요되는 시간과 분석하여야 하는 자원의 양이 적다는 점이 있으나 위험 추정의 정확도가 낮다 퍼지 행렬법 – 복잡하고 비선형적인 시스템에 대한 정확한 모델링 없이 분석하는 방법이다 2) 정량적 위험분석 – 정량적 위험분석은 수학적 기법을 활용하여 자산에 대한 해당 위험도를 분석하는 방법으로, 위험에 대한 분석을 숫자나 금액 등을 이용하여 객관적으로 분석하는 것이다 – 정량적 위험분석은 평가 대상 자산의 화폐가치 산정이 가능한 경우로 자산 도입비용, 자산 복구비용, 자산 교체비용이 기준이 된다 – 정량적 위험분석을 통해 위험비용이 보안대책의 비용을 초과하는지 분석하는 것으로 많은 시간과 경험, 그리고 경험 많은 인력을 필요로 한다 – 분석 내 각 요소의 자산가치, 위협빈도, 취약의 심각성, 피해영향, 안정장치 비용, 불확실성, 그리고 개연성 항목이 수량화되어 전체적인 위험과 잉여 위험을 결정하기 위해 방정식에 입력된다. 이때 자동화 위험분석 도구가 많이 사용된다 ☆ 정량적 위험분석을 사용하는 경우 – 조직의 데이터 수집, 보관 프로세스가 복잡한 경우 – 위험분석 수행 직원의 경험이 많은 경우 – 위험분석 수행기간이 장기일 경우 ☆ 장점 – 객관적인 평가기준이 적용된다 – 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘된다 – 위험관리 성능평가가 용이하다 – 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해하기 쉽다 ☆ 단점 – 계산이 복잡하여 분석하는 데 시간, 노력, 비용이 많이 든다 – 관리자는 결과값이 어떤 방법으로 도출되었는지 알 수 없다 – 자동화 도구 없이는 작업량이 너무 많으며, 위험분석의 신뢰도가 자동화 도구를 생산한 벤더에 의존된다 – 환경에 대한 자세한 정보의 수집이 필요하다 * 정량적 위험분석의 예 구분 설명 ALE (연간 예상 손실) – 자산가치 x 노출 계수 = 단일 예상 손실 (SLE) – 단일 예상 손실 x 연간 발생률 = 연간 예상 손실 (ALE) 과거자료 분석법 – 과거자료 분석법은 과거의 자료를 통해 위험발생 가능성을 예측하는 방법으로써 과거 자료가 많을수록 분석의 정확도가 높아진다 수학공식 접근법 – 수학공식 접근법은 위험의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법이다 – 과거 자료 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는 데 유용하다. 위험을 정량화하여 매우 간결하게 나타낼 수 있다 (기대손실을 추정하는 자료의 양이 낮다) 확률 분포법 – 미지의 사건을 추정하는 데 사용되는 방법이다 – 미지의 사건을 확률적(통계적) 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다 (정확성이 낮다) 더보기 ■ 브레인스토밍 (Brain Storming) – 리더, 기록자 외에 10명 이내의 참가자(stomer)들이 기존의 관념에 사로잡히지 않고 자유로운 발상으로 아이디어나 의견을 내는 것 – 6~12명 정도의 사람들이 모여 20분~1시간 가량 문제에 관한 리더의 설명을 듣고, 가능한 많은 대체인을 제시하면 이들은 비판받지 않고 기록된다. 그 후 토의와 분석이 이루어진다 – 이의 목적은 보다 자유롭고 융통성 있는 사고를 증진하고 구성원들의 창조성을 촉진시키는 것이다. 브레인스토밍에서는 어떠한 내용의 발언이라도 그에 대한 비판을 해서는 안 되며, 오히려 자유분방하고 엉뚱하기까지 한 의견을 출발점으로 해서 아이디어를 전개시켜 나가도록 하고 있다. 이를테면, 일종의 자유연상법이라고도 할 수 있다 – 어떠한 아이디어도 평가받거나 비난받지 않아야 하며, 브레인스토밍의 목적은 아이디어 평가가 아니다 – 우습거나 독단적일지라도 다양한 아이디어가 용납되며, 질보다는 양을 추구하는 경향이 있다 – 타인의 아이디어와의 결합을 통해 새로운 아이디어와 의견을 발상하고, 각 아이디어는 개인이 아닌 집단에 속하게 된다 ■ 명목집단 기법 (Nominal Grouping Technique) – ‘명목(名目)’이란 독립적으로 행동하는, 이름만으로 집단을 구성함을 뜻한다. 사람들이 모이기는 하나 구두로 서로 의사소통 하도록 용납하지 않는 과정을 뜻한다 – 7~10명의 구조화 된 집단모임으로 테이블에 둘러앉기는 하지만 서로 말하지 않고 종이에 아이디어를 기록하고 5분 후에 각자가 한 아이디어를 발표함으로써 아이디어의 공유가 시작된다 – 지명된 한 사람이 기록자로서 흑판에 구성원 전체의 모든 아이디어를 익명으로 기록한다. 그때까지 토의는 시작되지 않는다. 이것이 첫 단계로써 통상 20분 전후가 걸린다 – 다음 단계는 투표를 하기 전에 각 아이디어에 대한 구조적 토의가 이루어지는 과정이다. 각 아이디어의 지지도를 분명히 하기 위해 질문이 계속 된다. 그 후 투표를 통해 우선순위가 결정된다. 구성원들이 대면한다는 사실만 제외하고는 델파이법과 유사하다 반응형
So you have finished reading the 위험 관리 5 단계 topic article, if you find this article useful, please share it. Thank you very much. See more: 위험관리 4가지, 위험관리 프로세스 단계, 위험관리 순서, 정보보호 위험관리 가이드, DoA 산정 기준, 위험관리 요소 위험 감지, 위험 관리 요소 위험 소통, 위험 관리 요소 위험도 분석
1. 서두
일본의 우유제품 식중독 사고, 제약회사의 협박사건, 자동차회수 은닉사건 등 올해도 기업의 경영근간을 흔드는 커다란 사건과 사고가 발생하고 있다. 원래 기업활동은 어느 정도의 위험을 가지고 수익을 얻는다는 원칙이 존재하므로 경영자를 필두로 기업의 임직원은 평소에 위험경영을 염두에 두고 일상업무에 종사한다고 할 수 있다. 그러나 오늘날의 사고나 재해의 사례를 보면, 기업에게 “설마….”하는 사건이 실제로 기업을 궁지로 몰아넣는 경우가 많은 것을 알 수가 있다. 이는 기업의 위험에 대한 인식이 향상되지 못하고, 경영활동 전개로 위험이 다양화되고 복잡해졌다는 것, 결과적으로 일단 위험이 현실화되면 손실이 거대화된다는 것 등을 원인으로 들 수 있다. 또 IT 혁명으로 특징 되는 고속화사회가 도래하면서 예를 들어서 위험수준이 보다 높아졌는데 그러한 현실을 너무 안이하게 바라보고, 사회환경의 변화에 대응하지 못하는 기업이 생겨나는 것도 그 원인의 하나라고 할 수 있다. 지금이야말로 위험관리를 다시 평가해야 할 시기인 것이다.
2. 위험관리란 무엇인가
위험관리의 선진국이라고 할 수 있는 미국에서는 예전부터 위험관리의 중요성이 크게 인식되어, 그 개념과 구체적인 진행방법이 논의되어 왔고 실무로서 정착되어 있는 상태이다. 위험관리의 정의는 다양하여 통일화되어 있지 않지만 여기에서는 다음의 정의를 사용하기로 한다.
기업과 관련한 다양한 위험을 예견하고, 그 위험이 초래하는 손실을 예방하기 위한 대책과 불행히도 손실이 발생했을 경우 사후처리대책을 효과적이고 효율적으로 강구함으로써 사업의 지속성과 안정적인 발전을 확보해가는 기업경영상의 수단
사업의 지속성이나 안정적인 발전은 대개의 경우 기업목적이 된다. 이 목적을 달성하기 위하여 다양한 예방책과 사후처리대책을 강구해 가는 것이 위험관리이고, 생각을 바꾸어보자면 위험관리는 기업경영 그 자체라고도 할 수가 있다.
한편, 기업은 생각해 볼 수 있는 다양한 예방책과 사후처리대책을 강구해야 하는가 하면 대답은 “그렇지 않다”이다. 기업에게 있어 위험관리에 투입할 수 있는 금전적 자원, 인적 자원 등은 한계가 있고 그 한정된 자원으로 얼마나 효과가 있는 대책을 강구하는지에 따라 위험관리의 성패가 결정된다고 할 수 있다.
덧붙이자면, 경영화된 비용이라는 관점도 중요하다고 할 수 있다. 기업경영의 안정화의 관점에서 보자면 매년 지출이 오르락내리락 하는 것은 바람직하지 않다. 즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다.
3. 위험관리 절차
위험관리는 다음의 5단계로 수행된다.
(1) 위험확인
기업과 관련된 모든 위험을 찾아내는 작업이다. 위에서 기술한 대로, 기업을 둘러싼 위험은
다양화되고 복잡화되고 있는 추세이므로 많은 부분의 협력을 통해 진행시키는 것이 중요하다. 위험확인은 체크리스트와 흐름도의 활용, 재무제표의 문제점 추출이라는 수단이 일반적인데, 각 부문 담당자에게 질문을 하고 자사 또는 동종의 타사의 사고사례를 조사하는 등 보다 상세한 확인을 할 수도 있다.
일반적으로 위험은 순수위험(손실만 발생하는 위험)과 투기적 위험(손실, 이익의 쌍방이 발생하는 위험)으로 크게 구분할 수 있으며, 각각의 종류별로 찾아가는 것이 효율적이다.
(2) 위험의 측정·평가
다음으로 위험의 확인작업단계에서 찾아낸 위험에 대하여 그 위험의 특징을 검토하고 이러한 위험이 실제로 발생했을 경우 기업경영에 어떠한 효과를 주는지 평가할 필요가 있다. 이 평가기준으로는 「손실 발생빈도」,「손실 정도」의 척도를 사용하는 경우가 많다.
예를 들어서, 화재위험과 노동재해위험을 비교할 경우 「손실 발생빈도」의 관점에서는 화재위험보다 노동재해위험이 크지만, 「손실정도」에서 보자면, 화재위험이 노동재해위험보다 크게 되는 경우가 많은 것이다. 찾아낸 모든 위험에 대하여 동일한 검토를 실시하고 최종적으로 위험도라는 도표를 만들어 해당기업의 중대한 위험(위험이 높은 우선순위)을 검증해간다.
(3) 위험처리방법 선택
위에서 분석한 결과를 기초로, 적절한 위험처리방법을 강구한다. 위험처리방법에는 크게 위험관리(RISK CONTROL)와 위험재무(RISK FINANCIAL)가 있다. 위험관리는 위험의 현실화를 방지하고 발생한 경우의 손실을 최소화하는 방법으로, 화재위험을 예로 들면 소방장치를 설치하거나 화재 발생시 대응매뉴얼을 책정하는 것 등이 이에 해당한다고 할 수 있다. 위험재무는 위험이 현실화되고 손실이 발생한 경우 필요한 자금구조를 준비해두는 방법으로, 대표적으로 각종 보험을 들 수 있다.
(4) 위험처리방법 실시
위에서 선택한 위험처리방법에 대하여, 예산조치를 강구하고 구체적인 계획을 세워서 실행한다.
(5) 위험관리 통제(모니터링)
실제로 선택하여 실행한 방법이 충분한 효과를 가져오고 위험관리목적이 달성되었는지를 확인하고 필요한 경우 수정한다.
4. 위험관리와 ISO
지금까지 위험관리의 개요 및 진행방식에 대하여 기술하였다. 이를 토대로 ISO와의 관련성을 기술해보면 다음과 같다.
(1)시스템도입의 목적
근본적 이유는 다양하겠지만, 현행 경영시스템을 보다 한 차원 높은 것으로 하려는 시스템도입의 목적은 공통적인 것이라 할 수 있다.
(2) 시스템 진행방법
예를 들어, ISO 14001에서는 PDCA(Plan, Do, Check, Action)주기에 따라 시스템을 검토하고 도입하는데, 위험관리절차에서도 기본적으로 동일한 진행방법(Plan : 위험확인/측정 및 평가/처리방법 선택, Do : 처리방법 실시, Check : 통제, Action : 개선 및 재처리)을 취하게 된다.
(3) 시스템운영 및 운영상의 주의점
시스템을 효과적으로 도입하여 운영하려면, 예를 들어서 전사적인 방침을 정하고 임직원교육을 철저히 해야 한다는 공통점이 있다.
(4) 시스템도입의 효과
시스템도입 후의 효과로 업무의 능률화, 비용절감, 사내 활성화, 기업이미지 향상 등을 기대할 수 있다.
ISO 인증을 취득한 기업은 위험관리활동에 대한 이해도가 한층 높고, 위험관리시스템구축에 별로 어려움을 느끼지 않는 경우가 많다. 두 개의 시스템 도입에 따른 시너지효과는 상당히 크고, ISO를 취득한 기업이라면 다음 단계로 위험관리 체제정비에 착수할 것을 권장하는 바이다.
[자료출처] KAB 인증월드
5과목 정보보안 관리 및 법규 Part1
1. 정보보호 관리
(1) 정보보관리 개념
1) 정보보호의 목적 및 특성
– 정보보호의 정의 : 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기술적 수단(정보보호시스템)을 마련하는 것을 말한다.(국가정보화 기본법)
– 정보보호 ≠ 정보보안 : 정보보안이 Site(공간)이라는 개념이 더 들어간, 넓은 개념이라고 생각하자
– 정보보호의 목적 : 기밀성 / 무결성 / 가용성 / 인증 / 부인방지 / 신뢰성 등
2) 정보보호와 비즈니스
– 정보보호와 비즈니스 : IT 인프라에 대한 정보보호는 비즈니스의 보호뿐만이 아니라 비즈니스 가치의 증가로 이어 짐
— 한 조직의 정보 자산뿐만이 아니라 고객의 정보(개인정보)까지 보호해야 할 법적인 의무도 있고, 고객의 신뢰로 이어지니까
— 향후 조직의 비즈니스에 큰 도움이 될 것은 자명해
3) 정보보호관리의 개념
– 정보보호관리(Information Security Management)
— 조직의 정보자산을 외부로 부터의 유(노)출과 오용, 유실으로 부터 방어하고, 정보나 정보 시설을 방어하는데 관련된 모든 일련의 활동
– 정보보호관리를 위한 6단계 활동
— 정보보호 정책 및 조직 수립 → 정보보호 범위 설정 → 정보자산의 식별 → 위험관리 → 구현 → 사후관리
– 위의 활동들을 지속적으로 하기 위해 체계화해서 만든게 정보보호관리체계(ISMS ; Information Security Management)
— 그냥 한 번 정보보호 솔루션을 만들고 끝내는게 아니라, 비즈니스의 연속성과 함께 계속 지속되어야 되
— 최근에는 매출이 크거나 고객이 많은 조직은 법적으로 갖춰야해
(2) 정보보호 정책 및 조직
1) 정보보호 정책의 의미 및 유형
– 정책(Policy) : 최고 경영진의 전략적인 사고를 문서화한 것
— 정책 中, 가장 핵심적인 걸 “정책서”라고 함
— 하향식 유형(Top-Down) : 상위 정책으로 부터 하위수준의 정책을 도출하는 방식
— 상향식 유형(Bottom-Up) : 기존의 정책들을 종합해 새로운 정책을 수립하는 방식
– 정책이 가지는 특징과 가져야할 특징
— 여러 다른 지침과 하위 수준간의 정책들이 일관성과 연관성이 필요함
— 최상위 정책은 전사적인 정책을 모두 포함해야 함
— 간결하고 명확 / 정보보호의 목표와 회사의 비전을 포함해야 함
— 영향을 받는 임직원들에게 정책에 대한 설명 해야 함 / 간단한 내용과 이해하기 쉬운 표현
– 정보보호 정책서의 구성
– 정보보호 선언문 : 보통 1장에 심플하게 작성 / 정보보호전반에 대한 경영자의 의지 및 실천을 다짐하는 선언문
– 정책서 목적과 구성 / 기본 방침 / 정보보호계획수립 / 보안에대한 역할과 책임 / 정보자산의 보안 / 등
2) 정보보호 정책수립 절차
– 정보보호 정책 수립 : 조직 전반에 걸친, 최상위 수준의 정보보호정책을 수립하고, 조직내 책임을 설정
— 정보보호 정책서 안에 포함되는 개념인듯
– 정보보호 정책 수립 과정
— 경영목표를 지원하는 법적/규제적인 요건을 파악
— 위험관리에 따른 전략적 정보보호 정책 수립
– 정보보호 정책서 작성 방안(정보보호 정책 수립도 여기에 들어가)
— 목적 : 중요한 정보자산이 무엇인지 식별하여 선언
— 적용 범위 : 정책이 적용되는 범위(전사이냐, 특정 부서이냐)
— 정책의 내용 : 간단하고 명료하게
— 책임 : 정책을 수행하기 전에, 기본적으로 책임사항을 정의해야함(경영진의 책임, 일반직원의 책임 등)
— 문서승인 : 정보보호 정책의 승인은 최고 경영자(CEO)가 이 정책을 승인하고 지원의지를 알리는 것(반드시 승인받아야 해)
— 정보보호위원회의 구성 : 정보보호정책 수립의 이행을 위해 만든 위원회(형식적인 위원회 구성이 아닌 실직적 운영을 위한)
3) 조직 체계와 역할/책임
– 정보보호 조직 : 정보보호 정책을 잘 수립하여 수행해 나갈 수 있는, 체계적인 역할과 책임을 가지는 조직
— 위에서 언급했듯이, 정보보호 정책서에 책임사항을 정의한거랑 연계해서 생각해
– 일반적인 정보보호 조직체계
— 정보보호 심의위원회 : 정보보호 활동계획 및 예산 심의 / 정보보호 정책 및 규정의 최종승인
— 위원장 : 대표이사 / 위원 : 정보보호책임자 / 간사 : 정보보호 관리자
— 정보보호 책임자 : 정보보호 조직의 구성 및 운영 총괄 / 정보보호 방침 및 계획 실무지침 수립 및 승인
— 정보보호 관리자 : 정보보호 롸동의 계획 및 관리 / 정보보호방침의 유지, 이행
— 정보보호 담당자
— 정보보호 운영 담당자
— 정보보호 대응 담당자
(3) 위험관리
– 정보보호관리체계(ISMS)의 5단계에서 위험관리의 위치
— [정보보호 정책 수립 → 관리체계 범위설정 → 위험관리 → 구현 → 사후관리] 를 계속 반복함
– 위험관리 : 조직이 정보자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위해
정보자산에 대한 위험을 분석하고 이에 대한 비용대비 효과적인 보호 대책을 마련하는 일련의 과정
– 위험관리과정(5단계로 구성)
— 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?)
— 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 보호대책 선정 → 이행계획 수립(내가 배울때는 이렇게 배움)
— 위 그림같이 3단계로도 표하기도 하네
– 위험(Risk) : 원하지 않는 사건이 발생해 손실 또는 부정적인 영향을 미칠 가능성
– 위험의 요소
— 자산(Assets) : 조직이 보호해야할 대상
— 위협(Threats) : 원치 않은 사건의 잠재적인 원인이나 행위자
— 취약성(Vulnerability) : 자산의 잠재적인 속성으로, 위협의 이용 대상
— 정보보호대책(Safeguard) : 위협에 대응하여, 자산을 지키기 위한 대책
1) 위험관리 전략 및 계획수립
– 위험분석 접근법
— 베이스라인 접근법(Baseline Approach)
— 위험분석을 수행하지 않는 대신, 모든 시스템에 대해 표준화된 보호대책을체크리스트형태로 제공
— 소규모조직이나, 대규모조직의 중요치 않은 일반 자산에 대하여 사용하는 접근법(화장실 청소 체크리스트??)
— 비정형 접근법(Informal Approach ; 전문가 판단법)
— 구조적인 방법론에 기반하지 않고, 전문가의 지식과 경험에 따라 위험을 분석
— 작은 조직에서는 효과적
— 상세 위험분석(Detailed Risk Analysis)
— 구조적인 방법론에 기반해서 위험을 분석하는 것
— 많은 시간(돈)과 노력(돈)이 필요하고 비정형 접근법과 같이 고급인력이 필요함(돈)ㅋ
— 자산분석 → 위협평가 → 취약성평가 → 정보보호 대책평가 → 잔여 위협평가
— 복합 접근법(Combined Approach)
— 상세 위험분석을 수행하고, 그 외 다른 영역은 베이스라인 접근법만을 사용하는 방식
– 위험분석 방법론의 선정
— 정성적 분석방법(Qualitative) : 위험을 매우높은, 높은, 중간, 낮은 등으로 표현
— 델파이법 : 전문가 집단에게 설문조사를 실시해 의견을 정리하는 분석방법
—- 짧은 시간에 도출할 수 있지만, 전문가의 추정이라 정확도는 낮지
— 시나리오법 : 어떤 사실도 기대대로 발생되지 않는다고 치고, 특정 시나리오를 통해 발생 가능한 위협의 결과로 순위를 매겨 도출
—- 전반적인 가능성을 추론가능하지만, 발생 가능성의 이론적 추축에 불과해 정확성이 낮지
— 순위결정법 : 비교우위 순위 결정표에, 위험 항목의 서술적 순위를 결정하는 방식
—- 이것도 정확도 낮네(다 낮어 ㅅㅂ ㅋㅋㅋ)
— 정량적 분석방법(Quantitative) : 위험을 손실액과 같은 숫자값으로 표현 / 주로 미국에서 사용하는 방식
— 연간예상손실액(ALE) = 단일예상손실액(SLE) X 연간발생률(ARO)
—- 단일 예상손실액(SEL) = 자산의가치(AV) X 노출계수(EF)
2) 위험분석
– 위험의 3요소인 자산 / 취약성 / 위협을 분석(식별과 분류)
— 어떻게 할껀지 방법론과 접근방법은 위에서 제시 함
2-1) 위험평가(기출내용엔 없지만, 걍 내가 만들었어)
– 목표 위험 수준 및 우선순위 설정 : 수용가능한 위험수준를 기반으로 우선순위를 결정
— 수용가능한 위험수준(DOA)은 사전에 정의해야 일관성이 유지됨(위험관리 전략 및 계획수립 단계)
3) 정보보호 대책 선정 및 계획서 작성
– 위험관리의 마지막 순서로, 위험을 분석하고 순위를 매겼으니까 그에 대한 위험처리 방법을 선택하고 계획서 짜는 단계
– 위험처리 방법
— 위험수용(Acceptance) : 해당 위험의 잠재 손실 비용을 감수
— 위험감소(Mitigation) : 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
— 위험회피(Risk Avoidance) : 위험이 존재하는 프로세스나 사업을 수행하지않고 포기
— 위험전가(Risk Transfer) : 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당
(4) 대책구현 및 운영
1) 정보보호 대책 구현
– 정보보호 대책 : 위험을 감소시키기 위한 정보보호조치를 의미(장치 / 절차 / 기법 / 행위 등을 포함)
2) 정보보호 교육 및 훈련
– 수업에서 교수님이 진짜 사실이게 핵심이랬는데 ㅋ(아무리 대책잘짜면 뭐하냐고 상놈들이 실천안하는데)
– 그냥 말단직원부터 임원, 최고경영자까지도 전사적으로 싹다 교육시켜야되
3) 컴퓨터/네트워크 보안운영
– PC보안 / 네트워크 보안 / 매체보안(데이터의 보관과 폐기)
(5) 업무연속성 관리(Business Continuity Management)
1) 업무지속성 관리체계
– 업무연속성 관리 : 재난이나 재해, 테러 같은 예기지 못한 위기상황에서도 적시에 복구해 업무를 계속수행할 수 있는 위기 관리 능력
– 업무연속성 관리 단계
— 1단계 시작단계 : 업무연속성 관리에 대한 정책의 수립 및 범위설정을 하는 단계
— 2단계 전략수립단계 : 재해가 업무에 미치는 잠재적인 연향과 위험을 평가 / 위험감소를 위한 사항들을 파악 / 효과적인 전략 수립
— 3단계 구현단계 : 업무가 지속적으로 이루어지기 위한 프로그램을 수립하는 단계(설비 구현 / 계획을 문서화)
— 4단계 운영관리단계 : 수립된 업무연속성 전략 및 계획, 절차를 계속적으로 테스트 및 검토, 유지 보수 / 이에 대한 교육과 훈련
2) 업무연속성 계획수립(BCP ; Business Continuity Plan)
– 업무연속성 계획 5단계 방법론(4단계 / 5단계 / 6단계로 종류가 있지만 5단계가 출제됬었어…)
— 1단계 프로젝트 범위설정 및 계획
— 2단계 사업영향평가(BIA ; Business Impact Assessment)
— 각 사업단위가 받게될 재정적 손실의 영향도를 파악해서 문서화
— 주요 취지 : 핵심우선순위결정(프로세스간의 구별) / 중단시간 산정(얼마만에 복구?) / 자원요구사항(어디에 얼마나 자원할당?)
— 3단계 복구전략개발
— 사업영향평가에서 수집된 정보를 기반으로 어떻게 복구를 할 것인지 전략을 세움
— 4단계 복구계획수립
— 사업을 지속하기 위한 실제 복구계획의 수립단계 / 문서화는 필수
— 5단계 프로젝트수행 및 테스트
— 유지보수 활동을 포함한 이후에 있을 테스트 절차 등을 수립
– 업무연속성 관리 단계에 BCP가 포함되는건가??? 자세히는 모르겠네
3) 업무연속성 유지관리
– 지속적으로 유지보수, 테스트
— 체크리스트 / 구조적점검 / 시뮬레이션 / 병렬테스트 / 전체 중단테스트
4) 재난복구계획(DRP ; Disaster Recovery Plan)(기출내용엔없는데 책과 기출에있네??)
– BCP는 전사적인 복구계획이라면, DRP는 기업의 세부 시스템 별 복구 계획(카더라…?)
– 재난복구계획 프로세스
— 데이터 지속처리 계획(DPCP ; Data Processing Continuity Planning) : 재해를 예측하고 그에 대처하기 위한 계획수립
— 가장 많이 사용되는 대체 처리 사이트(Site ; 공간의개념) 방식
—- Hot Site : 모든 컴퓨터설비를 완전히 갖추고 있는 공간 / 실제로 운영되고 있는 환경과 동일한 상태로 관리)
—- Warm Site : Hot Site와 Cold Site의 절충안(전원/컴퓨터 등은 갖춰져있지만 어플리케이션이 설치되거나 구성되지 않음)
—- Cold Site : 비상시 장비를 가져올 준비만 할 뿐, 어떤 컴퓨터 하드웨어도 공간에 존재하지않음
— 데이터 복구 계획 유지 보수(Data Recovery Plan Maintenance) : 계획이 항상 적적하게 최신버전을 반영하도록 유지하는 프로세스
(6) 관련 표준/지침
1) 국제/국가 표준
– OECD 정보보호 가이드라인
— 인식 / 책임 / 대응 / 윤리 / 민주성 / 위험평가 / 정보보호의 설계와 이행 / 정보보호 관리 / 재평가
– TCSEC(Trusted Computer System Evaluation Criteria)
— 미국에서 1985년 최초로 만들어짐 / 오렌지 북으라고도 함
— 정보제품을 몇가지 요구사항을 만족하는 수준에 따라 보안등급을 매김(A1, B3, B2, B1, C2, C1)
— 기밀성, 무결성, 가용성 中, 기밀성을 중시함(무결성, 가용성은 다소 취약)
– ITSEC
— 1991년에 미국의 TCSEC를 참조해서 만든 유럽 공통 평가기준
— 기밀성 뿐만아니라 무결성, 가용성에 대한 평가기준도 수용함
– 보안성평가(CC ; Common Criteria) : TCSEC, ITSEC같이 나라/지역별로 서로 다른 평가기준을 하나로 표준화한 결과
— 현재 3.1버전까지 공개
— CCRA(Common Criteria Recognition Arrangement) : 정보보호 제품의 안정성을 회원국가간에 상호인정하는 국제 협약
— CAP(인증서발행국) : 국내에서 발행한 정보보호시스템 평가 인증서가 해외에서도 인정받게됨
— CCP(인증서수용국) : 정보보호 평가 인증서를 발행은 않하고 수용만 하는 국가
— 우리나라는 CAP에 2006년에 가입함
— CAP에 가입한 국가는 5년마다 재심사(2012년 11월에 있었음(일본과 프랑스가 심사))
http://www.cybersecurity.my/mycc/mutual.html
– 보안성평가에 있어서 국내기관과 역할
— 정책기관 : 행정자치부
— 인증기관 : 미래창조과학부
— 평가기관 : 한국인터넷진흥원 + 기타 등등
– 보안성평가의 결과
— 국제적인 표준은 EAL(Evaluation Assurance Level) 1부터 7까지 있음
http://en.wikipedia.org/wiki/Evaluation_Assurance_Level
— 우리나라는 가(EAL 4), 나(EAL 3), 다(EAL 2)로 분류
2) 인증체계
– BS7797
— 조직의 정보를 체계적으로 관리하고 정보보안사고를 예방하기 위해 영국에서 제정된 규정
– ISMS(Information Security Management System)
— BS7797을 기반으로 국내 환경에 적합하게 작성
— 구성요소 : 정보보호관리과정 / 정보보호대책 / 문서화
— 정보보호관리과정 : 정보보호 관리체계 인증심사시 요구되는 필수 항목 / 지속적으로 유지관리되는 순환 주기의 형태
—- 정보보호정책 수립 및 범위설정 → 경영진책임 및 조직구성 → 위험관리 → 정보보호대책구현 → 사후관리
— 정보보호대책 : 총 13개분야 92개 통제항목으로 구성
—- 시스템개발보안 / 암호통제 / 접근통제 / 운영보안 / 정보보호정책 / 정보보호조직
—- 외부자보안 / 정보자산분류 / 정보보호교육 / 인적보안 / 물리적보안 / 침해사고관리 / IT재해복구
키워드에 대한 정보 위험 관리 5 단계
다음은 Bing에서 위험 관리 5 단계 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 #008 위험 관리(Risk Management)
- 보안
- 정보보안
- Security
- SecurityReader
- 보안을 읽어주는 횽
- 위험 관리
- Risk Management
- PMBOK
- 위험대응
- 위험식별
- 위험분석
- 델파이
- 프로젝트 관리
#008 #위험 #관리(Risk #Management)
YouTube에서 위험 관리 5 단계 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 #008 위험 관리(Risk Management) | 위험 관리 5 단계, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
