Risk Management(위험 관리)
- 자산에 대한 위험을 수용 가능한 수준(Degree of Assurance, DoA) 이내로 유지하기 위한 절차
| 단계 | 설명 |
| Step1. 자산(Asset) 식별 | 지켜야할 자산을 식별하고, 자산 중요도 선정 |
| Step2. 위협(Threat) 식별 | 자산의 속성(CIA)를 훼손할 수 있는 내/외부 요인 식별(해킹, 자연재해 등) |
| Step3. 취약점(Vulnerability) 분석 | 위협에 대한 실현 가능성을 높이는 요인 식별(SMB 취약점 등) |
| Step4. 위험(Risk) 평가 | 자산 중요도, 위협 수준, 취약점 수준을 기반으로 얼마나 위험한지 위험도 산정 |
| Step5. 보호대책 수립 | 위험대응 전략에 따라 보호대책 수립 * 예 : 위험도 = 8, DoA = 9일 경우, 위험을 수용하거나 대책 보류 |
| Step6. 정보보호계획 수립 | 보호대책을 이행하기 위해 담당자, 조치일정 등을 포함한 정보보호 조치계획 수립 |
Risk Response Strategies(위험 대응 전략)
- Mitigation(완화) : 위험을 줄이기 위한 대책 구현(취약점 조치, 보안솔루션 구매 등)
- Transfer(전가) : 위험에 대한 손실을 누군가에게 분담시키는 것(보험 가입)
- Avoidance(회피) : 위험이 발생할 상황을 피하는 것(예 : 위험이 있는 사업을 포기)
- Acceptance(수용) : 위험을 감수하는 것. 조치 비용에 비해 예상되는 손실액이 적다면 위험 수용 선택
※ 참고
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=23402
[Expert Column] ‘위험관리’ 단계별 따라 하기
그 동안 ‘월간 안’을 통해 정보보호 컴플라이언스에 관한 내용을 여러 차례 다룬 바 있다. 이번에는 보안 활..
www.ahnlab.com
https://remybaek.tistory.com/12
[Day 8] Risk, Threat, Vulnerability, Weakness
Risk(위험) 위협으로 인해 발생할 수 있는 피해(랜섬웨어로 인한 데이터 암호화 등) Threat(위협) 위험을 발생시킬 수 있는 요소(해킹 등) Vulnerability(취약점) 실제 공격이 가능한 오류(SMB 취약점 등) W
remybaek.tistory.com
'Security & IT terms' 카테고리의 다른 글
| [Day 26] DML, DDL, DCL, TCL (0) | 2020.09.05 |
|---|---|
| [Day 25] SAC(Server Access Control or System Access Control) (0) | 2020.09.04 |
| [Day 23] HTTP, HTTPS, SSL (0) | 2020.09.02 |
| [Day 22] IaaS, PaaS, SaaS (0) | 2020.09.01 |
| [Day 21] 마이데이터(My Data) (0) | 2020.08.31 |
