[보안][위험관리][위험분석] 개요.요소. 절차. 방법 등!

위험관리는 보안관리활동에 있어 가장 핵심으로 [정보보호 정책을 바탕으로 각 조직에 적합한 전략을 결정하는 것으로 위험식별, 위험평가, 위험대응을 수행한다.]

위험관리는 자산이 가지는 위협과 취약점을 파악하고 위험을 평가하여 정보보호 대책을 수립하는 일련의 과정이다.

위험관리의 핵심 활동은 위험분석과 위험 평가이며 대상이 되는 범위의 정의로 부터 시작된다.

위험관리에 대한 세부 정리사항은 아래 마인드 맵을 참고하면 된다.

위험분석

개요

보호할 대상 시스템과 조직의 위험을 측정하고 측정된 위험이 허용가능한 수준여부를 판단할 수 있는 근거를 제공하는 것이다.

위험분석 수준에 따라 소모되는 시간, 비용, 인력이 크므로 적절한 위험분석 수준의 선택이 중요하며 이를 위해서 사전 위험분석을 수행할 수 있다.

구성 요소

구성	설명
자산	조직에 가치가 있는 자원들.
위협	조직, 기업의 자산에 직접적인 피해를 줄 수 있는 요소로서,  자산이 가진 취약점을 통해서만 피해를 줄 수 있다.
취약점	자산이 보유하고 있는 약점으로 위협이 발생하기 위한 조건 및 상황.
위험	위협, 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성이다.  발생 가능한 위협에 의해 자산의 취약점이 이용되어  자산에 끼칠 손실 가능성이다.
대응책	위협에 노출된 취약점을 보호하는 각종 절차, 방법, 기술 등이다.

위험분석 방법

종류	설명
기준선 접근법  Baseline approach	기준 문서, 실무 규약 등을 이용하여 시스템에 일반적 수준의 보안 통제 사항들을 구현하는 것이다.  장점)위험 분석을 위한 자원이 필요하지 않고 보호대책 선택에 들어가는 시간과 노력이 줄어든다. 큰 노력 없이 많은 시스템에 같거나 비슷한 안전요소가 적용될 수 있다.  단점)조직의 특성을 고려하지 않아서 조직 내 부서별로 적정 보안수준보다 높거나 낮게 보안통제가 적용된다.
비정형화된 접근법  Informal approach	비정형화된 형태의 실용적인 위험분석을 수행하는 방법이다. 분석을 수행하는 개개인들의 지식과 전문성을 활용한다.
상세 위험 분석  Detailed risk analysis	정형화되고 구조화된 절차를 적용하여 상세한 위험 평가를 수행한다. 자산 분석, 위협 분석,취약점 분석,대응책 분석, 위험 평가, 잔류 위험 평가 과정을 거친다. 장점) 보안 위협에 대해 가장 상세한 분석이며 시스템의 변화를 연속적으로 관리하는데 적절한 정보를 제공한다. 단점) 시간, 자원, 분석 수행에 상당한 비용이 소모된다.
통합된 접근법  Combined approach	고위험 영역을 식별하여 상세 위험분석을 수행하고, 다른 영역은 기준선 접근법을 사용한다. 장점) 비용효과적으로 고위험 영역을 식별하고 처리. 단점) 고위험 영역이 잘못 식별되면 위험분석 비용이 낭비되거나 부적절한 대응을 하게 된다.