[IT보안] 위험(RISK), 위험관리(RISK Management), 정보보호관리체계(ISMS)란 무엇인지 알아보자!

* 위험의 구성요소

- 자산 (Assets) : 조직이 보호해야 할 대상

 

- 위협 (Threats) : 원치 않은 사건의 잠재적인 원인이나 행위자

 

- 취약성 (Vulnerability) : 자산의 잠재적인 속성으로, 위협의 이용 대상

 

- 정보보호대책 (Safeguard) : 위협에 대응하여, 자산을 지키기 위한 대책

 

 

 

 

* 위험관리(Risk Management)

- 위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

 

 

 

* 위험관리 방법

- 위험 감소: 보안 투자를 늘리는 등의 방법으로 위험이 발생할 확률을 줄인다.

(개인정보 유출로 인하여 과태료를 지불해야 할 상황)

 

- 위험 회피: 위험이 동반되는 사업을 수행하지 않거나 완전 다른 방법을 사용한다.

 

- 위험 전가: 위험한 사업을 외주로 전환하거나 보험에 들어 위험부담이나 책임을 이전시킨다.

 

- 위험 수용: 위험부담을 그대로 감수하고 진행한다.

 

 

 

* 위험관리 과정

1. 위험 관리 계획 수립

2. 위험 식별

3. 정성적 위험분석 수행

4. 정량적 위험분석 수행

5. 위험 대응 계획 수립

6. 위험 감시 및 통제

 

 

 

* 위험관리 방법론

① 국내 ISMS 인증체계

② ISO/IEC 27001

③ ISO/IEC TR 13335-3

 

 

 

* 위험분석 방법: 

* 델파이법:

- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한위협과 취약성을 토론을 통해 분석하는 방법이다.

- 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다.

 

 

 

* 시나리오법:

- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에 위협에 대한 발생 가능한 결과들을 추정하는 방법

- 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석과 관리층 간의 원활한 의사소통을 가능하게 한다.

 

-그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮을 수 있다.

 

 

 

* 상세 위험 분석

-자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말한다.

 

 

 

 

 

* 정보보호 관리 체계 ISMS(Information Security Management System) 의 각 단계 (계-수-점-조)

계획 -> 수행 -> 점검 -> 조치

1. 계획 - ISMS 수립

 

2. 수행 - ISMS 구현과 운영

 

3. 점검 - ISMS 모니터링과 검토

 

4. 조치 - ISMS 관리와 개선

 

 

 

* 정보보호 관리 체계 (ISMS)의 관리 과정

1. 정보보호 정책 수립 및 범위 설정

2. 경영진 책임 및 조직 구성

3. 위험관리

4. 정보보호 대책 구현

5. 사후관리