차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판 | ||
risk [2013/07/11 08:04] – wiki1122 | risk [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 1: | 줄 1: | ||
====== 위험분석 관리 ====== | ====== 위험분석 관리 ====== | ||
- | (출처 : KISA) | ||
- | |||
- | ===== 위험분석 방법론 ===== | ||
- | |||
- | 정보기술 보안 관리를 위한 국제 표준 지침인 ISO/IEC 13335-1에서는 위험분석 전략을 크게 4가지로 나눈다. 이들은 베이스라인 접근법(Baseline approach), 비정형 접근법(Informal approach), 상세 위험분석(Datailed risk analysis), 복합 접근법(Combined approach)이다. | ||
- | |||
- | 1. 베이스라인 접근법 | ||
- | |||
- | 베이스라인 접근법은 모든 시스템에 대하여 표준화된 보호대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보호대책이 현재 구현되어 있는지를 조사하여, | ||
- | |||
- | 이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 즉, 그 조직에 적합한 체크리스트가 존재하는 경우가 아니라면 위험분석을 하지 않는 것과 유사한 상태가 된다. 또한 이런 방식은 조직의 자산 변동이나 새로운 위협/ | ||
- | 그리고 체크리스트 방식은 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 하여 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는 경향이 나타나기 쉽다. | ||
- | |||
- | 2. 비정형 접근법 | ||
- | |||
- | 비정형 접근법(Informal approach)은 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석을 수행하는 것이다. 이 방식은 다음에 설명할 상세 위험분석보다 빠르고 비용이 덜 든다. 특정 위험분석 방법론과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석한다. | ||
- | 이러한 방식은 작은 규모의 조직에는 적합할 수 있으나 새로이 나타나거나 수행자의 경험분야가 적은 위험 영역을 놓칠 가능성이 있다. | ||
- | 논리적이고 검증된 방법론이 아닌, 검토자의 개인적 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 있다. | ||
- | |||
- | 3. 상세 위험분석 | ||
- | |||
- | 상세 위험분석(Detailed risk analysis)은 | ||
- | 그러나 이런 방식은 분석에 시간과 노력이 많이 소요되며 채택한 위험분석 방법론을 잘 이해해야 하므로 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요하다. | ||
- | |||
- | |||
- | 4. 복합 접근법 | ||
- | |||
- | 복합 접근방법(Combined approach)은 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고, | ||
- | |||
+ | * [[: | ||
+ | * [[: | ||
+ | * [[: | ||
+ | * [[: |