위험관리 (Risk Management)

위험관리 (Risk Management)

조직의 정보자산에 대한 위험을 체계적으로 식별·분석·평가하고 적절한 통제를 적용하여 잔여위험을 수용 가능한 수준으로 관리하는 지속적인 활동

특징: 위험=위협×취약점×자산가치, 지속적 프로세스, 경영진 참여

구성요소: 자산, 위협, 취약점, 영향, 발생가능성

절차: 상황설정 → 위험식별 → 위험분석 → 위험평가 → 위험처리 → 모니터링

위험처리: 회피(활동 중단), 전가(보험/아웃소싱), 완화(통제 적용), 수용(잔여위험 인정)

위험계산: 정성적(High/Medium/Low), 정량적(ALE=SLE×ARO)

프레임워크: ISO 31000, ISO 27005, NIST SP 800-30, FAIR, OCTAVE

적용사례: 정보자산 위험평가, 보안투자 의사결정, ISMS 인증

비교: 정성적(빠름/직관적) vs 정량적(객관적/시간소요)

연관: ISMS, BIA, 보안 거버넌스, 취약점 관리