정보보호 위험관리 방법론 (Information Security Risk Management)

정보보호 위험관리 방법론 (Information Security Risk Management)

조직의 정보자산에 대한 위협과 취약점을 식별하고 위험을 평가하여 적절한 보호대책을 수립하는 체계적 방법론

위험 분석 절차: 정보자산 식별 → 위협 식별 → 취약점 식별 → 위험도 산정 → 보호대책 선정 → 잔존 위험 수용

위험도 산정: 위험도 = 자산가치 × 위협 × 취약점

분석 방법

• •정량적 분석: 금액으로 표현(ALE = SLE × ARO), 객관적이나 데이터 수집 어려움
• •정성적 분석: 등급(상/중/하)으로 표현, 주관적이나 적용 용이
• •복합적 분석: 정량+정성 혼합, 실무 활용 최적

위험 처리 전략: 위험 회피(활동 중단), 위험 전가(보험/아웃소싱), 위험 감소(보호대책), 위험 수용(잔존 위험 인정)

비교: 정량적(ALE/금액/객관적) vs 정성적(등급/서술/주관적)

관련 표준: ISO 27005(위험관리), NIST SP 800-30(위험평가), OCTAVE, CRAMM

연관: ISMS-P, ISO 27001, ISO 27005, 정보보호 거버넌스