ISO 27005 (정보보안 위험관리)

ISO 27005 (정보보안 위험관리)

정보보안 위험관리 프로세스를 정의한 국제 표준으로, ISO 27001의 위험 평가/처리 요구사항 이행을 지원

위험관리 프로세스: 맥락 수립 → 위험 식별 → 위험 분석 → 위험 평가 → 위험 처리 → 위험 수용 → 모니터링/검토

위험 식별: 자산 식별 → 위협 식별 → 기존 통제 식별 → 취약점 식별 → 결과/영향 식별

위험 분석: 정성적(등급), 정량적(수치), 반정량적(점수화) 방법 선택

위험 처리 옵션: 위험 수정(통제 적용), 위험 보유(수용), 위험 회피(활동 중단), 위험 공유(보험/이전)

비교: ISO 27005(위험관리/ISO 정렬) vs NIST SP 800-30(위험평가/미국) vs OCTAVE(자산 중심/CMU)

연관: ISO 27001, 위험관리, ISMS-P, NIST RMF