IT리스크관리

IT리스크관리

IT 관련 위험을 식별하고 평가하며 대응하여 조직의 IT 리스크를 최소화하는 활동

목적: IT 리스크 최소화, 사업 연속성, 의사결정 지원

특징: 지속적 프로세스, 통합적 관점, 우선순위 기반

단계별 활동 상세

• •① 리스크 식별: IT 자산 목록화(시스템/데이터/인프라/인력), 위협 식별(외부: 해킹/재해/규제, 내부: 실수/이직/장애), 취약점 식별(패치 미적용/설정 오류/노후화). 기법: 자산 기반 분석, 시나리오 분석, 체크리스트, 과거 사고 이력 분석. 산출: 리스크 목록(자산-위협-취약점 매핑)
• •② 리스크 분석/평가: 정성적 평가(확률×영향 매트릭스, High/Medium/Low 등급), 정량적 평가(SLE: 단일손실예상액, ARO: 연간발생률, ALE=SLE×ARO 연간손실예상액). 예: 서버 장애 SLE=5천만원, ARO=2회/년 → ALE=1억원. 리스크 수준에 따라 우선순위 결정, 수용 가능 수준(Risk Appetite/Tolerance) 대비 평가
• •③ 리스크 대응: 회피(Avoidance) - 리스크 원인 자체 제거(사업 미추진, 기술 미채택), 완화(Mitigation) - 확률/영향 감소(이중화, 백업, 보안 강화, 교육), 전가(Transfer) - 제3자에게 이전(사이버보험, 아웃소싱, SLA), 수용(Acceptance) - 비용 대비 효과 고려 시 리스크 수용(비상예산 확보). 대응 비용 < ALE 원칙
• •④ 리스크 통제/모니터링: KRI(Key Risk Indicator) 정기 모니터링, 리스크 재평가(분기/반기), 잔여 리스크(Residual Risk) 관리, 리스크 보고서 작성(경영진 보고), 사고 발생 시 교훈(Lessons Learned) 반영

IT 리스크 유형: 보안(침해, 유출), 가용성(장애, 재해), 컴플라이언스(법규위반), 프로젝트(지연, 실패), 벤더(종속, 계약)

프레임워크: ISO 31000(일반리스크 국제표준), NIST CSF(사이버보안 프레임워크), COBIT(IT거버넌스), OCTAVE(자산기반 위협평가), ISO 27005(정보보안 리스크)

장점: 선제적 관리, 손실 최소화, 의사결정 지원, 컴플라이언스 충족

단점: 미래 예측 한계, 자원 소요, 정량화 어려움

적용사례: 정보보안, 재해복구, 아웃소싱, 프로젝트

비교: IT리스크(기술/시스템 중심) vs 사업리스크(비즈니스/전략 중심) vs 운영리스크(프로세스/인력 중심)

연관: IT거버넌스, 정보보안, BCP, 프로젝트 위험관리