1. 상세위험분석
- 조직의 자산 규모를 파악하고, 자산의 가치 및 중요도를 산출하여 자산과 업무 처리와의 관계 파악
- 자산분석, 위험 분석, 취약점 분석, 대응책 분석, 위험산출 등 일련의 과정 수행
1) 자산분석
| 정량적 기준 | 정성적 기준 |
| 자산도입 비용 | 업무처리에 대한 자산의 기여도 |
| 자산복구 비용 | 자산의 영향을 미치는 조직과 작업의 수 |
| 자산교체 비용 | 복구 시간 |
가) 자산 분석 과정
① 자산의 식별
| 자산 유형 | 설명 |
| 데이터 | 데이터파일, 데이터베이스와 같은 전산화 된 정보 |
| 문서 | 보고서, 계약서, 매뉴얼같은 종이로 된 정보 |
| 소프트웨어 | 패캐지,시스템 응용 프로그램 등 |
② 3단계 자산 평가
- 자산의 비밀성(기밀성), 물결성, 가용성 측면의 중요도 평가
- 비밀성(기밀성)과 무결성은 주로 데이터에 의해 결정
- 가용성은 서비스에 의해 결정
③ 자산의 그룹핑
- 조사 된 자산을 비밀성(기밀성), 무결성, 가용성 평가 결과에 기초하여 자산 유형, 보안특성, 중요도가 같은 것들을 그룹핑
나) 위험 분석
- 자산에 피해를 가할 수 있는 잠재적인 요소인 위협을 파악하고, 발생 가능성 등을 분석하는 과정
다) 취약점 분석
- 자산의 속성과 중요도를 바탕으로 자산이 가지고 있는 취약점 식별하고 전체적인 위험에 미칠 수 있는 영향을 분석
라) 대응책 분석
- 대응책 조사 후 대응책들의 기본 기능 수행여부 파악
마) 위험 평가
- 위 분석들을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 대응책을 제시하는 최종 단계
- 정량적 또는 정성적 위험평가로 위험이 높은 것부터 낮은 것까지 순위 선정
바) 잔류 위험 평가
- 보안 정책에 명시되어 있는 헝요 위험수준을 만족하는 지 검증
'정보보안기사' 카테고리의 다른 글
| [정보보안기사] 데이터 백업 (0) | 2025.02.14 |
|---|---|
| [정보보안기사] 위험관리3 (0) | 2025.02.14 |
| [정보보안기사] 위험관리 (0) | 2025.02.12 |
| Part2. 요약-암호학3 (1) | 2024.04.23 |
| Part2. 요약-암호학2 (0) | 2024.04.18 |