정보보안 위험관리란?

위험 관리 

• 정보보호의 위협을 인식

• 측정도니 조직의 위험, 보안 대책의 비용 및 효과 등을 비교

• 위험관리계획 : 선택된 통제의 목적과 통제방안이 무엇인지 계획

위협(Threat)

• 자산의 손실을 초래할 수 있는 원치않는 사건의 잠재적 원인
   - 의도적 : 도청, 정보변조, 시스템 해킹, 악성 코드, 절도, 테러
   - 사고 : 실수, 누락, 파일 삭제, 부정확한 라우팅, 물리적 사고
   - 환경적 요인 : 지진, 번개, 홍수, 누수, 화재
• 손실이나 손상의 원인이 될 가능성이 제공하는 환경의 집합, 보안에 해를 끼치는 행동이나 사건
•  외부에서 발생, 자산에 손실을 일으키는 요소로소 발생 가능성으로 측정하기도 함.

취약점(Vulnerability)

• 자산의 잠재적 속성으로 위협의 이용 대상이 되는 것
• 보안 대책의 미비로 정의하기도 함.
• 자산에 취약성이 없다면 위협이 발생해도 손실이 나타나지 않음
• 자산과 위협을 연결하는 개념
• 자산의 잠재적 속성이나 처한 환경으로 위협의 이용대상, 관리적/물리적/기술적 약점 의미
• 자산의 내에 존재하는 악점으로 위협은 취약점을 활용하여 위험을 발생

위험(Risk)

• 위협이 취약점을 이용하여 조직의 자산에 손실/피해를 가져올 가능성
• 비정상적인 일이 발생할 수 있는 가능성
• 예상되는 위협에 의해 자산에 발생할 가능성이 있는 손실의 기대치
• 자산의 가치 및 취약점, 위협 요소의 능력, 보호 대책아 효과등에 의해 영향