- 위험관리란 조직의 자산(정보자산)에 대한 위험을 "수용 가능한 목표 위험수준(DOA)" 으로 유지하기 위해 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효율적인 보호대책(정보보호대책)을 마련하는 과정
- 위험관리 과정
1.위험관리 전략 및 계획수립: 조직에 적합한 위험관리 방법을 선택하고 비용과 시간, 인력 등 가용 자원을 고려하여 계획을 수립하는 단계
2.위험분석: 자산, 위협, 취약점, 기존 보호대책 등을 분석하여 위험의 종류와 규모를 결정하는 단계
3.위험평가: 위험분석 결과를 이용하여 최종적으로 위험도를 평가하고 조직에서 "수용 가능한 목표 위험수준(DOA)을 정하여 이를 기준으로 위험의 대응 여부와 우선순위를 결정하는 단계
(모든 위험에 대응하거나 완전히 제거하는것은 불가능 하기 때문에 조직에서 DOA를 설정하고 이를 초과하는 위험에 대해서만 적절한 보호대책을 마련)
4.정보보호 대책 선정: 위험평가에 기초하여 위험 대응에 필요한 보호대책을 선정하는 단계
5.정보보호 계획 수립: 선정한 보호대책을 구현하기 위한 계획을 수립하는 단계
'ISMS-P > 위험관리' 카테고리의 다른 글
| 6.침해사고 대응 (0) | 2025.03.25 |
|---|---|
| 5.재해복구시스템(DRS) (0) | 2025.03.24 |
| 4.위험분석 (0) | 2025.03.24 |
| 3.위험관리 전략 및 계획 수립 (0) | 2025.03.24 |
| 2.위험 구성요소 (0) | 2025.03.24 |