2.위험 구성요소

- 자산의 취약점을 이용한 위협에 의해 원하지 않는 사건이 발생하여 자산에 손실을 미칠 가능성을 "위험"이라고 한다.

 

1.자산: 조직이 보호해야 할 유,무형의 대상을 자산이라고 한다.

 

2.위협: 자산에 손실을 초래할 수 있는 원하지 않는 사건의 잠재적 원인 또는 행위자

 

3.취약점: 위협의 이용 대상이 되는 자산의 잠재적 속성(기술적,관리적,물리적)을 취약점이라고 한다.

 

4.보호대책: 조직의 자산을 위험으로부터 보호하기 위한 안전대책 혹은 통제 혹은 위협을 감소시키기 위한 정보보호 조치를 보호대책이라고 한다.

 

- 위험 구성요소 간의 관계

1.'위협'은 '취약점'을 이용하여 공격하고 '취약점'은 '자산'을 '위협'에 노출 시킨다.

2.'자산'은 '가치'를 보유하고 이러한 '위협', '취약점', '자산', '가치' 는 모두 '위험'을 증가 시킨다.

3.'위험'을 파악함으로써 '보안요구사항'을 도출할 수 있고 '보안요구사항'을 충족시키는 보안대책을 선정하여 구현함으로써 '위협'을 방어하고 '위험'을 감소 시킨다.