위험(Risk)의 3요소
- Assets
조직이 보호해야 할 가치있는 대상 - Threat
- Vulnerability
위험은 취약점들을 이용한 위협으로 자산에 (잠재적) 손실을 초래하고 조직에 직간접적으로 피해를 주는 것을 총칭하는 것이다.
Risk(위험) = 자산에 대한 잠재적 손실과 피해
Risk Matrix
위험 공식
Risk Management
부정적 위험관리 전략(Strategy)
| 전략 | 설명 | 예시 |
|---|---|---|
| Avoidance(회피) | 심각한 위험의 경우 발생가능성을 원천적으로 제거 | 프로젝트 중단, 사업 취소, 일정 연장 등 다른 대안을 선택하여 해당 위험이 실현되지 않도록 함 |
| Transference(전가) | 위험조치에 대한 책임을 제3자에게 전가 | 사이버 보험 가입, 보안 관리 위탁 |
| Mitigation(완화/감소) | 위험의 발생가능성이나 영향력을 감소시킴, 위험이 발생한 후에 영향력을 조치하는 것보다 효과적 | 방화벽 설치, 보안 정책 강화, 침입 탐지 시스템 운영 |
| Accpetance(수용) | 비용 대비 효과를 고려하여 관련 위험을 그대로 수용 | 일부 소규모 데이터 유출 가능성을 수용 |
(참고) 긍정적 위험관리 전략
| 전략 | 설명 |
|---|---|
| Exploit(활용) | 기회가 확실히 일어날 수 있도록 함으로써, 특정 상위 리스크와 관련된 불확실성을 제거하는 것 |
| Share(공유) | 긍정적 리스크와 기회를 공유 |
| Enhance(증대) | 긍정적 영향을 미치는 리스크의 주요 원인을 식별하여 최대화함으로써 기회의 규모를 변경 |
| Accpet(수용) | 적극적으로 기회를 추구하는 활동을 수행하지 않음 |
