위험평가 과정이란?
정보보안기사에 흔히 등장하는 위험 평가 과정이란 말이 있습니다.
말 그대로 우리가 예기치 못한 우리 조직에 있는 위험(Risk)을 평가하는 프로세스를 의미합니다.
정보보안 측면에서의 위험평가는 조직의 정보시스템에 대한 위험을 식별하고 평가하는 과정입니다.
이러한 과정을 통해 우리가 가진 정보 자산들의 가치와 발생할 수 있는 취약점, 위협, 그리고 예상되는 피해 가능성 등을 미리 확인합니다.
그 결과를 토대로 대책 방안을 마련하고 제품의 보안성을 높일 수 있습니다.
위험평과 과정
과정은 아래와 같습니다.
자산식별 > 위험분석 > 대책설정 > 잔류위험 > 정보보호대책 구현 > 정보보호정책 계획 > 주기적 재검토
자 그러면 각 항목에 대해 확인해보도록 하겠습니다.
자산식별
자산식별은 조직 내의 정보자산을 식별하고 분류하는 단계입니다. 정보자산은 기밀성, 무결성, 가용성 등의 측면에서 중요성이 평가됩니다. 이를 위해 조직은 정보자산을 명확히 정의하고 등급을 부여하여 자산의 가치와 중요도를 평가합니다.
위험분석
위험분석은 자산에 대한 위협을 파악하고, 취약점과 피해 가능성을 평가하는 과정입니다. 보안 조치가 필요한 자산과 그 정도를 판단하기 위해 위험요인을 식별하고 정량적/정성적 평가를 수행합니다. 이를 통해 조직은 위험 우선순위를 결정하고 자원을 효율적으로 할당할 수 있습니다.
대책설정
대책설정은 위험을 완화하기 위한 보안 대책을 계획하는 단계입니다. 위험을 최소화하기 위해 기존의 제어조치를 검토하고 필요한 추가적인 보안 대책을 수립합니다. 대책은 위험분석 결과를 기반으로 수립되며, 보안 정책, 절차, 기술적인 제어 등 다양한 측면을 고려합니다.
잔류위험(Residual Risk)
잔류위험은 대책 설정 이후에도 남아있는 위험을 의미합니다. 즉, 보호조치를 적용한 이후에도 시스템이나 데이터에 대한 위험은 완전히 제거되지 않고 일부 남아있을 수 있다는 것을 의미합니다.
이러한 잔류위험을 수용할 수 있는 단계가 된다면 정보보호대책 구현 단계로 넘어갑니다.
정보보호대책 구현
대책을 구현하는 단계에서는 실제로 정보보호를 위한 기술적, 물리적, 조직적 조치를 적용합니다. 이는 정보보안 정책에 따라 네트워크 보안, 시스템 보안, 데이터 보안 등의 분야에서 이루어집니다. 대표적으로 방화벽 설정, 침입차단 시스템 도입, 접근제어 강화 등의 조치를 포함할 수 있습니다.
정보보호정책 계획
정보보호정책은 조직의 정보자산을 보호하기 위한 방향과 규칙을 정의하는 문서입니다. 정보보호정책은 위험분석과 대책설정 결과를 반영하여 작성되며, 이를 기반으로 정보보호 관련 지침과 절차를 수립합니다. 정책은 정기적으로 검토되고 개정되어야 하며, 조직 구성원들에게 이를 인식시키는 교육과정도 포함될 수 있습니다.
주기적 재검토
정보보호는 동적인 환경에서 변화하는 위험에 대응해야 하므로, 주기적인 재검토가 필요합니다. 위험요인, 취약점, 보안 대책 등의 변화에 대응하여 위험평가를 업데이트하고 보안 대책을 조정합니다. 이를 통해 조직은 정보보호 체계를 유지하고 지속적인 보안 향상을 이룰 수 있습니다.
정보보안에서의 위험평가 과정은 위와 같습니다.
더 자세한 분류가 가능하지만, 상황에 따라 일부 항목은 병합될 수도 있고 분리될 수도 있습니다.
따라서 자신의 조직에 상황에 맞게 위험을 관리하는 것이 옳습니다.