- ① 자산
-
② 위협
-
③ 취약점
-
④ 손실
위험 관리 중 80% 이상을 위험분석 과정이 차지하고 있으므로 실질적으로 가장 핵심은 위험분석 과정이라고 할 수 있음.
위험분석의 목적은 보호되어야 할 대상 정보시스템과 조직의 위험을 측정하고 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것임.
위험분석의 구성요소
1. 자산: 위험 관리를 수행하는 가장 큰 목적은 자산을 보호하기 위함이다. 자산은 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소를 포함한다.
2. 위협: 자산이 가진 고유의 취약점을 이용 자산에 직접적인 피해를 줄 수 있는 요소로서, 자산이 가진 취약점을 통해서만 자산에 피해를 줄 수 있다. (아직 공격 안했음)
3. 취약점: 자산이 보유하고 있는 약점으로 위협에 의해서 이용된다. 취약점은 존재 자체만으로 자산에 어떤한 영향이나 피해를 주지 못한다.
4. 대응책: 자산의 취약점이 위협에 노출되어 자산에게 피해를 입힐 수 있는 것을 막아주는 각종 절차, 방법, 기술, 시스템 등이 있다.
5. 위험: 위협의 발생으로 인하여 자산에 실질적으로 가해진 결과. 이는 자산에 대한 CIA,인증,신뢰성 등에 손실을 준다. (공격 이후)
https://webstone.tistory.com/138
위험분석(Risk Analysis) 개념 및 구성요소
위험분석: 정보기술 보안관리(IT Security Management)를 수행하기 위해서 필적인 과정 중 하나. 위험 관리 중 80% 이상을 위험분석 과정이 차지하고 있으므로 실질적으로 가장 핵심은 위험분석 과정이
webstone.tistory.com
'정보보안 > 정보보안기사 필기' 카테고리의 다른 글
| 재난복구 대체처리 사이트 [D-6](32/35) (0) | 2025.02.27 |
|---|---|
| 현행 전자서명법상 공인인증서가 폐지되는 사유 [D-6](31/35) (0) | 2025.02.27 |
| ebXml 구성 요소 [D-6](29/35) (0) | 2025.02.27 |
| 도출된 위험 처리유형 [D-5](28/28) (0) | 2025.02.26 |
| 컴퓨터 시스템 평가 기준 [D-5](27/28) (0) | 2025.02.26 |