정보보안/정보보안기사 필기

위험 분석 방법론 [D-4](19/28)

피어나는 열정 2025. 2. 24. 12:21

위험분석 방법론으로 적절히 짝지은 것은?

(가) 그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
(나) 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법
  •  가:확률분포법 나: 순위결정법
  •  가:시나리오법 나:델파이법
  •  가:델파이법 나:확률분포법
  •  가:순위결정법 나:시나리오법

● 정량적 위험분석 방법

▶ 과거자료 분석법 과거의 자료를 통하여 위험 발생 가능성을 예측하는 방법이다. 이는 과거에 대한 자료가 많 으면 많을수록 분석의 정확도가 높아지는데 반해 과거의 사건이 미래에 발생이 낮아질 수 있 는 환경에 대해서는 적용이 어렵다는 단점이 있다.

 

▶ 수학공식 접근법 과거자료 분석법이 어려울 경우 사용되는 방법이며, 위협 발생 빈도를 계산하는 식을 이용하 여 위험의 계량화하는 것을 말한다. 기대손실을 추정하는 자료의 양이 적다는 것이 단점이 다.

 

▶ 확률분포법 미지의 사건을 확률적으로 편차를 이용하여 최저, 보통, 취고 위험 평가를 예측하는 방법이 다. 추정하는 것이라 정확성이 낮다.

 

● 정성적 위험분석 방법

 

▶ 델파이기법 전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사 를 실시하여 집단의 의견을 정리하는 분석방법이다. 짧은 시간에 도출할 수 있기 때문에 시 간과 비용이 절약되지만 전문가의 추정의 정확도가 낮다.

 

▶ 시나리오법 어떤 사실도 기대대로 발생하지 않는다는 조건하에서 특정 시나리오를 통한 위협에 대한 발 생 가능한 결과를 우선순위로 도출해 내는 방법을 말한다. 적은 정보를 가지고 전반적인 가 능성을 추론할 수 있지만 발생 가능성의 이론적 추측에 불과하여 정확성이 낮다.

 

▶ 순위결정법 비교우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방식을 말한다. 위험의 추정 정확도가 낮다는 단점이 있다.

 

■ 정보수집기법_델파이 방법 분야별 전문가들의 합의를 도출하는 방법으로 사용되는 정보수집기법의 일종. 해당 분야의 전문가들은 익명으로 참여한다. 조정자는 설문지를 이용해 프로젝트의 중요한 측면에 대한 분야별 전문가들의 의견을 받은 후, 설문지의 답변을 정리하여 응답자들에게 다시 배포해 추 가의견을 구한다. 이러한 절차를 몇 차례 반복하는 과정에서 합의에 도달할 수 있다. 델파이 기법은자료의 공정성을 높이고 특정인이 결과에 부당한 압력을 행사하는 것을 방지하는 데 효과적인방법이다.