위협 평가 모델은 가능한 위협의 식별 및 그러한 위협을 최소화하거나 대응하기 위해 구현할 수단에 대한 조직의 계획을 나타냅니다. 이러한 모델은 스프레드 시트, 그래프, 플로우 차트, 다이어그램 또는 기타 여러 가지 기능을 사용하여 필요한 사항을 설명 할 수 있습니다.
목적
위협 평가 모델의 목적은 조직이 발생할 가능성이있는 위협을 식별하고 위협을 방지하거나 그 영향을 취소하는 방법을 설명하는 기능을 조직에 부여하는 것입니다. 조직이 점차 커지고 복잡해지면서 직면 한 다양한 유형의 위협이 점점 더 커질 수 있으며 이러한 위협을 조직하고 분석 한 다음 이에 대한 대책을 구현하는 데 사용할 수있는 확립 된 모델을 갖는 것이 중요합니다. 모델을 사용하지 않고 위협을 최소화하려고하면 혼란스럽고 비효율적이며 효과가 떨어집니다.
용도
위협 평가 모델은 고객이 소매 업체에 대해 민사 소송을 제기 할 수있는 안전 위험과 같은 책임 문제에 유용 할 수 있습니다. 그들은 또한 컴퓨터 보안과 같은 것들을 처리 할 수 있는데, 이는 특히 신용 카드 번호, 주소 및 사회 보장 번호와 같은 정보를 저장할 때 광대 한 고객 계정 정보 저장소를 다루는 회사에게 매우 중요 할 수 있습니다. 가능한 위협을 기록하고이를 다루는 방법을 마련함으로써 조직은 일반적으로 자신과 명성, 고객 및 사회를 보호 할 수 있습니다.
핵심 이슈
정보 보안 교육의 원천 인 SANS 연구소의 James Bayne의 "위협 및 위험 평가 개요"에 따르면 위협 평가 모델은 여러 가지 주요 문제를 처리해야합니다. 첫째, 물리적 자산이나 민감한 정보와 같이 보호해야 할 대상을 식별해야합니다. 둘째, 조직이 직면 한 모든 위협과 취약점을 식별해야합니다. 셋째, 귀중한 자산을 잃어 버릴 경우 일어날 일에 대한 완전한 암시를 제시해야합니다. 넷째, 조직이 그러한 위협에 노출되는 것을 최소화 할 수있는 방법에 대한 해결책을 제시해야합니다.
위협 분석
위협 평가를 수행 할 때는 조직에서 직면하는 위협의 특성과 심각도를 분석해야합니다. 위협을 분류하는 가장 중요한 측면은 인간 또는 인간이 아닌 것으로 식별하는 것입니다. 예를 들어, 인간의 위협은 해커, 불만을 품은 직원, 부적절하게 훈련 된 직원 또는 도둑이 될 수 있습니다. 인간이 아닌 위협은 천재 지변이나 장비 고장 일 것입니다. 위협 평가 모델은 이러한 모든 위협을 나열하고 심각도를 정량화하는 데 도움을 주어야합니다.