정보 보안 위험 관리에는 가능한 위험을 평가하고이를 완화하고 결과를 모니터링하는 조치가 포함됩니다. 모든 평가에는 위험의 본질을 정의하고 정보 시스템 보안을 위협하는 방법을 결정하는 것이 포함됩니다. 이는 평가 된 위험의 가능성을 최소화하기 위해 시스템을 업그레이드하는 것과 같은 위험 완화에 직접적으로 이르게합니다. 마지막으로, 리스크 관리는 리스크 완화 중재가 원하는 결과를 낳았는지 확인하기 위해 시스템을 지속적으로 모니터링하는 것을 포함합니다.
IT 자체 방어 기본 사항
조직은 조직의 사명을 수행 할 수있는 역량을 갖추고 있는지 확인해야합니다. 해당 기능을 위협하는 위험을 식별하고 이러한 조치의 경제적 및 기타 비용을 염두에두고 보호 조치를 평가해야합니다. 현대 조직이 직면하는 한 가지 위험은 정보 보안의 손상입니다. 조직은 손상된 정보 보안이 조직의 사명을 수행하는 능력에 영향을 미치고 기존의 예산 프레임 워크 내에서 적절한 시정 조치를 취해야하는지 식별해야합니다.
위험 평가
조직이 정보 보안의 약점이 기능에 위험을 초래한다고 판단하면 IT 시스템, 운영, 절차 및 외부 상호 작용을 철저히 조사하여 위험이 어디에 있는지 찾아야합니다. 이는 가능한 위협, 그 위협에 대한 취약성, 가능한 대책, 영향 및 가능성을 식별하는 것을 의미합니다. 위험은 영향 및 가능성에 따라 심각도로 분류 할 수 있습니다. 평가의 중요성은 완화되어야하는 높은 위험 요소를 식별 할 수 있다는 것입니다.
위험 완화
완화 란 평가로 확인 된 위해를 줄이거 나 제거하는 것을 의미합니다. 위험을 처리하기위한 전략에는 위험 수용, 위험을 낮추는 방법 채택, 원인 제거로 위험 회피, 통제를 배치하여 위험 제한, 공급자, 고객 또는 보험 회사로 위험을 이전하는 것 등이 있습니다. 적절한 전략은 조직이 임무를 수행하는 능력과 조직의 전략 수행 비용에 위험이 어느 정도 미치는지에 따라 결정됩니다. 구조적 완화는 위험 관리의 기본 틀로서 중요합니다.
평가 및 모니터링
평가 및 완화가 완료되면 조직 구성 단위는 즉각적인 결과를 평가하고 시스템을 지속적으로 모니터링해야합니다. 이 프로세스는 진행 상황에 대한 벤치 마크 설정을 포함하여 평가 및 완화의 영향 평가로 시작됩니다. 정보 시스템에 대한 변화 및 추가 효과에 대한 평가를 계속합니다. 마지막으로 추가 위험에 대해 평가해야 할 영역을 식별하기 위해 정보 보안 성능을 지속적으로 모니터링합니다. 평가 및 모니터링은 조직 단위가 정보 보안 위험을 얼마나 성공적으로 관리했는지 판단하는 데 중요합니다.
