[CISA 이론 정리 - 1장] 4. 위험 관리 (2/2)

3) 위험 대응 방안

(1) 위험 대응 전략의 유형

위험 대응 전략은 다음과 같은 유형들이 있다.

회피(Avoidance)

∙ 애초에 위험이 발생할 수 있는 상황이나 가능성을 제거함 

∙ 일부 영역에서만 가능하며 전체 위험을 제거할 수는 없음

∙ 예) 자산 매각, 설계 변경, 물리적 위치 및 구조 변경 등

절감(Reduction)

∙ 위험의 발생 가능성이나 예상 손실을 낮추기 위한 대책을 적용함

∙ 대부분의 위험 관리 대책 유형은 위험 절감에 해당함

∙ 예) 직무 분리, 접근 통제 시스템, 암호화, 방화벽 등

전가(Transference)

∙ 일정한 수수료(premium)를 지불하고 다른 개체에 위험을 이전함

∙ 불공정 거래 또는 착취의 소지가 없도록 유의해야 함

∙ 예) 보험 가입, 계약 시 위험 책임 전가 조항 등

용인(Acceptance)

∙ 위험 사건이 실제로 발생하면 사후 대응함

∙ 감수(Assumption)라고도 비용이 편익을 초과할 경우 선택함

∙ 예) 인력 부족으로 인해 직무 분리 또는 결제 수준을 완화함

감시(Monitoring)

∙ 아무런 대처를 하지 않으며 예상 영향 및 가능성을 감시함

∙ 위험의 영향과 가능성이 매우 낮을 경우에 선택함

∙ 예) 감시 목록(Watch list)을 작성하고 주기적으로 평가함

(2) 비용 대비 편익을 고려한 위험 대응

위험의 영향과 가능성이 너무 크면 회피 전략을 사용한다.

위험의 영향과 가능성이 너무 작으면 감시 전략으로도 족하다.

위험의 수준이 일정 범위이면 위험을 완화, 전가, 감수한다.

전략 선택은 기존의 대안의 종류, 비용 대비 편익 등에 의존한다.

4) 위험 관리 절차

(1) 위험 평가(Risk assessment)

위험 평가는 IT 위험을 식별, 평가하고 적절한 위험 관리 대책을 권고하는 것이 목적이다.

위험 평가는 위험 분석(analysis)이라고도 하며 다음과 같은 활동을 포함한다.

자산 식별 및 분류

∙ 조직의 비즈니스를 지원하는 모든 IT 자산을 식별함

∙ IT 자산의 특성, 가치, 유용성 등을 근거로 IT 자산을 분류함

위험 식별

∙ 중요한 IT 자산의 위협, 취약점을 파악하고 목록을 작성함

∙ 위험의 잠재적 영향과 발생 가능성을 근거로 위험의 크기를 측정함

∙ 위험 관리를 통해 얻을 수 있는 최대 편익(benefit)을 계산함

현행 대책 파악

∙ 현재의 위험 관리 대책을 평가하고 적정 수준인지 판단함

추가 대책 추천

∙ 잔여 위험을 수용 가능한 수준까지 낮추기 위한 대안을 추천함

※ IT 위험 관리는 조직의 전략, 전술, 운영, 프로젝트 수준에서 수행할 수 있다.

(2) 위험 완화(Risk mitigation)

위험 완화는 추천된 대책 중에 비용 타당한 대책을 실행한다.

비용 편익 분석

∙ 위험 관리 대책을 도입하는 데 필요한 비용 계산함

∙ 비용 대비 편익이 큰 대책들을 선정함

대책 구현

∙ 선정된 위험 관리 대책을 구현함

※ 위험 회피, 완화, 전가, 용인, 감시 등의 전략을 사용한다.

※ 위험 완화의 이상적인 목적은 위험을 수용 가능한 수준으로 낮추는 것이다.

   하지만 실무적으로 볼 때 위험 완화 비용이 수립된 예산을 초과하기는 어렵다.

(3) 위험 재평가(Risk reevaluation)

위험 재평가는 지속적으로 위험을 감시하고 위험 관리 대책을 유지 관리하는 과정이다.

감시하기로 결정한 위험을 감시하고 새로운 등장하는 위험을 식별한다.

※ IT 위험 관리 성공하려면 일회성 활동이 아닌 지속적 과정이 되어야 한다.