IT/영어 공부노트
보안 위험 평가 Cybersecurity Risk Assessment 본문
반응형
보안 위험평가란?
사이버 보안 위험 평가란 자산분석, 위협분석, 취약성 분석을 통해 자산 및 시스템의 위험 수준을 평가하여 적절한 보안조치를 적용하는 일련의 과정입니다.
ISO 27001, ISMS, PIMs등의 관리체계와 NIST, BERR, KISA에서도 자체적 사이버 정보보호 수준 지표를 개발하고 있습니다.
ex) Cybersecurity Framework | NIST
ISMS로 보는 위험평가
1.2.3 위험평가
인증기준
조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
확인사항
- 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
- 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
- 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
- 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
- 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
결함사례
- 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
- 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
- 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
- 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
Cybersecurity Risk Assessment VS Cybersecurity audit
1. 위험평가 선 수행 > 내부감사
위험평가를 선 수행 한 후, 해당 위험평가를 조치하고 몇 개월의 시간을 가진 후 내부 감사 수행
- 위험평가 수행
- 위험 개선
- 내부감사
- 내부감사 조치 및 보안연간계획 수립
2. 내부감사 선 수행 > 위험평가 수행
내부감사 수행한 후 내부감사 결함 사항을 기반으로 위험평가 수행
- 내부감사 수행
- 내부감사 결함사항에 따른 위험평가 수행
- 위험개선 조치
- 보안 연간 계획 수립
ISMS에 따라 위험평가를 선 수행 한 후 조치 후 2차 평가에 대한 느낌으로 감사를 진행하는 것이 일반적입니다. 내부감사 선수행의 경우 회사 상황에 따라 내부감사를 수행한 후 내부감사 결함 사항으로 위험평가를 수행하는 경우로, 회사의 규모가 작거나 보안팀의 규모가 작은 경우에 해당됩니다.
반응형