IT/영어 공부노트

보안 위험 평가 Cybersecurity Risk Assessment 본문

⚡ IT+Security 노트/IT+Security

보안 위험 평가 Cybersecurity Risk Assessment

소저어엉 2024. 3. 19. 22:57
반응형

 

 

보안 위험평가란?

사이버 보안 위험 평가란 자산분석, 위협분석, 취약성 분석을 통해 자산 및 시스템의 위험 수준을 평가하여 적절한 보안조치를 적용하는 일련의 과정입니다.

ISO 27001, ISMS, PIMs등의 관리체계와 NIST, BERR, KISA에서도 자체적 사이버 정보보호 수준 지표를 개발하고 있습니다.

ex) Cybersecurity Framework | NIST

 

Cybersecurity Framework

Helping organizations to better understand and improve their management of cybersecurity risk

www.nist.gov

 

ISMS로 보는 위험평가

1.2.3 위험평가

인증기준

조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

확인사항

  • 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
  • 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
  • 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
  • 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
  • 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?

결함사례

  • 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
  • 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
  • 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
  • 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우

 

Cybersecurity Risk Assessment VS Cybersecurity audit

1. 위험평가 선 수행 > 내부감사

위험평가를 선 수행 한 후, 해당 위험평가를 조치하고 몇 개월의 시간을 가진 후 내부 감사 수행

  • 위험평가 수행
  • 위험 개선
  • 내부감사
  • 내부감사 조치 및 보안연간계획 수립

2. 내부감사 선 수행 > 위험평가 수행

내부감사 수행한 후 내부감사 결함 사항을 기반으로 위험평가 수행

  • 내부감사 수행
  • 내부감사 결함사항에 따른 위험평가 수행
  • 위험개선 조치
  • 보안 연간 계획 수립

 

ISMS에 따라 위험평가를 선 수행 한 후 조치 후 2차 평가에 대한 느낌으로 감사를 진행하는 것이 일반적입니다. 내부감사 선수행의 경우 회사 상황에 따라 내부감사를 수행한 후 내부감사 결함 사항으로 위험평가를 수행하는 경우로, 회사의 규모가 작거나 보안팀의 규모가 작은 경우에 해당됩니다. 

 

 

반응형