컴퓨터 지식 네트워크 - 컴퓨터 백과사전 - Coso 위험 관리 8 요소 프레임워크에서 위험 평가는 무엇으로 세분화됩니까?

Coso 위험 관리 8 요소 프레임워크에서 위험 평가는 무엇으로 세분화됩니까?

위험 평가는 세 가지 범주로 나뉩니다.

기준 평가

조직의 업무 운영이 복잡하지 않고 정보 처리 및 네트워크에 대한 조직의 의존도가 높지 않거나, 조직 정보 시스템이 보편적이고 표준화된 모델을 많이 채택할 경우 기준 위험 평가 (Baseline Risk Assessment) 는 기본 보안 수준을 직접적이고 간단하게 실현하고 조직과 비즈니스 환경을 충족시킬 수 있습니다 < P > 기준 위험 평가를 통해 조직은 자신의 실제 상황 (업계, 비즈니스 환경, 성격 등) 에 따라 정보 시스템을 보안 기준 검사 (기존 보안 조치와 보안 기준 규정 조치를 비교하여 그 차이를 파악) 하여 기본적인 보안 요구 사항을 파악하고 표준 보안 조치를 선택 및 구현하여 위험을 줄이고 통제합니다. 소위 안전 기준 은 많은 표준 규범 에 규정된 안전 통제 조치 나 관례 로, 이러한 조치 와 관례 는 특정 환경 의 모든 시스템 에 적용 할 수 있 고, 기본 안전 요구 를 충족 할 수 있 고, 시스템 을 일정 한 안전 보호 수준 이다. 조직은

국제 표준 및 국가 표준 (예: BS 7799-1, ISO13335-4) 에 따라 보안 기준을 선택할 수 있습니다.

업계 표준 또는 권장 사항 (예: 독일 연방안보국 IT 기준 보호 설명서);

유사한 비즈니스 목표와 규모를 가진 다른 조직의 관행입니다.

물론 환경 및 비즈니스 목표가 더 일반적인 경우 조직은 스스로 베이스라인을 설정할 수 있습니다.

기준 요소 평가의 장점은 필요한 자원이 적고, 주기가 짧으며, 운영이 간단하며, 환경이 비슷하고 보안 요구 사항이 비슷한 많은 조직에 대해 기준 평가가 가장 비용 효과적인 위험 평가 방법이라는 것입니다. 물론, 기준 평가 역시 피할 수 없는 단점이 있습니다. 예를 들어, 기준 수준의 높낮이를 설정하기 어렵고, 너무 높으면 자원 낭비와 제한을 초래할 수 있고, 너무 낮으면 충분한 안전을 달성하기 어려울 수 있으며, 안전 관련 변화를 관리하는 데 있어서 기준 평가가 더 어려울 수 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 안전명언) < P > 기준 요소 평가의 목표는 조직 전체에서 구현할 수 있는 정보 보안의 기본 목표를 충족하는 가장 작은 대책 집합을 구축하는 것입니다. 특별한 요구 사항이 있을 경우 특정 시스템에 대해 보다 상세한 평가를 수행해야 합니다.

상세 평가

상세 위험 평가에서는 자산에 대한 상세한 식별 및 평가, 위험을 초래할 수 있는 위협 및 취약성 수준 평가, 위험 평가 결과에 따른 보안 조치 식별 및 선택이 필요합니다. 이러한 평가 경로는 위험 관리의 사고, 즉 자산의 위험을 식별하고 허용 가능한 수준으로 위험을 낮춤으로써 관리자가 사용하는 보안 제어 조치가 적절하다는 것을 증명하는 데 중점을 두고 있습니다.

상세 평가의 장점은

1, 조직이 상세한 위험 평가를 통해 정보 보안 위험에 대한 정확한 이해를 갖고 조직의 현재 보안 수준과 보안 요구 사항을 정확하게 정의할 수 있다는 것입니다.

2, 자세한 평가 결과를 사용하여 보안 변경 사항을 관리할 수 있습니다. 물론 상세한 위험 평가는 시간, 에너지, 기술 등 자원을 많이 소비하는 프로세스일 수 있으므로 조직은 비즈니스 환경, 운영 및 정보 자산의 경계를 명확히 하기 위해 평가할 정보 시스템의 범위를 신중하게 설정해야 합니다.

포트폴리오 평가

기준 위험 평가는 리소스 소모가 적고 주기가 짧으며 운영이 간단하지만 정확하지 않아 일반 환경 평가에 적합합니다. 상세한 위험 평가는 정확하고 세심하지만 자원이 많이 소모되어 경계를 엄격하게 제한하는 작은 범위 내의 평가에 적합합니다. 하위 관행에 근거하여 조직은 대부분 양자를 결합한 조합 평가 방식을 채택하고 있다.

어떤 위험 평가 경로를 선택할 것인지 결정하기 위해 조직은 먼저 모든 시스템에 대한 예비 고급 위험 평가를 실시하고, 정보 시스템의 비즈니스 가치와 가능한 위험에 초점을 맞추고, 조직 내에서 위험도가 높거나 비즈니스 운영에 매우 중요한 정보 자산 (또는 시스템) 을 식별하고, 이러한 자산이나 시스템은 세부적인 위험 평가 범위로 분류해야 하며, 다른 시스템은 기준 위험 평가를 통해 직접 보안 조치를 선택할 수 있습니다.

이 평가 접근 방식은 기준 및 상세 위험 평가의 장점을 결합하여 평가에 소요되는 자원을 절약하고 종합적인 시스템 평가 결과를 얻을 수 있도록 합니다. 또한 조직의 자원과 자금을 가장 잘 활용할 수 있는 곳에 적용할 수 있으며 고위험 정보 시스템이 사전 관심을 받을 수 있습니다. 물론, 조합 평가에도 단점이 있습니다. 초보적인 고급 위험 평가가 정확하지 않으면 상세한 평가가 필요했던 일부 시스템이 간과되어 결국 결과가 부정확해질 수 있습니다.

上篇: 포럼 만드는 방법 특정 주제에 대한 학술 포럼을 만들고 싶습니다. 주로 해당 전공의 석사 및 박사 과정 학생입니다. 下篇: 하얼빈에는 캠핑장이 어디 있나요? 추천 캠핑 장소
관련 내용