정보보호 관리라는 개념을 배우다 보면 위험 관리가 나온다.
여기서 중요한 부분들을 집고 넘어가고자 한다.
먼저 위험관리[Risk Management]란 무엇인가? 정의에 대해서 알아보자
조직의 자산에 대한 위험을 수용할 수 있는 수 있는 수준으로 유지하기 위하여
자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해
비용대비 효과적인 보호대책을 마련하는 일련의 과정
딱딱한 말을 별로 좋아하지 않고 예를들어 이해하는것을 좋아한다.
예를 들어 어떤 회사에 등록자들의 주민번호, 사상 등을 수집한 제산이 있다고
가정한다. 만약에 이 제산이 공격자에 의해서 털리면 5억원이라는 벌금을 낸다고
생각하자.
그러면 기업 입장에서는 이를 방지하기 위해서 방어 책을 수립하는데, 10억 20억을
투자하면 비효율 적이라는 것이다. 그래서 5억 미만이나 그 정도 수준의 투자해서
공격에 대비해야 하는 개념이다.
--> 설명하다보니 법적으로 강력한 제제가 필요한 이유가 여기 있는것 같기도하다.
개인정보가 유출이되어도 큰 회사에서 몇천만원 벌금 내니까...
딱 그만큼만 투자하는 느낌인것 같다.
이제 이러한 위험관리가 어떠한 과정을 거쳐서 이루어 지는지 알아보자.
5단계로 구성되는데
1. 위험관리 전략과 계획수립 --> 사전에 전력과 계획을 세우는것이 당연
2. 위험 분석 --> 어떠한 위험이 있는지 알아야 막을것
3. 위험 평가 --> 해당 위험에 대해 평가를 내려야 얼마나 위험한지 등 판단.
4. 정보보호 대책 수립
5. 정보보호 계획 수립
마지막 대책과 계획 수립에 관해서 많이 헷갈려서 그 뜻을 정확히 알고 이해하면
좋을 것 같다.
'학부_대학원 > 정보보안 개론' 카테고리의 다른 글
정보보호 관리체계 (0) | 2016.10.27 |
---|---|
Kerberos Protocol[커버로스 프로토콜] (0) | 2016.08.01 |
정보보호 관리[위험관리] - 2 (0) | 2016.07.31 |
RSA 알고리즘 [유클리드, 오일러] (0) | 2016.07.31 |
암호학 정리 (0) | 2016.07.27 |