본문 바로가기

학부_대학원/정보보안 개론

정보보호 관리[위험관리] - 2

SMALL

위험관리에서 위험이라는 단어가 많이 등장한다. 그러면 정확히 위험이란 무엇인가?

그러면 위협이란 무엇인가?

이러한 단어들의 차이를 정확히 알고 있는지가 중요한것 같아 정리하고자 한다.


위험[Risk]

원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성

즉,  가능성이라고 하면 확률이라는 개념이 들어간다.

그럼으로 부정적인 사건이 발생할 가능성과 발생 손실의 정도와 비례 함을

알수 있다.

예를 들어서 년간 단위로 위험을 분석한다고 하자.

10년에 한번씩 대 홍수가 발생하고 이로인한 피해액은 30억이다.

그러면 연간 위험 금액은 3억으로 측정 할 수 있다.

--> 대홍수를 대비하기 위해서 연간 3억정도는 투자 해야한다


그래서 이러한 위험을 산정하는데 들어가는 요소가 무엇인가? 

위험 = F(자산, 위협, 취약성)


자산[Asset] : 조직이 보호해야 할 대상

위협[Threats] : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인,

  행위자를 말한다. 

--> 그래서 위협이라고 말하면 자연에 의해서라든가 A라는 해커

      때문에라고 말할 수있을것 같다.

취약성[Vulnerablity] : 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의

--> 크롭에서 취약점이라고 하면 크롬이 가지고 있는 위협[원인]

     을 유발 할수 있는 코드? 이정도 개념



LIST