   |
ISO에서 말하는 위험이란?
- 어떠한 위협이 어떠한 자산의 취약점을 악용하여 해당 자산에 손실이나 피해를 일으킬 잠재성
- 보통 기업에서는 확률보다는 연간 발생 빈도로 표현
위험을 구성하는 요소는?
- 자산(Asset): 기업이나 조직에게 가치가 있는 모든 자원 (여기에는 업무목적, 업무 프로세스, 정보시스템도 포함)
- 위협(Threat): 조직의 자산에 원치 않는 결과를 미칠수 있는 사건, 행위 (화재, 지진, 해킹, 테러...)
- 취약점(Vulnerability): 위협이 발생할 수 있는 조건 (자산의 특성, 통제의 약점에 기인함)
- 영향(Impact): 원치않은 위험의 결과로 발생하는 경제적/비경제적 손실과 피해
- 위협의 잠재성(Potential of Threat): 위협의 발생 가능성 혹은 발생의 빈도
위험관리의 의의
- 잔여 위험(위험 관리 대책을 통해서도 존재하는 위험)을 받아들일 수 있는 수준으로 유지하는 것
* ALR (Acceptable Level of Risk): 허용할 수 있는 잔여위험의 수준
ALR의 특징
- 기업의 특성에 따라 ALR은 각각 다르다.
- 금융기관과 부실회사, 감사를 하지 않은 회사의 경우에는 ALR을 낮게 잡아야 한다.
위험관리의 순서
- 위험평가(식별, 계량화) -> 위험완화 -> 위험 재평가
'Knowledge > IS Auditor 되기' 카테고리의 다른 글
| BCP (Business Continuity Plan) (1) | 2009.10.19 |
|---|
