정보 보안 위험 관리는 보안 문제를 발견, 수정 및 방지하는 지속적인 절차입니다. 위험 평가는 데이터 시스템 및 데이터에 대한 적절한 보안 수준을 지원하도록 설계된 조직의 위험 관리 절차의 기본 부분입니다.
위험은 기본적으로 조직이 임무를 수행하는 능력을 위협하거나 제한하는 모든 것입니다. 위험 관리는 조직의 접근 방식 전반에 걸쳐 사용되는 지속적이고 발전하는 프로세스의 그룹이어야 하며 이전, 현재 및 미래 활동을 둘러싼 일부 위험을 체계적으로 해결해야 합니다.
조직이 직면한 정보 보안 위험은 조직에서 구현하는 처리 기능과 처리되는 데이터의 민감도에 따라 다릅니다. 위험에 대한 이해와 위험 평가 방법론의 소프트웨어는 안전한 컴퓨팅 환경을 효율적이고 효과적으로 만들기 위해 중요합니다.
조직이 비즈니스 목표를 구현하는 데 사용하는 데이터 리소스에 대한 취약성과 위협을 식별하고, 일부가 위험을 허용 가능한 수준으로 줄이는 경우 조직에 대한 데이터 리소스의 가치에 따라 어떤 대응책을 결정하는 절차입니다. 성공적인 위험 관리에는 조직의 모든 수준의 고용주의 어려움이 필요합니다.
성공적인 위험 관리 프로그램은 조직이 직면한 위험의 전체 범위를 고려하도록 지원합니다. 또한 위험 관리는 위험과 위험이 조직의 전략적 목표에 미칠 수 있는 연쇄적인 영향 간의 관계를 결정합니다.
위험을 처리하는 이 전체적인 방법은 조직 전체의 위험을 예측하고 이해하는 데 중점을 두므로 전사적 위험 관리로 정의됩니다. 또한 내부 및 외부 위협에 중점을 둔 ERM(Enterprise Risk Management)은 긍정적인 위험을 처리하는 것의 중요성을 강조합니다.
긍정적인 위험은 비즈니스 가치를 향상시킬 수 있는 기회이며, 반대로 사용하지 않을 경우 조직에 피해를 줄 수 있습니다. 실제로 위험 관리 프로그램의 목적은 모든 위험을 제거하는 것이 아니라 현명한 위험 결정을 내림으로써 기업 가치를 보존하고 추가하는 것입니다.
다음과 같은 세 가지 유형의 위험 관리가 있습니다 -
-
프로젝트 위험 − 프로젝트 위험은 다양한 형태의 예산, 일정, 인력, 자원 및 사용자 관련 문제와 관련됩니다. 기본 프로젝트 위험은 일정 슬리피지입니다. 소프트웨어는 무형이기 때문에 소프트웨어 프로젝트를 모니터링하고 제어하는 것이 복잡합니다. 인식할 수 없는 것을 제어하는 것은 복잡합니다. 자동차 제조를 포함한 일부 제조 프로그램의 경우 계획 담당자가 제품의 형태를 파악할 수 있습니다.
-
기술적 위험 − 기술적 위험은 잠재적인 문제, 구현, 인터페이스, 테스트 및 유지 관리 문제와 관련됩니다. 또한 모호한 사양, 불완전한 사양, 사양 변경, 기술적 불확실성 및 기술적 진부화도 포함됩니다. 개발팀이 프로젝트에 대한 지식이 부족하여 일부 기술적인 위험이 나타납니다.
-
비즈니스 위험 − 비즈니스 리스크에서는 누구도 필요로 하지 않는 우수한 제품을 구축하거나, 예산이나 인력 투입을 상실하는 등의 리스크가 수반됩니다.