정보 보안 위험 평가는 조직과 관련된 위험 수용 및 목표에 대한 요소에 대해 위험을 식별, 수량화 및 우선 순위를 지정하기 위해 제공하는 기업 관리 관행의 필수적인 부분입니다.
위험 관리는 식별, 관리 및 정보 시스템의 리소스에 부정적인 영향을 미칠 수 있는 이벤트 가능성의 제거 또는 감소를 포함하여 정보 시스템에 잠재적으로 영향을 미칠 수 있는 보안 위험을 감소시키는 프로세스를 정의합니다. 보호의 정의는 위험 분석, "비용 효율성" 매개변수 분석, 보안 하위 시스템의 선택, 구성 및 테스트, 보안의 모든 요소에 대한 연구를 포함합니다.
보안 위험 평가(또는 SRA)는 회사의 위험 인식, 보안 위협으로부터 보호하기 위한 제어 장치가 있는지 확인하는 기술 및 프로세스를 포함하는 평가입니다. 보안 위험 평가는 일반적으로 지불 카드 보안에 대한 PCI-DSS 표준을 비롯한 규정 준수 표준에 의해 요구됩니다.
보안 위험 평가는 위험 영역을 인식하기 위해 회사 시스템의 모든 요소를 계산하는 보안 평가자가 구현합니다. 이는 취약한 암호를 가능하게 하는 시스템만큼 간단할 수도 있고 안전하지 않은 비즈니스 프로세스를 포함하여 더 복잡한 문제일 수도 있습니다. 평가자는 일반적으로 HR 정책에서 방화벽 구성에 이르기까지 모든 것을 검토하면서 잠재적인 위험을 인식하기 위해 노력합니다.
예를 들어, 발견 단계에서 평가자는 민감한 데이터, 자산을 포함하는 모든 데이터베이스를 인식합니다. 해당 데이터베이스는 인터넷에 연결되어 있는 취약점입니다. 해당 자산을 보호할 수 있으며 제어 장치가 있어야 하며 이 경우 방화벽이 됩니다.
보안 위험 평가는 회사의 일부 중요한 자산, 취약성 및 통제를 식별하여 일부 위험이 적절하게 완화되었음을 제공합니다. 보안 위험 평가는 보안 위험으로부터 회사를 보호하는 데 중요합니다.
보안 위험 평가는 환경에 존재하는 위험의 청사진을 통해 우리를 지원하고 각 문제가 얼마나 중요한지에 대한 중요한 정보를 제공합니다. IT 리소스와 예산을 극대화하여 시간과 비용을 절약할 수 있도록 보안을 강화할 때 어디서부터 시작해야 하는지 이해할 수 있습니다.
보안 위험 평가는 회사에 대한 심층적인 계산이거나 명확한 IT 프로젝트 또는 회사 부서일 수 있습니다. 평가하는 동안 목표는 나쁜 사람보다 먼저 문제와 보안 허점을 찾는 것입니다.
평가 프로세스는 시스템과 사람을 검토하고 테스트하여 약점을 확인해야 합니다. 그들이 발견되면 회사에 얼마나 큰 위험이 있는지에 따라 순위가 매겨집니다. 결과 문서는 제대로 작동하고 적절하게 보안된 시스템과 문제가 있는 시스템을 인식합니다. 보안 위험 평가는 일반적으로 네트워크 스캐닝 결과 또는 방화벽 구성 결과와 같은 명확한 기술 결과를 갖습니다.