위험 분석은 특정 작업 또는 이벤트와 관련된 위험 검토를 정의합니다. 위험 분석은 정보 기술, 프로젝트, 보안 문제 및 기타 이벤트에 사용되며, 정량적 및 정성적 기반으로 위험을 분석할 수 있습니다.
위험 분석 프로세스가 따르는 몇 가지 단계는 다음과 같습니다. -
-
위험 평가팀 구성 − 위험 평가 팀은 경영진에 대한 평가 결과의 수집, 분석 및 문서화에 대한 책임을 집니다. 인적 자원, 관리 프로세스, 자동화 시스템 및 물리적 보안과 같은 활동 워크플로의 일부 측면을 팀에서 정의하는 것이 중요합니다.
-
프로젝트 범위 설정 − 평가 팀은 처음부터 평가 프로젝트, 부서 또는 평가할 기능적 이벤트의 목표, 팀 구성원의 책임, 인터뷰 대상 직원, 사용할 표준, 검토할 문서를 인식해야 합니다. 및 작업을 확인할 수 있습니다.
-
평가 대상 자산 식별 − 자산에는 직원, 하드웨어, 소프트웨어, 데이터(예:민감도 및 중요도 분류), 시설 및 해당 자산을 보호하는 현재 통제가 포함될 수 있지만 이에 국한되지는 않습니다. 범위에서 결정된 평가 프로젝트와 관련된 모든 자산을 인식하는 것이 핵심입니다.
-
잠재적 손실 분류 − 자산에 대한 일부 유형의 손상으로 인해 발생할 수 있는 손실을 식별할 수 있습니다. 손실은 물리적 손상, 서비스 거부, 변경, 무단 액세스 또는 공개로 인해 발생할 수 있습니다. 손실은 조직의 신뢰 상실을 포함하여 무형일 수 있습니다.
-
위협 및 취약성 식별 − 위협은 자산을 공격하기 위해 취약성을 악용하는 이벤트, 절차, 활동 또는 프로세스입니다. 여기에는 자연 위협, 우발적 위협, 인간 우발적 위협 및 인간의 악의적 위협이 포함됩니다. 여기에는 정전, 생물학적 오염 또는 위험한 화학 물질 유출, 기능 작동 또는 하드웨어/소프트웨어 오류, 데이터 제거 또는 무결성 손실, 방해 공작, 도난 또는 기물 파손이 포함될 수 있습니다.
취약점은 위협이 자산을 공격하기 위해 악용할 수 있는 취약점입니다. 취약점은 물리적 보안, 환경, 시스템 보안, 통신 보안, 인사 보안, 계획, 정책, 프로세스, 관리, 지원과 같은 데이터 수집 프로세스에서 다음을 해결하여 인식할 수 있습니다. 등
-
기존 컨트롤 식별 − 통제는 위협이 취약성을 악용하여 자산을 강력하게 공격할 가능성을 줄이는 보호 장치입니다. 현재 실행 중인 보호 장치를 인식하고 현재 분석의 맥락에서 그 효과를 결정할 수 있습니다.
-
데이터 분석 − 이 단계에서 수집된 모든 데이터는 고려 중인 자산에 대한 실제 위험을 결정하는 데 사용됩니다. 데이터 분석 방법에는 자산 기록을 준비하고 해당 위협, 손실 유형 및 취약성을 표시하는 것이 포함됩니다. 이 데이터의 분석에는 잠재적 낙상의 빈도에 대한 평가가 포함되어야 합니다.