◈ 정보보호 용어정리
① 정보 자산(asset) = 가치
· 경제적 가치가 있는 유형 · 무형의 재산(조직이 보호해야 할 대상)
· 컴퓨터, 통신장비, 데이터베이스(정보), 응용프로그램 등
→ 인력, 기업 이미지 등의 무형자산을 포함하기도 함
② 위협(threat)
· 자산에 손실을 입힐 수 있는 원치 않는 사건의 원인 또는 행위자
③ 취약성 / 취약점 (vulnerability)
· 자산의 잠재적 속성으로서 위협이 이용하는 대상이 되는 것
· 위협에 대해 손실이 발생될 수 있는 약점
· 위협이 있어도 자산에 취약성이 없으면, 위협이 발생해도 손실은 발생되지 않음
④ 위험(risk)
· 위험은 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성
→ 부정적인 영향을 미쳤다( 위험 X )
⑤ 위험분석(risk analysis)
· 자산, 위협, 취약성/취약점, 기존의 보호대책 등을 분석하여 위험의 종류와 규모를 결정하는 것
위험(risk) = 정보자산(asset) × 취약점(vulnerability) × 위협(threat)
◈ 위험 구성요소들 간의 관계
· 위협은 취약성을 공격, 취약성은 자산을 노출
· 자산은 가치를 보유
· "위협, 취약성, 자산 가치"는 모두 위험을 증가
· 위험을 파악함으로써 보안 요구사항을 파악
· 보안 요구사항을 충족시키는 정보보호대책을 선정하고 구현함으로써 위협을 방어
· 정보보호대책은 위협을 방어함으로써 위험을 감소
'K-Shield Jr. > 관리보안운영' 카테고리의 다른 글
| ISMS 프로세스에 적용된 PDCA 모델 (0) | 2018.10.31 |
|---|
