[ 정보보안기사 / 정보보안산업기사 ] 위험분석

---

[ 정보보안기사 / 정보보안산업기사 ]

위험분석

---

1. 위험분석
위험의 요소인 자산, 위협, 취약성, 정보보호대책을 분석하여 위험의 종류나 규모를 정함

---

2. 위험분석 방법

2-1. 베이스 라인 접근법
- 보안대책의 체크리스트를 이용하여 현재 보안이 구현되어 있는지 위험분석
- 소규모 적합
- 체크리스트 종류에 따라 과보호 또는 부족한보호 가능성 있음

2-2. 비정형 접근법
- 전문가의 지식을 이용하여 위험분석
- 전문가에 따라 주관적

2-3. 상세 위험 분석
- 잘 정립된 모델에 기초하여 자산, 위협, 취약성 분석을 각 단계별로 진행하여 위험분석
- 보안성 높음
- 시간과 비용 증가

2-3-1. 정성적 위험분석
위험의 크기를 개략적인 크기로 표현한다. EX) 높음,중간,낮음

2-3-1-1) 델파이법
전문가들로 그룹을 편성하여 위험분석 실시

2-3-1-2) 순위결정법
비교 우위 순위 결정표를 통해서 위협 우선순위 도출​

2-3-1-3) 시나리오법
어떠한 사건도 기대한 대로 발생하지 않는다는 사실에 근거하여 발생 가능한 결과를 추정

2-3-1-4) 퍼지행렬법
위협발생확률과 자산가치를 수학적 계산 실시

2-3-2. 정량적 위험분석
위험의 크기를 금액으로 표현한다. EX) 10,000달러 이상

2-3-2-1) 과거자료 접근법
과거자료를 통해 미래 가능성에 대해 예측하는 기법

2-3-2-2) 수학공식 접근법
위협의 발생빈도를 식으로 계산하여 위험을 예측하는 기법

2-3-2-3) 확률 분포법
확률 분포를 보고 최저, 보통, 최고의 위험분석으로 예측 하는 기법

2-3-2-4) 점수법
위험발생요인에 가중치를 두어 예측하는 기법

​
2-4. 복합 접근법
- 고위험 식별 후 상세 위험 분석
- 나머지는 베이스 라인 접근법으로 분석
- 비용과 시간 효과적
- 고위험 영역 식별 잘못되면 비용 낭비

---

문제) 다음의 설명하는 위험분석법은 무엇인가?
조직에서 보호의 최소한의 기준을 정하고 보호대책을 세울 수 있으며 보호기준에 따라 보안의 강도가 높을수도 낮을수도있다.

 

 

답)
베이스 라인 분석법

---

문제) 다음의 정성적분석방법에 대해 답하시오|
1. 어떠한 사건도 기대한 대로 발생하지 않는다는 사실에 근거하여 발생 가능한 결과를 추정
2. 전문가들로 그룹을 편성하여 위험분석 실시

​

답)
1. 시나리오법
2. 델파이법

---