'관리적 취약점 분석' 이란, 조직이 수집한 전체 자산에 대해 기술적 방법이 아닌 '관리적인 방법으로 취약점을 분석' 하는 방법이며 , 최종적으로 1) '위험 정도' 와 2) '발생 가능성' 이 도출됩니다.
가능한 쉽게 설명하기 위해 5가지 단계로 분류하여 설명을 기재하였습니다.
STEP 1. 자산을 취합합니다.
아래 그림과 같이 '자산 분석' 하는 단계에 해당합니다. (해당 내용은 제공되는 방법론 가이드를 참조하시면 어려움 없이 진행될 것 같습니다.)
STEP 2. 그룹핑 기준 수립합니다. (위험 시나리오 문서 참고)
이는 전체 방법론 중에 '관리적 분석' 단계에 해당됩니다.
'관리적 분석' 을 위해서 우선 그룹핑이란 작업이 선행됩니다. 그룹핑이란 모든 자산에 대해 '위험 시나리오' 평가를 수행하게 되는 번거로움을 피하기 위해 자산을 형태 혹은 성격에 따라 그룹화하는 것을 의미합니다. 아래의 예를 보겠습니다.
위의 예시는 문서를 성격에 따라 그룹핑한 현황입니다. 저희가 1차적으로 그룹핑 기준을 수립하였으며, (위험 시나리오에서 그룹핑 예시 확인 가능) 만약 추가적인 그룹핑 구분이 필요하시면 추가하시면 됩니다. 이와 같은 방법으로 리스팅한 자산에 대해 그룹핑 기준을 수립하시면 됩니다.
- 주의 -
위의 기준은 자산의 종류에 따른 분류가 아니라 자산의 관리형태 혹은 성격에 따른 분류 기준입니다. 즉 [매뉴얼/기획문서/보고서/신청서] 와 같은 분류기준은 올바르지 않은 분류 기준입니다. 기준은 [전자문서-FTP 공유문서] 와 [전자문서-PC 내 저장문서] 와 같이 관리 형태의 기준으로 분류가 되어야 합니다. (이를 기준으로 각각의 [위험도] 와 [발생가능성]은 명확하게 차이가 나기 때문입니다.)
STEP 3. 각각 리스팅한 자산에 대해 위의 STEP 2 에서 정한 분류 기준을 명시해 주세요.
아래의 붉은 색으로 표기된 부분에 각 자산의 그룹핑 기준을 명시해 주세요
STEP 4. [위험정도] 와 [발생가능성]을 평가합니다.
이제 저희가 전달드린 [위험 시나리오] 문서에 각각 분류한 대상에 따라 [위험정도]와 [발생가능성]을 평가하여 값을 기재합니다. (아래 이미지 참고)
( 각 자산에 대한 '위험도'와 해당 위험의 '발생가능성'은 자산 담당자가 가장 정확하게 판단할 수 있다는 전제하에 진행됩니다)
만약 '내가 분류한 문서 목록 리스트의 그룹핑은 [전자문서-PC 내 저장문서] 밖에 없어요" 라고 하시는 분들은 하나의 평가 테이블에만 평가값을 기재하면 됩니다.
STEP 5. 나머지는 IT팀의 의 역할
위의 1-2 단계를 수행해주시면 나머지는 IT팀의 몫입니다.
즉 위의 내용에 따라 업데이트된 1) 자산목록과 2) 위험시나리오 파일을 작성하여 IT팀에 전달해주시면,
위험평가를 통해 전체적인 RISK Value를 도출하게 됩니다.
No comments
0 개의 댓글:
댓글 쓰기