[보안뉴스=조희준 씨에이에스 이사] 최근에 주목 받고 있는 리스크의 중요성과 이를 통해 IT와 정보보호의 리스크를 심층 분석한 ‘리스크 IT 프레임워크’를 두루 살펴보기로 한다. 이번 기고를 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

연재순서-----------------------------

1. Risk IT 프레임워크

2. 정보보호에서의 Risk

3. Risk IT 프레임워크의 도메인①

4. Risk IT 프레임워크의 도메인②

5. Risk IT 프레임워크의 도메인③

6. Risk IT 프레임워크와 정보보호의 연계

--------------------------------
 

Risk IT 프레임워크의 3대 도메인

IT와 정보보호(Information Security)에 대한 리스크를 설명하고자 Risk IT 프레임워크를 주제로 연재를 계속하고 있다. 모든 프레임워크는 주제 혹은 도메인(domain)을 가지고 있다. 리스크 IT 프레임워크는 3개의 상위 도메인이 있음을 지난번 기고에서 소개한 바 있다.

1번째 도메인 - 리스크 거버넌스(Risk Governance)

2번째 도메인 - 리스크 평가(Risk Evaluation)

3번째 도메인 - 리스크 대응(Risk Response)

이 3가지 도메인은 조직의 전략과 목적 달성을 위해 수용 가능한 수준의 리스크를 식별하고 리스크 관리를 전사적 차원으로 인식하고 출발하여야 한다(리스크 거버넌스).

그리고 이러한 리스크의 중요도와 우선순위를 위해서는 적절한 평가가 이루어져야 하므로 기초 자료와 정보 등이 수집되어야 한다(리스크 평가). 이렇게 함으로써 불확실한 리스크에 대한 대응책들이 마련되고 준비되고 이행화되는 것이다(리스크 대응). 서로 연결고리를 가지고 상호 영향을 끼치고 있다.

리스크 대응 (Risk Response) 도메인과 정보보호

리스크 IT 프레임워크의 세 번째 도메인은 리스크 대응이다. 리스크 대응은 조직의 목적을 달성함에 있어서 식별된 리스크가 긍정적인 요소인지 부정적인 요소인지(positive or negative), 얼마나 확률적으로 발생확률이 높은지 낮은지(probability), 그리고 발생하였을 때의 그 긍정적 또는 부정적 영향은 어찌 되는지(impact) 등의 리스크 평가를 거쳐 그에 알맞은 대응을 하는 것이다.

리스크 대응 도메인에는 하위 분류를 3가지이고, 이에 대한 설명과 정보보호 관점은 다음과 같다.

▲ 리스크 대응의 분류

리스크 대응의 핵심활동들

리스크 대응 도메인도 다른 도메인과 마찬가지로 구체적으로 가시화하기 위한 프로세스가 존재한다. 리스크 대응에는 각 요소별로 RR1에서 4개, RR2에서 5개, RR3에서 4개의 프로세스로 상세화했다. 각 설명은 아래 도표에 그림과 함께 기술하여 놓았다.

   
    ▲ 리스크 대응의 프로세스

[참고자료 및 출처]

www.isaca.org

www.isaca.or.kr

www.isc2.org

www.cisspkorea.or.kr

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA, 2009

The IT Governance Implementation Guide-Using COBIT® and Val IT 2nd Edition, ISACA, 2007

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

CISM 한글 Review Manual, ISACA, 2011

ISACA 지식용어집, ISACA 지식 FAQ, 한국정보시스템감사통제협회, 2009

IT 거버넌스 프레임워크 코빗 COBIT4.1을 중심으로, 인포더북스, 2010

정보보호 전문가의 CISSP 노트, 인포더북스, 2011

리스크 IT 프레임워크, 한국정보시스템감사통제협회, 2012