2017.10.27

IT 리스크를 어떻게 평가할까? 10가지 체크리스트

Thomas Macaulay | CIO UK
재난∙재해를 피할 수 없지만 복구할 수는 있다. 최악의 상황에 대비해 영향을 최소화하도록 유지하면 된다.



IT시스템이 중단되더라도 문제없이 돌아가는 기업은 거의 없다. 꼼꼼한 IT 리스크 평가는 보안 시스템이 손상되지 않도록 보호하고 효과적인 대응 전략을 구현하는 중요한 방법이다.

시스템을 효과적으로 보호하기 위해 IT 리스크를 평가하는 방법을 알아보자.

1. IT 리스크 평가해야 하는 이유는 무엇인가?
IT 리스크 평가의 목적은 모든 취약점과 단점을 해결하고 관리하는 것이다.

리스크 평가는 보안 팀에게 특히 중요하며 모든 관련 직원 및 이사회 구성원과 공유한 결과를 정기적으로 수행해야 한다.

IT 팀이 제대로 근무하고 있는지 평가하지 않으면 보안 부서뿐 아니라 취약한 상태로 남을 수 있다.

리스크 평가를 통해 비용을 통제하고 감사가 훨씬 쉽게 이루어질 수 있다. 돈을 절약할 수 있는 영역을 찾는 것은 IT 리스크 평가에 큰 이점이다.

2. 준비
리스크 관리 절차는 관련된 적임자들과 함께 수립하기가 가장 쉽다. 리스크가 포함될 수 있는 모든 비즈니스 영역의 대표자와 위험을 억제할 방법을 알 수 있는 개인을 포함하는 자문위원회를 꾸려야 한다.

보안 리스크 평가 체크리스트와 감사 체크리스트는 위험을 검토하는 데 도움이 되는 유용한 도구며 웹 기반 도구는 이를 평가하는, 좀더 진보된 방법을 제공한다.

3. 데이터 수집
모든 리스크 평가는 현재 인프라를 점검하는 데서 출발한다. 하드웨어와 소프트웨어 모두 강점과 약점을 평가해야 한다.

보안 위험이 있는 자산은 조직을 조사한 다음 조사 결과를 IT부서에 보내 검사하고 평가해야 한다.

결과는 위해성 평가에서 예상되는 목적, 범위, 자료 흐름, 책임을 다루는 검토의 기초를 형성할 것이다.

4. 취약성 평가
각각의 가능한 위험을 식별하려면 위협 요소를 자세히 검토해야 한다. 실제 일어날 법한 시나리오를 사용하는 것은 가능한 결과를 예측하고 준비하는 효과적인 방법이다.

취약성 평가는 자동화된 도구와 수작업 도구를 모두 사용하여 IT부서가 위험 영역으로 분류해야 하는 약점이 있는 영역을 파악해야 한다.

평가는 현재 진행 중인 보안 상황과 보호 조치가 적용될 수 없는 부분 간의 공백이 있는지 정보를 제공해야 한다.

5. 위험 분석
발견된 모든 위험 영역에는 심각한 결과가 발생할 경우 어떻게 보호할지 관련 전략이 있어야 한다.

특정 취약점, 위협 및 발생 확률을 각각의 특정 영역에서 모두 분석해야 한다.

조심해야 할 점에는 이 영역에서 처리하는 시스템 및 정보에 대한 원치 않은 접근으로부터 발생할 수 있는 위험의 정도와 강도가 포함돼 있다.

6. 권장 사항 및 부서별 검토
결과 권장 사항은 보고서에 정리해 모든 이해 관계자에게 전달해야 한다. 내용에는 분석 결과 및 선택된 대응 전략이 포함된다.

보고서를 받는 각 부서에 위험 요소를 설명하고 이를 검토하게 해야 한다. 그런 다음 비즈니스의 성격과 특정 위험을 기준으로 위험을 줄이거나 피하고자 자체 전략을 수립해야 한다.

7. 리스크 완화 계획
이 전략을 수립한 부서가 리스크 완화 계획에 통합할 때만 효과적이다.

이 계획에는 완화 절차를 시행할 때 따라야 할 일정이 포함돼야 한다. 일단 작성되면 검토를 위해 IT로 전송된다.

8. IT 점검
IT팀은 포괄적이고 효과적인지 확인하기 위해 리스크 완화 계획을 평가해야 한다. 계획의 각 단계를 검토하고 승인해야 한다.

필요한 경우 추가하거나 수정할 수 있다.

9. 실행
결과적으로 리스크 평가 정책은 위험에 대처하기 위한 계획 수립, 위험 요소 식별 및 통제를 안내할 것이다. 이것은 그것이 일어날 가능성과 그것이 일어날 때의 결과를 제거하는 방법을 다룰 것이다.

보험사 및 보증과 같은 제 3자에 대한 영향도 포함돼야 한다. 각 부서는 컴플라이언스를 보장할 책임이 있으며 적어도 매년 보고 결과를 검토하고 시스템으로의 변경으로 인해 새로운 위험이 발생할 때마다 검토해야 한다.

10. 유지보수
위험 관리에 대한 능동적인 접근 방식은 위협에 대한 가장 효과적인 장벽을 구축하므로 IT 자원을 사용하는 모든 리소스를 정기적으로 위험에 대해 점검해야 한다.

리스크 평가를 반복하기 위한 일반적인 일정은 최소한 2년마다 정책을 검토하는 것이지만, 향후 평가를 위한 정확한 일정은 CIO가 결정해야 한다. 필요할 경우 새로운 리스크를 점검하기 위한 추가 평가도 해야 한다. ciokr@idg.co.kr
 



2017.10.27

IT 리스크를 어떻게 평가할까? 10가지 체크리스트

Thomas Macaulay | CIO UK
재난∙재해를 피할 수 없지만 복구할 수는 있다. 최악의 상황에 대비해 영향을 최소화하도록 유지하면 된다.



IT시스템이 중단되더라도 문제없이 돌아가는 기업은 거의 없다. 꼼꼼한 IT 리스크 평가는 보안 시스템이 손상되지 않도록 보호하고 효과적인 대응 전략을 구현하는 중요한 방법이다.

시스템을 효과적으로 보호하기 위해 IT 리스크를 평가하는 방법을 알아보자.

1. IT 리스크 평가해야 하는 이유는 무엇인가?
IT 리스크 평가의 목적은 모든 취약점과 단점을 해결하고 관리하는 것이다.

리스크 평가는 보안 팀에게 특히 중요하며 모든 관련 직원 및 이사회 구성원과 공유한 결과를 정기적으로 수행해야 한다.

IT 팀이 제대로 근무하고 있는지 평가하지 않으면 보안 부서뿐 아니라 취약한 상태로 남을 수 있다.

리스크 평가를 통해 비용을 통제하고 감사가 훨씬 쉽게 이루어질 수 있다. 돈을 절약할 수 있는 영역을 찾는 것은 IT 리스크 평가에 큰 이점이다.

2. 준비
리스크 관리 절차는 관련된 적임자들과 함께 수립하기가 가장 쉽다. 리스크가 포함될 수 있는 모든 비즈니스 영역의 대표자와 위험을 억제할 방법을 알 수 있는 개인을 포함하는 자문위원회를 꾸려야 한다.

보안 리스크 평가 체크리스트와 감사 체크리스트는 위험을 검토하는 데 도움이 되는 유용한 도구며 웹 기반 도구는 이를 평가하는, 좀더 진보된 방법을 제공한다.

3. 데이터 수집
모든 리스크 평가는 현재 인프라를 점검하는 데서 출발한다. 하드웨어와 소프트웨어 모두 강점과 약점을 평가해야 한다.

보안 위험이 있는 자산은 조직을 조사한 다음 조사 결과를 IT부서에 보내 검사하고 평가해야 한다.

결과는 위해성 평가에서 예상되는 목적, 범위, 자료 흐름, 책임을 다루는 검토의 기초를 형성할 것이다.

4. 취약성 평가
각각의 가능한 위험을 식별하려면 위협 요소를 자세히 검토해야 한다. 실제 일어날 법한 시나리오를 사용하는 것은 가능한 결과를 예측하고 준비하는 효과적인 방법이다.

취약성 평가는 자동화된 도구와 수작업 도구를 모두 사용하여 IT부서가 위험 영역으로 분류해야 하는 약점이 있는 영역을 파악해야 한다.

평가는 현재 진행 중인 보안 상황과 보호 조치가 적용될 수 없는 부분 간의 공백이 있는지 정보를 제공해야 한다.

5. 위험 분석
발견된 모든 위험 영역에는 심각한 결과가 발생할 경우 어떻게 보호할지 관련 전략이 있어야 한다.

특정 취약점, 위협 및 발생 확률을 각각의 특정 영역에서 모두 분석해야 한다.

조심해야 할 점에는 이 영역에서 처리하는 시스템 및 정보에 대한 원치 않은 접근으로부터 발생할 수 있는 위험의 정도와 강도가 포함돼 있다.

6. 권장 사항 및 부서별 검토
결과 권장 사항은 보고서에 정리해 모든 이해 관계자에게 전달해야 한다. 내용에는 분석 결과 및 선택된 대응 전략이 포함된다.

보고서를 받는 각 부서에 위험 요소를 설명하고 이를 검토하게 해야 한다. 그런 다음 비즈니스의 성격과 특정 위험을 기준으로 위험을 줄이거나 피하고자 자체 전략을 수립해야 한다.

7. 리스크 완화 계획
이 전략을 수립한 부서가 리스크 완화 계획에 통합할 때만 효과적이다.

이 계획에는 완화 절차를 시행할 때 따라야 할 일정이 포함돼야 한다. 일단 작성되면 검토를 위해 IT로 전송된다.

8. IT 점검
IT팀은 포괄적이고 효과적인지 확인하기 위해 리스크 완화 계획을 평가해야 한다. 계획의 각 단계를 검토하고 승인해야 한다.

필요한 경우 추가하거나 수정할 수 있다.

9. 실행
결과적으로 리스크 평가 정책은 위험에 대처하기 위한 계획 수립, 위험 요소 식별 및 통제를 안내할 것이다. 이것은 그것이 일어날 가능성과 그것이 일어날 때의 결과를 제거하는 방법을 다룰 것이다.

보험사 및 보증과 같은 제 3자에 대한 영향도 포함돼야 한다. 각 부서는 컴플라이언스를 보장할 책임이 있으며 적어도 매년 보고 결과를 검토하고 시스템으로의 변경으로 인해 새로운 위험이 발생할 때마다 검토해야 한다.

10. 유지보수
위험 관리에 대한 능동적인 접근 방식은 위협에 대한 가장 효과적인 장벽을 구축하므로 IT 자원을 사용하는 모든 리소스를 정기적으로 위험에 대해 점검해야 한다.

리스크 평가를 반복하기 위한 일반적인 일정은 최소한 2년마다 정책을 검토하는 것이지만, 향후 평가를 위한 정확한 일정은 CIO가 결정해야 한다. 필요할 경우 새로운 리스크를 점검하기 위한 추가 평가도 해야 한다. ciokr@idg.co.kr
 

X