리스크 통제란 위험이 발생하더라도 기업의 정상적인 업무 운영에 영향을 미치지 않도록 기업이 허용할 수 있는 수준으로 위험을 줄이는 것입니다.
1. 보안 통제 수단 선택
정보 보안 시스템과 관련하여 평가된 위험을 줄이거나 제거하려면 기업은 적절한 보안 통제 수단을 식별하고 선택해야 합니다. 보안 통제 수단의 선택은 위험 평가 결과를 기반으로 위협과 관련된 약점을 파악하고, 보호가 필요한 곳과 어떤 보호 방법을 채택해야 하는지 결정해야 합니다.
보안 제어 선택의 또 다른 중요한 측면은 비용입니다. 이러한 통제를 구현하고 유지하는 데 드는 비용이 자산에 대한 위협으로 인한 피해의 예상 가치보다 큰 경우 권장되는 통제는 부적절합니다. 기업의 보안 예산보다 비용이 더 많이 든다면 통제도 부적절합니다. 그러나 충분한 양과 질의 통제를 제공하기에는 예산이 부족하여 불필요한 위험이 발생한다면 문제가 될 수 있습니다.
일반적으로 통제 조치는 여러 기능을 달성할 수 있으며 기능이 많을수록 좋습니다. 전반적인 보안을 고려할 때 개별 기능의 균형을 최대한 유지하는 것이 고려되어야 하며, 이는 전반적인 보안 효과와 효율성에 기여합니다.
2. 위험 통제
통제 조치 비용과 위험이 균형을 이루어야 한다는 원칙에 따라 기업은 위험을 줄이기 위해 선택된 보안 통제 조치를 엄격하게 구현하고 적용해야 합니다. 방법은 다양하며 일반적으로 사용되는 중앙 집중식 방법은 다음과 같습니다.
1) 위험 방지: 예를 들어 중요한 컴퓨터 시스템을 인터넷에서 물리적으로 격리합니다.
2) 위험 이전: 예를 들어 , 인터넷에서 중요한 컴퓨터 시스템을 격리합니다. 데이터의 오프사이트 네트워크 백업을 수행합니다.
3) 위협 감소: 예를 들어 공격을 피하기 위해 악성 소프트웨어 실행을 구성합니다.
4) 감소 약점 : 예 : 직원 정보 보안 실시 직원 보안 인식 교육 및 향상
5) 보안 모니터링 실시 : 예 : 정보 처리 시설에 유해한 행위를 신속하게 감지하고 신속하게 대응
3. 허용 가능한 위험
정보 시스템에는 항상 어느 정도 위험이 있으며 절대적인 보안은 존재하지 않습니다. 기업이 위험 평가 구조에 따라 선택한 통제 조치의 구현을 완료하면 잔여 위험이 발생합니다. 잔여 위험은 비즈니스에서 허용되는 위험일 수도 있고, 특정 정보 자산이 제외되어 보호되지 않는 것일 수도 있습니다. 기업의 정보 보안을 보장하기 위해서는 잔여 위험을 허용 가능한 범위 내에서 통제해야 합니다.
잔여 위험 Rr = 원래 위험 Ro - 통제 위험 Rx
잔여 위험 Rr lt; 허용 가능한 위험 Rt
위험 수용은 잔여 위험의 과정입니다. 식별 및 평가 과정. 보안 통제 조치를 구현한 후 기업은 보안 조치의 구현을 검토해야 합니다. 즉, 선택한 통제가 위험을 줄이는 정도를 판단해야 합니다. 여전히 견딜 수 없는 잔여 위험에 대해서는 추가 투자를 고려해야 합니다.
위험은 시간이 지남에 따라 변하며 위험 관리는 기업이 동적 위험 평가 및 위험 통제를 구현해야 하는 동적 관리 프로세스입니다. 즉, 기업은 정기적으로 위험 평가를 수행해야 합니다. 일반적으로 다음과 같은 상황이 발생하면 위험 평가를 재평가해야 합니다.
◇ 기업이 새로운 정보 자산을 추가하는 경우
◇ 시스템에 큰 변화가 있는 경우
◇ 중대한 정보보안 사고가 발생한 경우
◇ 회사가 매우 필요하다고 판단하는 경우