1. 조직은 기준 위험 평가를 통해 실제 상황 (업계, 비즈니스 환경, 성격 등) 에 따라 정보 시스템에 대한 보안 기준 검사를 실시합니다. () (기존 보안 조치를 보안 베이스라인에 지정된 보안 조치와 비교, 격차 파악) 및 표준 보안 조치를 선택 및 구현하여 위험을 줄이고 통제하는 기본적인 보안 요구 사항을 확보합니다.
2. 안전기준이란 많은 표준과 규범에 규정된 안전통제조치나 관행이다. 이러한 조치 및 관행은 특정 환경의 모든 시스템에 적용되며, 기본적인 보안 요구 사항을 충족하고 시스템을 일정한 보안 수준으로 유지할 수 있습니다.
둘째, 상세한 평가
1. 상세한 위험 평가에서는 자산에 대한 상세한 식별 및 평가, 위험을 초래할 수 있는 위협 및 취약성 수준 평가, 위험 평가 결과에 따른 보안 조치 식별 및 선택이 필요합니다. 이러한 평가 방법은 위험 관리의 사고, 즉 자산의 위험을 식별하고 허용 가능한 수준으로 위험을 낮춤으로써 관리자가 취한 보안 통제 조치가 적절하다는 것을 증명하는 것입니다.
2. 위험 식별:' 위험 식별' 은 위험을 발견, 인정 및 설명하는 과정입니다. 위험 식별에는 위험 소스, 위험 이벤트, 위험 원인 및 잠재적 결과 식별이 포함됩니다. 위험 식별에는 과거 데이터, 이론 분석, 지식 관점, 전문가 의견 및 이해 관계자의 요구가 포함됩니다.
3. 위험 평가: 위험 평가는 위험 분석 결과를 위험 기준과 비교하여 위험 및/또는 크기가 수용 가능한지 여부를 결정하는 프로세스입니다. 올바른 위험 평가는 조직이 위험 대응 결정을 내리는 데 도움이 됩니다.
셋째, 포트폴리오 평가
1. 기준 위험 평가는 자원이 적고, 주기가 짧고, 조작은 간단하지만 정확하지 않아 일반 환경 평가에 적용된다. 상세한 위험 평가는 정확하고 세밀하지만 리소스 소비가 많아 경계가 엄격한 작은 영역에서 평가하는 데 적합합니다. 실천에 근거하여 조직은 대부분 두 가지를 결합한 조합 평가 방법을 채택하고 있다.
2. 조직은 먼저 모든 시스템에 대한 예비 고급 위험 평가를 수행하고, 정보 시스템의 비즈니스 가치와 가능한 위험에 초점을 맞추고, 위험도가 높거나 비즈니스 운영에 중요한 정보 자산 (또는 시스템) 을 파악합니다. 이러한 자산 또는 시스템은 상세한 위험 평가의 범위에 포함되어야 하며, 다른 시스템은 기준 위험 평가를 통해 직접 보안 조치를 선택할 수 있습니다.
3. 이 평가 방법은 기준 및 상세 위험 평가의 장점을 결합하여 평가에 사용되는 자원을 절약하고 종합적인 시스템 평가 결과를 얻을 수 있도록 합니다. 그리고 기관의 자원과 자금을 가장 효과적인 곳에 적용해 고위험 정보 시스템에 미리 집중할 수 있다.
확장 데이터:
위험 평가의 일반적인 방법
첫째, 위험 요소 분석
위험 요소 분석은 위험 발생 확률을 결정하기 위해 위험을 유발할 수 있는 요소를 평가하고 분석하는 위험 평가 방법입니다. 전반적인 아이디어는 다음과 같습니다. 위험 소스 조사 → 위험 전환 조건 식별 → 전환 조건이 있는지 확인 → 위험 결과 추정 → 위험 평가.
둘째, 내부 통제 평가 방법
내부 통제 평가 방법은 감사 대상 단위의 내부 통제 구조를 평가하여 감사 위험을 결정하는 방법입니다. 내부 통제 구조는 통제 위험과 직접적으로 관련되어 있기 때문에 이 방법은 주로 위험 평가를 통제하는 데 사용됩니다. 공인회계사의 기업 내부 통제에 대한 연구와 평가는 세 단계로 나눌 수 있다.
셋째, 분석 검토 방법
분석적 검토법은 공인회계사가 감사대상 단위의 주요 비율이나 추세를 분석하는 것으로, 비정상적인 변화 조사, 이러한 중요한 비율이나 추세와 예상 금액의 차이 및 관련 정보를 포함하여 회계 보고서에 중요한 오보 또는 누락이 있을 가능성을 추정하는 것이다. 일반적으로 사용되는 방법에는 비교 분석, 비율 분석 및 추세 분석의 세 가지가 있습니다.
바이두 백과-위험 평가