1, 위험 평가 준비
이 단계의 주요 임무는 평가 목표, 평가 범위 및 안전 위험 평가 작업 계획을 포함한 평가 작업 계획을 개발하는 것입니다. 평가 업무의 필요에 따라 팀을 평가하여 각 방면의 책임을 명확히 하다.
2. 자산 식별 프로세스
자산 평가는 주로 피평가자에게 자산 질문서를 발급하여 수행됩니다. 자산 평가를 수행할 때 평가 대상자가 제공한 자산 목록을 기준으로 중요 및 주요 자산을 표시하고 평가 범위 내 자산을 상세하게 분류합니다. 자산의 표현에 따라 자산은 데이터, 소프트웨어, 하드웨어, 서비스 및 인력으로 나눌 수 있습니다.
자산의 기밀성, 무결성 및 가용성 요구 사항에 따라 자산에 기밀성, 무결성, 가용성 및 자산 중요도를 할당합니다.
3. 위협 식별 프로세스
위협 평가 단계에서 평가자는 일반적인 인위적 위협, 가능한 동기, 사용 가능한 약점, 가능한 공격 방법 및 결과를 결합하여 위협 소스를 식별합니다. 위협 식별이 완료되면 위협 가능성도 평가하고, 위협 목록으로 나열하며, 위협 속성을 설명하고, 위협 빈도를 할당해야 합니다.
4. 취약성 식별 프로세스
허점은 관리 허점과 기술 허점으로 나뉜다. 관리허점은 주로 휴대전화를 통해 관리허점 설문지, 인터뷰, 기존 관리제도 분석을 통해 이뤄진다. 기술 취약점은 주로 전문 취약성 탐지 도구와 평가 범위 내의 다양한 하드웨어 및 소프트웨어 보안 구성에 대한 검사를 통해 식별됩니다. 취약성 식별이 완료되면 특정 자산에 대한 취약성 심각도를 할당해야 합니다. 이 값이 클수록 취약점의 심각도가 높아집니다.
5. 기존 보안 조치 확인
안전 조치는 예방 안전 조치와 보호 안전 조치로 나눌 수 있다. 예방 보안 조치는 침입 탐지 시스템과 같은 위협의 취약성으로 인한 보안 사건의 가능성을 줄일 수 있습니다. 보호 보안 조치는 보안 사고가 조직 또는 시스템에 미치는 영향을 줄일 수 있습니다.
6. 위험 분석 프로세스
위 단계가 완료되면 적절한 방법과 도구를 사용하여 안전 위험 분석 및 계산을 수행합니다. 자신의 상황에 따라 적절한 위험 계산 방법을 선택하여 매트릭스 또는 곱셈과 같은 위험 값을 계산할 수 있습니다. 위험 값이 허용 범위 내에 있는 경우 위험을 허용 가능한 위험으로 변경합니다. 위험 값이 허용 범위 밖에 있는 경우 통제 위험을 줄이기 위해 보안 조치가 필요합니다.