You are looking for information, articles, knowledge about the topic nail salons open on sunday near me 위험 관리 5 단계 on Google, you do not find the information you need! Here are the best content compiled and compiled by the https://toplist.cazzette.com team, along with other related topics such as: 위험 관리 5 단계 위험관리 4가지, it 위험관리, 의료기기 위험관리, 정보보호 위험관리 가이드, DoA 산정 기준, 위험관리 요소 위험 감지, 위험관리란, 위험 관리 요소 위험 소통
- 위험관리 전략 및 계획 수립 …
- 위험 분석 …
- 위험 = [발생가능성] * [손실의 정도]
- 위험 = f(자산, 위협, 취약성) …
- – 자산 (assets) : 보호해야 할 대상.
Table of Contents
위험 관리 (Risk management)
- Article author: plummmm.tistory.com
- Reviews from users: 39515
Ratings - Top rated: 4.3
- Lowest rated: 1
- Summary of article content: Articles about 위험 관리 (Risk management) Updating …
- Most searched keywords: Whether you are looking for 위험 관리 (Risk management) Updating 정보보호 대책수립, 조직체계에 대해 알아보았으니 이제 위험관리에 대해 알아볼 차례이다. 위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해 위험을 분석하고 그..IT보안, 재테크 그 외 여러가지 주제로 글 쓰고 있습니다.
- Table of Contents:
위험 관리 (Risk management)
티스토리툴바
AhnLab | 보안 이슈
- Article author: www.ahnlab.com
- Reviews from users: 16366 Ratings
- Top rated: 4.3
- Lowest rated: 1
- Summary of article content: Articles about AhnLab | 보안 이슈 위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 … …
- Most searched keywords: Whether you are looking for AhnLab | 보안 이슈 위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 … 보안 이슈, 보안트랜드, 보안 이슈 정보안랩이 최신 IT 및 보안 이슈를 알기 쉽게 풀어드립니다.
- Table of Contents:
위험관리 (Risk Management)
- Article author: retro-blue.tistory.com
- Reviews from users: 12030 Ratings
- Top rated: 3.6
- Lowest rated: 1
- Summary of article content: Articles about 위험관리 (Risk Management) 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, … 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 … …
- Most searched keywords: Whether you are looking for 위험관리 (Risk Management) 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, … 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 … ■ 위험관리 (Risk Management) – 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지..나만의 Data Science 자습소
- Table of Contents:
위험관리 (Risk Management)
티스토리툴바
[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그
- Article author: m.blog.naver.com
- Reviews from users: 4020 Ratings
- Top rated: 4.4
- Lowest rated: 1
- Summary of article content: Articles about [ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그 위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 … …
- Most searched keywords: Whether you are looking for [ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그 위험을 구성하는 요소는 자산, 위협, 취약성이며, 위험이 현실화되어 나타났을 경우 손실의 정도는 자산의 중요도에 의해서 판단할 수 있으므로 손실의 …
- Table of Contents:
카테고리 이동
innerbus
이 블로그
컴플라이언스
카테고리 글
카테고리
이 블로그
컴플라이언스
카테고리 글
![[ISMS] 정보보호 위험관리 (정보보호관리 5단계 12개 관리과정 중 5~7번 째 단계) : 네이버 블로그](https://blogimgs.pstatic.net/nblog/mylog/post/og_default_image_160610.png)
¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À
- Article author: www.iscqa.com
- Reviews from users: 10783 Ratings
- Top rated: 4.6
- Lowest rated: 1
- Summary of article content: Articles about ¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À 즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다. 3. 위험관리 절차 위험관리는 다음의 5단계로 수행된다. (1) 위험확인 …
- Most searched keywords: Whether you are looking for ¢À±¹Á¦Ç¥ÁØÀÎÁõ¿ø¢À 즉, 어떻게 매년 지출비용을 안정화시키는지가 중요한 포인트가 되는 것이다. 3. 위험관리 절차 위험관리는 다음의 5단계로 수행된다. (1) 위험확인
- Table of Contents:
위험 관리 5 단계
- Article author: jksarm.accesson.kr
- Reviews from users: 40197 Ratings
- Top rated: 3.1
- Lowest rated: 1
- Summary of article content: Articles about 위험 관리 5 단계 4. 위험관리 프로세스의 기록관리표준. 대응 전략. 4.1 전략수립 단계. 4.2 위험 식별 및 분석 단계. 4.3 위험 평가 단계. 4.4 위험 대응 단계. 5. 결론 및 제언. …
- Most searched keywords: Whether you are looking for 위험 관리 5 단계 4. 위험관리 프로세스의 기록관리표준. 대응 전략. 4.1 전략수립 단계. 4.2 위험 식별 및 분석 단계. 4.3 위험 평가 단계. 4.4 위험 대응 단계. 5. 결론 및 제언.
- Table of Contents:
5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자
- Article author: naltaengi.tistory.com
- Reviews from users: 1333 Ratings
- Top rated: 4.7
- Lowest rated: 1
- Summary of article content: Articles about 5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자 — 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?) … — 소규모조직이나, … …
- Most searched keywords: Whether you are looking for 5과목 정보보안 관리 및 법규 Part1 :: 날탱이가 되고픈 개발자 — 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?) … — 소규모조직이나, … 1. 정보보호 관리 (1) 정보보관리 개념 1) 정보보호의 목적 및 특성 – 정보보호의 정의 : 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기..
- Table of Contents:
위험 관리 5 단계
- Article author: www.ktr.or.kr
- Reviews from users: 14751 Ratings
- Top rated: 3.1
- Lowest rated: 1
- Summary of article content: Articles about 위험 관리 5 단계 3. 일반적인 제품 설명 (대상 품목 및 등급 표기). 4. 의료기기 각 수명주기(Life cycle)의 단계 식별 및 서술. 5. 책임과 권한. 6. 위험관리활동 검토 요구사항. …
- Most searched keywords: Whether you are looking for 위험 관리 5 단계 3. 일반적인 제품 설명 (대상 품목 및 등급 표기). 4. 의료기기 각 수명주기(Life cycle)의 단계 식별 및 서술. 5. 책임과 권한. 6. 위험관리활동 검토 요구사항.
- Table of Contents:
See more articles in the same category here: Top 83 tips update new.
위험 관리 (Risk management)
반응형
정보보호 대책수립, 조직체계에 대해 알아보았으니 이제 위험관리에 대해 알아볼 차례이다.
위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해
위험을 분석하고 그에 대한 보호대책을 마련하는 것을 말한다.
위험 관리는 총 5가지 단계로 이루어진다.
1. 위험관리 전략 및 계획 수립
위험관리를 위해 전략과 계획 그리고 우선순위를 결정하는 과정이다.
2. 위험 분석
위험 분석은 말그대로 위험을 끼칠 수 있는 사고에 대해 분석하는 과정이다.
위험은 아래와 같은 공식으로 성립된다.
위험 = [발생가능성] * [손실의 정도]
위험 = f(자산, 위협, 취약성)
위험의 구성요소에는 4가지가 있다.
– 자산 (assets) : 보호해야 할 대상.
– 위협 (threats) : 자산에 손실을 초래할 수 있는 잠재적 원인, 의도적 위협과 우연한 위협으로 나뉨.
– 취약성 (Vulnerability) : 잠재적인 위협의 이용 대상.
– 정보보호대책 (Safeguard) : 위험에 대한 물리적, 기술적, 관리적 대응책을 말한다.
위 4가지는 위험과 아주 밀접한 상관관계를 갖고있다. (구성요소니까 당연한???)
이 위험분석 과정은 국제 표준 지침인 ISO/IEC 13335-1에서 크게 4가지 전략을 제안한다 .
2-1. 위험분석 접근법
* 베이스라인 접근법 (Baseline Approach)
– 표준화된 보호대책 체크리스트를 가지고 점검하는 접근법.
– 따로 위험분석을 실시하지 않고 이미 나와있는 체크리스트로 점검한다.
– 주로 소규모 조직에서 사용된다.
* 비정형 접근법 (Informal Approach)
– 방법론에 의거하지 않고 경험자의 지식으로 위험분석
– 경험에 의존하기에, 초고수가 맡아야 한다.
* 상세위험분석 (Detailed Risk Analysis)
– 세부적인 단계를 밟아 위험분석 하는것. 가장 적절한 대처가 가능한 접근법
– 많은 시간과 노력이 들어가고, 여기 또한 고급 인력이 필요하다.
위와 같은 세부적인 과정을 통해 진행된다. 자세한 설명은 필요 없이 이름만 보면 알 수 있다.
순서는 웬만하면 외워두는 것이 좋을 것 같다.
* 혼합접근법 (Combined Approach)
– 상세위험분석을 수행하고, 그 외 영역은 베이스라인으로 접근하는 방법.
– 비용과 자원을 효과적으로 사용할 수 있고, 식별 속도가 빨라 많이 사용된다.
그리고 다음은 위험분석 방법론에 대해서 알아보자.
2-2. 위험분석 방법론
* 정량적 분석방법
위험을 손실액과 같은 숫자값으로 표현함.
ALE(연간손실액) = SLE * ARO
SLE(단일예상 손실액) = AV(자산가치) * EF(노출계수)
예를 들어, 10년에 한번 태풍이 불어 회사 시설에 50%가 손상 된다고 치자.
회사 시설은 $200,000이다. 이때 연간 손실액을 구하면?
SLE = 200,000*0.5 = 100,000
ALE = 100,000*0.1 = 10,000
이러한 방식을 이용하여 예산계획에 활용이 가능하다. 하지만 분석에 너무 오버헤드가 크다.
정량적 분석방법은 3가지 방법들이 있다.
– 과거 자료 분석법 : 과거자료를 통해 위험 발생 가능성을 분석하는 방법. 표본이 많을수록 좋지만.. 과거는 과거일뿐
– 수학공식 접근법 : 과거자료 분석이 힘들 때 사용한다. 위험발생 빈도를 수학적 공식으로 계산하여 계량화 하는 것.
– 확률분포법 : 미지의 사건을 확률적 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법. 정확성 낮다.
정량적 분석방법의 장/단점을 알아보자.
– 장점 : 객관적이고 수치로 표현되기 때문에 이해가 쉽다. 성능평가에 용이하다.
– 단점 : 계산이 복잡해서 시간, 노력, 비용이 많이 든다. 그리고 자동화 도구를 이용하여 신뢰도가 벤더에 의존됨.
* 정성적 분석방법
어떠한 위험에 대해 ‘매우높음’, ‘높음’, ‘보통’, ‘낮음’ 등으로 표현하는 것이다.
그냥 표에다가 높음 낮음 표시하는거다. 이것 또한 몇가지 방법이 있다.
– 델파이법 : 전문가 집단 의견을 추출하고 종합하기 위해 동일한 전문가 집단에게 설문조사하여 의견 정리하는 방법.
비용/시간은 적게들지만 정확도가 낮다.
– 시나리오법 : 어떤 사실도 기대대로 되지 않는다는 가정하에 시나리오를 통하여 분석하는 방법. 정확도 낮다.
– 순위결정법 : 비교우위 순위 결정표에 위험 항목들의 순위를 결정하는 방법.
– 그 외 : 질문서법, 브레인스토밍, 스토리보딩
정성적 분석방법의 장단점을 알아보장
– 장점 : 계산에 대한 노력/비용이 적게들고, 수치로 표현된 값은 평가할 필요가 없다.
– 단점 : 주관적이라 신빙성이 떨어진다. 성능추적이 어렵고, 결과를 수치로 표현 불가능하다.
3. 위혐 평가
자 이제 다음 단계인 위험평가 단계에 대해 알아봅시다.
이 단계는 위험분석 한 결과를 바탕으로 기밀성, 무결성, 가용성에 따른 잠재적 손실규모를 평가하는 단계이다.
* 정량적 방식의 위험평가
자산의 가치는 금액, 위험은 연간 발생률, 취약성은 백분율로 평가하는 방법
연간예상손실액 = (자산가치) * (연간발생횟수) * (취약성%)
* 정성적 방식의 위험평가
자산, 위험, 취약성 3가지를 3점 척도로 평가하는 방법이 일반적이다.
3점 척도 평가 더하기 방식은 위 표와 같이 쓴다.
* 목표 위험 수준 및 우선순위 결정
위험 평가가 끝나면 수용 가능한 위험수준 및 우선순위를 결정해야 한다.
수준이 높은 위험과 낮은 위험에 대한 대비책을 사전에 정의하지 않으면 일관성이 결여되니까
반드시 필요하다.
4. 위험처리 방법
자 이번에는 위험이 발생했는데, 수용가능한 범위를 넘어섰을 때, 위험을 어떻게 처리하는지 알아보자.
– 위험수용 : 위험의 잠재 손실 비용을 감수하는 것. 일정 수준이하로 감소시키고 사업을 계속 진행한다.
– 위험감소 : 위험을 감소시킬 대책을 마련하는 것. 비용이 많이 드니까 비용분석을 실시한다.
– 위험회피 : 위험이 존재하는 사업, 프로세스를 진행하지 않는 것을 말한다.
– 위험전가 : 보험이나 외주 등으로 잠재적 위험을 제3자에게 전가하는 방법이다.
반응형
[Expert Column] ‘위험관리’ 단계별 따라 하기
그 동안 ‘월간 안’을 통해 정보보호 컴플라이언스에 관한 내용을 여러 차례 다룬 바 있다. 이번에는 보안 활동의 핵심이라 할 수 있는 ‘위험관리’에 대해 알아보고자 한다. ‘위험관리’는 정보보호 법령과도 밀접한 관계가 있다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’(이하 정통망법)에서 요구하는 정보보호관리체계인증의 핵심적인 단계가 바로 위험관리이기 때문이다.
정통망법 제47조(정보보호관리체계의 인증)는 일정 기준(정보통신서비스 부문 전년도 매출액이 100억 원 이상이거나 전년도 말 기준, 직전 3개월 간의 일일 평균 이용자 수가 100만 명 이상인 경우)에 해당하는 기업은 정보보호관리체계인증(이하 ISMS)을 의무적으로 취득해야 한다고 명시하고 있다.
[그림 1] 정보보호관리체계 5단계 관리 과정 (*출처: 한국인터넷진흥원)위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 접근법, 상세 위험 분석, 복합 접근법 등 여러 기법이 있다.
이 글에서는 일반인, 즉 보안 전문지식이 높지 않은 사람이 위험관리의 개념을 이해하고 현실에서 적용할 수 있도록 위험 분석을 예를 들어 쉽고 간략하게 설명하겠다. 각 단계별로 사례를 통해 설명하기 위해 가상의 실습자를 설정하였는데, 한 사람은 기업 인사팀 직원이고 다른 사람은 한 아이의 아버지이다. 기업 담당자가 아닌 일반인을 예로 든 까닭은 위험관리가 비즈니스에서만 쓰는 것이 아니라 일상에서도 활용할 수 있는 유용한 지식이기 때문이다.
1단계: 나에게 소중한 대상은 무엇인가 – 자산 식별
위험관리에서 자산을 식별하는 것은 가장 먼저 하는 일이자 핵심이 되는 일이다. 자산(Asset)이란 ‘가치 있는 대상’을 뜻한다. 기업의 자산이라면 경제적 가치를 중심으로 하겠지만 개인에게 있어서는 어떤 의미로든 가치가 있다면 그 대상을 자산으로 보면 된다. 자산이 중요한 이유는 그것이 보안의 목적이자 활동 근거이기 때문이다.
보안(保安)은 ‘안전하게(安) 지킨다(保)’는 뜻이다. 안전하게 지키기 위해서는 지키고자 하는 대상이 있어야 하고, 그 대상은 지킬 가치가 있는 것이라야 할 것이다. 그러한 대상이 무엇인지 파악하고 지켜야 할 이유를 납득하며 지키는 주체가 누구인지 확실히 아는 것이 위험관리의 시작이자 이후의 과정을 관통하는 중추인 것이다.
자산의 내용을 파악했다면 자산을 지킬 책임이 누구에게 있는지, 자산의 손실이 미칠 영향이 어느 정도인지 그 중요도를 정량적 또는 정성적으로 표현한다. 사례에서 기업의 정보 자산을 취급하는 안전해 대리는 자산 가치를 3점 단위로 정량 평가하고 인자한 씨의 경우는 정성적으로 표현하였다.
2단계: 소중한 대상(자산)에 해를 끼칠 수 있는 요소는 무엇인가 – 위협 분석
위협(Threat)이란 자산의 속성을 훼손할 수 있는 내•외부의 요인이다. 정보보호 분야에서 안전하게 유지해야 할 자산의 속성은 ▲가용성(Availability) ▲무결성(Integrity) ▲기밀성(Confidentiality) 등 세 가지이다.
가용성이란 어떤 대상의 지속적인 사용을 보장하는 것으로, 정보시스템이라면 서비스가 장애 없이 운영되는 것이고 사람이라면 아프지 않고 정상적인 활동이 가능한 상태라 할 수 있겠다. 무결성은 정보의 내용이 변조되지 않고 일관성을 유지할 수 있는 상태를 뜻한다. 예를 들어, 은행 전산시스템이 해킹되어 통장 잔고가 1억 원에서 1원으로 바뀌었다면 무결성이 훼손되었다고 할 수 있다. 기밀성은 정보에 접근할 수 있는 권한의 차등성이 유지되는 것이다. 쉽게 말해 다른 사람이 알면 안 되는 내용이라면 그들이 알 수 없도록 지켜져야 한다는 뜻이다.
위협의 정도는 위협이 미칠 영향과 위협이 발생할 빈도를 고려하여 측정하는 것이 일반적이다. 자주 발생하더라도 별다른 영향이 없는 위협이 있을 수 있고, 딱 한 번이더라도 돌이킬 수 없는 손실을 입히는 위협도 있을 것이다.
인자한 씨라면 아이가 놀다가 넘어지는 정도는 여러 번 발생하더라도 심각한 영향은 없는 위협으로 볼 수도 있다. 반면 교통사고는 단 한 번 일어나더라도 치명적인 위협일 것이다. [표 1]의 평가 모델은 기업의 위험 분석에 쓰이기는 하지만 이것이 절대적인 기준은 아니다. 기업 나름의 기준을 정하여 일관성 있게 적용한다면 그것으로 충분하다.
[표 1] 위협 평가 모델 (*출처: 한국인터넷진흥원)3단계: 위협에 대한 약점은 무엇인가 – 취약성 분석
취약성(Vulnerability)이란 위협에 대응하여 위험의 실현 가능성을 높이는 요인이다. 자산에 내재된 단일한 요소를 뜻하지만 현실에서는 여러 요소의 결합이나 특정한 상황을 포함할 수도 있다. 예컨대 B형 간염 항원이라는 위협에 대해서 항체가 없는 상태라면 ‘B형 간염 항체 없음’이 취약성이 된다.
정보통신서비스와 관련한 취약성은 발견된 내용이 너무 많아 일종의 사전(Dictionary)이 구축되어 있을 정도다. cve.mitre.org와 같은 사이트를 참고하면 도움이 될 것이다.
안전해 대리의 인터뷰에 따르면, ‘채용시스템 장애’라는 위협에 대한 취약성은 데이터 백업이 되지 않고 있는 상황이라 할 수 있다. 입사지원자의 정보를 출력한 문서가 관리 부실로 방치되고 있다는 점도 서류 분실에 따른 위험을 높이고 있음이 분명하다. 한편 인자한 씨는 아이가 건널목을 건너다가 교통사고를 당할 수도 있다는 위험과 관련해, 관리가 되지 않는 아침 2개 구간과 방과 후 5개의 건널목 모두에 보호 방책이 없는 환경을 우려하고 있다.
취약성의 영향도는 위협이 작동할 여지를 크게 한다고 판단될수록 심각하다고 볼 수 있다. 사례에서는 VH(Very High), H(High)와 같은 형식으로 표현했지만 숫자로만 표시해도 무방하고 다른 어떤 표현을 써도 관계없다. 단지 각각의 취약성 정도가 동일한 수준이 아닐 때 그 차이를 식별할 기준만 명확하면 된다.
4단계: 얼마나 위험한 것인가 – 위험 평가
위험 평가는 앞의 1,2,3 단계에서 측정한 자산 중요도, 위협 정도, 취약성 정도를 입력 값으로 하여 위험 수준이라는 출력 값을 얻고 어느 수준까지 위험을 수용할지 판단하는 과정이다. 국제공인 정보시스템 보안전문가(CISSP) 가이드북에는 다음과 같은 수식으로 위험이 표현되어 있다.
이 수식에서 곱셈 기호(x)는 위험 수준을 구하기 위해서는 3가지 입력 값을 곱하라는 뜻이라기보다는 어느 하나의 값이 0이라면 출력값인 위험 역시 0으로 보아도 된다는 의미로 이해하는 것이 좋겠다.
즉, 아무리 큰 위협이 있다 하더라도 그 위협이 가해질 자산이 없다면 위험이란 의미가 업고, 자산이 있고 위협이 있다 하더라도 취약점이 전혀 없어 위협이 작동할 여지가 없다면 이 또한 위험은 없는 것과 같다는 뜻이다. 실제 위험수준의 계산은 앞에서 구한 3가지 요소들의 측정값을 1~3점이나 1~5점 범위로 구분한 다음, 이를 합산하는 방법이 주로 쓰인다. 이를 기준으로 안전해 대리와 인자한 씨의 위험평가 결과를 보면 다음과 같다.
어떤 방식으로 위험 정도를 산출하는가는 중요한 문제가 아니다. 위험평가를 하는 이유는 위험에 대처할 기준을 정하기 위한 것이다. 위험을 처리하려면 대개 비용이 소요되기 마련인데, 비용은 한계가 있기 때문에 의사결정이 필요하다. 만약 비용이 무한정이고 시기적으로 급박한 정도도 동일하다면(시간도 비용이다), 굳이 위험평가를 할 필요가 없다. 위험 정도를 측정한 뒤 ‘수용할 수 있는 수준’ 이상의 위험에 대해서만 비용을 들여 대응하는 것으로 결정하는데, 이 ‘수용할 수 있는 수준’을 보안 분야에서는 DoA(Degree of Acceptance)라고 한다.
안전해 대리의 경우, 해당 회사에서 DoA를 11로 정했다면 위험 정도가 11을 초과하는 경우에만 위험 대응 전략을 고려하고 그 이하의 위험에 대해서는 감수하거나 잠정적으로 대책을 보류하는 것으로 결정한다. 인자한 씨는 어떻게 해야 할까? 인자한 씨의 자산 가치는 사실상 평가 불가능하다. 부모가 아니더라도 어린 아이가 교통사고로 인해 중상을 입거나 생명을 잃었을 때 입을 손실이나 영향을 가늠하는 일은 상당히 어렵다. 결과적으로 인자한 씨는 ‘아이의 교통사고’라는 위험에 대해서 ‘위험 감수’라는 선택은 불가능하며 어떤 방법이든 위험에 대처할 방법을 찾아야만 한다.
5단계: 어떻게 위험에 대응할 것인가 – 위험대응전략
이제 위험관리의 마지막 단계에 이르렀다. 위험에 대응하는 전략은 일반적으로 ▲회피 ▲전가 ▲감소 ▲수용 등 4가지로 분류하곤 한다.
‘회피’란 말 그대로 위험이 발생할 상황 자체를 피하는 것이다. 연인과 야외로 피크닉을 가기로 했는데 오늘 비가 올 확률이 60%라는 일기예보를 들었다고 하자. 이때 위험은 ‘비가 와서 피크닉을 망치는 것’이고 위협은 ‘비’, 취약점은 ‘야외라 마땅히 비를 피할 곳이 없다’라는 정도로 볼 수 있다. 이 경우 취할 수 있는 대응 전략 중 하나는 비 올 가능성이 높은 오늘의 피크닉을 아예 취소하는 것인데, 이런 선택을 ‘회피’라고 볼 수 있다.
‘전가’는 위험으로 인한 손실을 누군가에게 분담시키는 선택이다. 전가의 대표적인 예는 ‘보험’이다. 가능성 있는 위험이 실제로 발생하면 보험사를 통해 그에 대한 보상을 받음으로써 손실의 규모를 줄이는 것이다.
‘감소’는 위험을 줄이기 위한 대책을 구현하는 것이다. 앞서 예를 든 피크닉 경우라면, 우산을 준비해 가는 것이 위험감소 대책이 될 것이다. ‘우산’이라는 비용은 들지만 비가 내렸을 때 망쳐버릴 수 있는 피크닉의 위험을 얼마쯤은 줄여줄 것이기 때문이다.
마지막 선택은 ‘위험 수용’이다. 이는 위험이 발생할 가능성을 그대로 받아들이는 것이다. ‘피크닉 가서 비가 오면 그냥 비를 맞지 뭐. 그것 때문에 여자친구가 화를 낸다면 어쩔 수 없고.’ 대범하거나 미련한 남자의 선택인 셈이다.
전략 결정에 가장 큰 영향을 미치는 것은 위험평가와 마찬가지로 ‘비용’이다. 위험으로 인한 ‘손실’이 위험을 억제하는데 드는 비용보다 적다면, 그 손실은 감수하는 편이 낫다는 것이 기본 논리이다. 역설적이지만 위험관리의 목적은 위험을 아예 제거하는 것이 아니라 수용할 수 있는 수준까지 낮추는 것이다. (물론, 예외도 있긴 하다.)
이제 안전해 대리와 인자한 씨의 위험대응 전략을 살펴보는 것으로 실습을 마무리하자.
결국 안전해 대리와 인자한 씨 모두 위험을 감소시키는 방향으로 전략을 결정했다. 사례에서는 취약점이나 위협의 수가 적기 때문에 한 가지 전략을 선택했지만 실제 기업 운영이나 아이를 키우면서 직면하게 되는 위험은 매우 다양할 수 있다. 그에 따른 전략과 대책 또한 다양하게 도출될 수 있을 것이다.
변화하는 위협, 지속적인 위험관리 필요
끝으로 인자한 씨를 사례로 든 이유 또는 변명을 다시금 하고자 한다. 기업 보안 담당자라면 불필요한 사례라고 느꼈을 듯도 싶다. 그럼에도 불구하고 굳이 아이를 안전하게 지키고 싶은 아버지를 사례로 언급한 이유는 위험관리에서 가장 중요한 출발점은 자신이 지키고자 하는 대상에 대한 애정과 관심이라고 생각하기 때문이다. 아이들은 시시각각 성장하고 변한다. 기업의 자산도 처음 상태 그대로 있는 것이 아니다. 서버 시스템이라면 초기의 가용성과 5년 뒤, 10년 뒤의 가용성이 같은 상태일 수 없다. 위협 또한 고정적이지 않다. 초등학교 1학년 때는 길을 건너는 일조차 위험일 수 있지만 대학생이 된다면 그때는 또 다른 위험에 대해 고려해야만 한다. 기업 자산에 대한 위협 역시 늘 다양한 유형으로 바뀌고 늘어난다.
따라서 위험관리란 1회성으로 끝낼 일이 결코 아니다. 자산과 위협과 취약점의 변화를 지속적으로 주시하고 종합적인 위험을 수시로 가늠하면서 소중한 대상이 안전하게 유지될 수 있도록 돌보는 영속적인 과정이다. 만약 인자한 씨가 아들 걱정하듯 기업의 직원들이 자신에게 소중한 자산이 무엇인지 인식하고 지키고자 한다면 위험관리 방법론이 무엇이든 중요치 않다고 본다. 내게 전문 지식이 없다면 아이가 아플 때 병원 진료를 받듯이 전문가의 도움을 받으면 된다. 중요한 것은 어떤 상황에서도 내 자산은 내가 돌보겠다는 책임감과 의지가 보안의 핵심이라는 것이다. 손발이 오그라들 수 있는 멘트로 글을 맺는다. 보안은 사랑이다. 사랑하면 지키게 된다. @
위험관리 (Risk Management)
반응형
■ 위험관리 (Risk Management)
– 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정
– 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, 이에 대한 위협 및 취약점을 분석하여 위험을 측정하고, 이를 조직에 적합한 위험수준으로 조정하기 위해 보안대책을 선택하는 일련의 활동이다
– 위험관리는 위험분석과 위험평가가 주된 활동이다
– 위험관리는 보호대상, 위험요소, 취약점 분석 등을 통한 위험분석, 적절한 메커니즘의 선택, 선택된 메커니즘의 구현과 시험, 구현된 메커니즘의 보안성 평가, 종합적인 보안의 재평가를 포함
– 위험평가는 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계
★ 위험관리 목적
① 위험분석에서 나온 근거에 바탕을 두며 불필요하거나 과도한 정보보호 투자를 방지한다
② 자산에 대한 위험을 분석, 비용 효과적 측면에서 적절한 보호대책을 수립한다
③ 위험관리는 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정이다. 즉 위험을 무조건 최소한으로 감소시키는 것 보다는 수용할 수 잇는 수준으로 감소시키는 것이 목적이다
★ 위험관리의 순서
– 위험관리 순서는 자산식별 및 평가, 위협식별, 취약점식별, 영향평가, 대책선정, 권고안 작성 순으로 진행
– 자산식별 및 평가 단계는 조직의 업무와 연관된 정보, 정보시스템을 포함한 정보자산을 식별하고, 해당 자산의 보안성이 상실되었을 때의 결과가 조직에 미칠 수 있는 영향을 고려하여 가치를 평가한다
– 위험관리 순서는 크게 ‘위험분석 → 위험평가 → 대책설정’의 3가지 과정으로 구성된다
■ 3단계 위험관리 순서
1) 위험분석
– 자산의 위협과 취약점을 분석하여 보안 위험의 내용과 정도를 결정하는 과정
– 위험을 분석하고 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위험의 내용과 정도를 결정하는 과정을 의미
– 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다
2) 위험평가
– 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계
– 위험평가의 목적은 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것이다
– 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고, 자산별 위협, 취약점 및 위험도를 정리하여 위험을 평가한다
3) 대책설정
– 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행계획을 구축한다
■ 위험분석
– 정보기술 보안관리(IT Security Management)를 수행하기 위해서 필수적인 과정 중의 하나이다
– 실질적으로 가장 핵심이 되는 부분
– 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다
– 위험분석의 목적은 보호되어야 할 대상인 정보시스템과 조직의 위험을 측정하고, 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것이다
★ 구성요소
① 자산
– 위험관리를 수행하는 가장 큰 목적은 조직의 자산을 보호하기 위함이다. 자산은 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소를 포함한다. 이러한 자산은 조직의 업무 특성과 시스템 구성환경에 따라 그 가치와 중요도가 다르다
– 자산의 식별된 위험을 처리하는 방안으로는 위험 수용, 위험 회피, 위험 전가 등이 있다
– 자산의 가치 평가를 위해 자산구입비용, 자산유지보수비용 등을 고려할 수 있다
– 자산의 적절한 보호를 위해 소유자와 책임소재를 지정함으로써 자산의 책임추적성을 보장받을 수 있다
– 자산은 조직이 보호해야 할 대상으로서 주로 정보(Data)와 장비(Hardware) 및 소프트웨어(Software), 기반시설 등을 말하며 관련 인력과 기업 이미지 등의 무형 자산을 포함하기도 한다. 자산의 가치 평가 범위에 데이터베이스, 계약서, 시스템 유지보수 인력 등도 포함된다
② 위협
– 자산이 가지고 있는 고유의 취약점을 이용하여 자산에 직접적인 피해를 줄 수 있는 요소로써, 자산이 가진 취약점을 통해서만 자산에 피해를 줄 수 있다
③ 취약점
– 취약점은 자산의 약점(weakness) 또는 보호대책의 결핍으로 정의할 수 있다
– 취약점은 위협이 조직에 원하지 않는 사건이나 결말을 가져오는 것을 가능하게 만드는 통제 및 환경상의 결함이나 조건으로 취약점은 존재 자체만으로는 자산에 어떠한 영향이나 피해를 주지 못한다
– 자산이 보유하고 있는 약점으로 위협에 의해서 이용된다. 이러한 취약점은 네트워크나 시스템 장비가 개발될 때 가지고 있는 고유한 약점이거나, 기존의 시스템 구성에 새로운 장비가 추가되어 생겨날 수 있는 약점일 수도 있다
④ 대응책
– 자산의 취약점이 위협에 노출되어 자산에게 피해를 입힐 수 있는 것을 막아주는 각종 절차, 방법, 기술, 시스템 등이 있다. 보안의 목적을 최대한 달성하기 위하여 여러 종류의 대응책들이 서로 조합을 이루어 다른 종류의 대응책을 구성해 낼 수도 있다
⑤ 위험
– 위협의 발생으로 인하여 자산에 실질적으로 가해진 결과이다. 이로 인하여 자산 자체가 파괴되거나 구성 환경이 변경될 수 있으며, 자산에 저장되어 있는 정보들이 변조, 폭로, 서비스 거부 등의 피해를 입을 수 있다. 이는 자산에 대한 기밀성, 무결성, 가용성, 인증, 신뢰성 등에 손실을 주게 된다
– 위험은 위협 정도, 취약점 정도, 자산 가치 등의 함수관계로 산정할 수 있다
■ 위험분석 접근법
1) 기준선 접근법 (Baseline Approach, 기본통제 접근법)
– 기준선 접근법은 표준화 된 보호대책의 세트를 체크리스트 형태로 구현하여 이를 기반으로 보호대책을 식별하는 방법
– 모든 시스템에 대하여 기본적이고 일반적인 수준에서 표준화 된 정보보호 대책 세트를 체크리스트 형태로 제공하는 것을 목표로 함
– 글로벌 선도 기업이 수행하고 있는 가장 이상적인 업무 수행 방법(업계 최선 실무)을 벤치마킹하여 위험분석을 시행한다
– ISO/IEC 17799와 같은 정보보호관리체계 표준에 나열된 보안 통제사항을 근거로 시스템에 대한 보안 위험을 분석하는 방법이다. 즉 표준에 나열된 보안 통제사항을 체크리스트 형태로 비교하면서 보안 위험을 분석한다
☆ 장점
– 위험분석에 필요한 비용 및 시간을 최소화 할 수 있다
☆ 단점
– 기본 통제의 수준이 너무 높으면 비용이 과다 지출되는 과보호의 위험이 있으며, 또한 너무 낮으면 부족한 보호가 될 가능성이 상존한다
– 보안환경 변화에 따른 요구사항 반영이 적절한 수준으로 조정되지 않으면 새로운 취약점에 대한 통제가 미비될 수 있다
– 점수에 집착 할 수 있고 계량화가 어려운 단점이 있으며, 소규모 조직에 적합하다
2) 비정형화 된 접근법 (Informal Approach, 비형식화 된 접근법)
– 정형화되고 구조화 된 프로세스를 사용하는 대신에, 분석을 수행하는 내부 전문가나 외부 컨설턴트의 지식과 전문성을 활용한다
– 모든 정보자산에 전문가 지식 및 경험을 활용하는 방법으로 전문가 판단법이라고도 하며, 중소규모 조직에 일반적으로 추천된다
☆ 장점
– 비용 대비 효과가 우수하며 중소규모 조직에 적합하다
– 상세 위험분석보다 빠르고 값싸게 수행될 수 있다
☆ 단점
– 비정형화 된 접근법으로 특정 위험이 고려되지 않아 누락하는 경우가 발생할 수 있다
– 설정의 근거가 희박하며, 검토자의 개인적 경험에 지나치게 의존한다
– 전문성이 높은 인력이 수행하지 않으면 실패할 위험이 있다
– 측정의 완전도가 낮다
3) 상세 위험분석 접근법 (Detail Risk Analysis)
– 상세 위험분석 접근법은 자산의 가치 분석, 위협 분석, 취약점 분석을 수행하여 위험을 분석하는 방법이다
– 정형화되고 구조화 된 프로세스를 사용하여 모든 정보자산에 대해 상세 위험분석을 하는 방법이다
☆ 장점
– 자산가치, 위협, 취약점의 평가에 기초한 위험을 산정하므로 경영상 허용수준까지 위험을 줄이는 근거가 명확하다
– 계량적 수치화가 가능하다
– 평가의 완전도가 높다
☆ 단점
– 상당한 시간, 노력, 비용이 상당히 든다
– 고급의 숙련된 인력이 필요하다
4) 복합 접근법 (Combined Approach, 통합된 접근법)
– 기준선 접근법과 상세 위험분석 접근법을 조합하여 분석하는 방법으로 고위험 영역은 상세 위험분석을 수행하고, 다른 영역은 기준선 접근법을 사용하는 방식이다
☆ 장점
– 비용 및 자원을 효과적으로 사용할 수 있으며 고위험 영역을 빠르게 식별하고 처리할 수 있다
– 부분적 계량화가 가능하다
☆ 단점
– 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응이 이루어 질 수 있다
– 기준선 접근법이 부정확한 경우 상세 위험분석이 필요한 시스템이 누락될 위험이 있다
■ 정성적 위험분석과 정량적 위험분석
1) 정성적 위험분석
– 정성적 위험분석은 구성 요소와 손실에 대해 숫자와 화폐적 가치를 부여하는 대신에, 다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다
– 정성적 위험분석 기술은 판단, 직관, 그리고 경험을 포함한다
☆ 정성적 위험분석을 수행하는 경우
– 위험분석을 수행하는 직원이 정량적 위험분석 경험이 부족할 경우
– 위험분석 수행기간이 단기일 경우
– 조직이 위험분석을 수행하는 데 필요한 충분한 데이터를 제공할 수 없는 경우
☆ 장점
– 계산에 대한 노력이 적게 든다
– 정보자산에 대한 가치를 평가할 필요가 없다
– 비용/이익을 평가할 필요가 없다
☆ 단점
– 진단 및 결과가 기본적으로 주관적이어서 사람마다 결과가 달라질 수 있다
– 측정결과를 화폐가치로 평가하기 어렵다
– 비용/효과 분석에 있어 기회비용을 일반적으로 무시한다
– 주관적 측정치로 위험관리 목적들을 추적하기 어렵다
– 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있다
– 표준을 사용할 수 없다. 각각의 업체들은 자기만의 절차와 결과의 해석방법을 갖는다
* 정성적 위험분석 방법 종류
구분 설명 델파이법 – 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법
– 전문가 집단으로 구성된 위험분석 팀의 위험분석 및 평가를 통해 여러 가능성을 전제로 위협과 취약성에 대한 의견수렴을 통한 분석 방법
– 위험분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만 정확도가 낮음 시나리오법 – 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법이다
– 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석 팀과 관리충 간의 원활한 의사소통을 가능케 한다. 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다 순위결정법 – 순위결정법은 비교 우위 순위 결정표를 위험 항목들의 서술적 순위로 결정하는 방법이다
– 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법이다
– 위험분석에 소요되는 시간과 분석하여야 하는 자원의 양이 적다는 점이 있으나 위험 추정의 정확도가 낮다 퍼지 행렬법 – 복잡하고 비선형적인 시스템에 대한 정확한 모델링 없이 분석하는 방법이다
2) 정량적 위험분석
– 정량적 위험분석은 수학적 기법을 활용하여 자산에 대한 해당 위험도를 분석하는 방법으로, 위험에 대한 분석을 숫자나 금액 등을 이용하여 객관적으로 분석하는 것이다
– 정량적 위험분석은 평가 대상 자산의 화폐가치 산정이 가능한 경우로 자산 도입비용, 자산 복구비용, 자산 교체비용이 기준이 된다
– 정량적 위험분석을 통해 위험비용이 보안대책의 비용을 초과하는지 분석하는 것으로 많은 시간과 경험, 그리고 경험 많은 인력을 필요로 한다
– 분석 내 각 요소의 자산가치, 위협빈도, 취약의 심각성, 피해영향, 안정장치 비용, 불확실성, 그리고 개연성 항목이 수량화되어 전체적인 위험과 잉여 위험을 결정하기 위해 방정식에 입력된다. 이때 자동화 위험분석 도구가 많이 사용된다
☆ 정량적 위험분석을 사용하는 경우
– 조직의 데이터 수집, 보관 프로세스가 복잡한 경우
– 위험분석 수행 직원의 경험이 많은 경우
– 위험분석 수행기간이 장기일 경우
☆ 장점
– 객관적인 평가기준이 적용된다
– 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘된다
– 위험관리 성능평가가 용이하다
– 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해하기 쉽다
☆ 단점
– 계산이 복잡하여 분석하는 데 시간, 노력, 비용이 많이 든다
– 관리자는 결과값이 어떤 방법으로 도출되었는지 알 수 없다
– 자동화 도구 없이는 작업량이 너무 많으며, 위험분석의 신뢰도가 자동화 도구를 생산한 벤더에 의존된다
– 환경에 대한 자세한 정보의 수집이 필요하다
* 정량적 위험분석의 예
구분 설명 ALE (연간 예상 손실) – 자산가치 x 노출 계수 = 단일 예상 손실 (SLE)
– 단일 예상 손실 x 연간 발생률 = 연간 예상 손실 (ALE) 과거자료 분석법 – 과거자료 분석법은 과거의 자료를 통해 위험발생 가능성을 예측하는 방법으로써 과거 자료가 많을수록 분석의 정확도가 높아진다 수학공식 접근법 – 수학공식 접근법은 위험의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법이다
– 과거 자료 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는 데 유용하다. 위험을 정량화하여 매우 간결하게 나타낼 수 있다 (기대손실을 추정하는 자료의 양이 낮다) 확률 분포법 – 미지의 사건을 추정하는 데 사용되는 방법이다
– 미지의 사건을 확률적(통계적) 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다 (정확성이 낮다)
더보기 ■ 브레인스토밍 (Brain Storming) – 리더, 기록자 외에 10명 이내의 참가자(stomer)들이 기존의 관념에 사로잡히지 않고 자유로운 발상으로 아이디어나 의견을 내는 것 – 6~12명 정도의 사람들이 모여 20분~1시간 가량 문제에 관한 리더의 설명을 듣고, 가능한 많은 대체인을 제시하면 이들은 비판받지 않고 기록된다. 그 후 토의와 분석이 이루어진다 – 이의 목적은 보다 자유롭고 융통성 있는 사고를 증진하고 구성원들의 창조성을 촉진시키는 것이다. 브레인스토밍에서는 어떠한 내용의 발언이라도 그에 대한 비판을 해서는 안 되며, 오히려 자유분방하고 엉뚱하기까지 한 의견을 출발점으로 해서 아이디어를 전개시켜 나가도록 하고 있다. 이를테면, 일종의 자유연상법이라고도 할 수 있다 – 어떠한 아이디어도 평가받거나 비난받지 않아야 하며, 브레인스토밍의 목적은 아이디어 평가가 아니다 – 우습거나 독단적일지라도 다양한 아이디어가 용납되며, 질보다는 양을 추구하는 경향이 있다 – 타인의 아이디어와의 결합을 통해 새로운 아이디어와 의견을 발상하고, 각 아이디어는 개인이 아닌 집단에 속하게 된다 ■ 명목집단 기법 (Nominal Grouping Technique) – ‘명목(名目)’이란 독립적으로 행동하는, 이름만으로 집단을 구성함을 뜻한다. 사람들이 모이기는 하나 구두로 서로 의사소통 하도록 용납하지 않는 과정을 뜻한다 – 7~10명의 구조화 된 집단모임으로 테이블에 둘러앉기는 하지만 서로 말하지 않고 종이에 아이디어를 기록하고 5분 후에 각자가 한 아이디어를 발표함으로써 아이디어의 공유가 시작된다 – 지명된 한 사람이 기록자로서 흑판에 구성원 전체의 모든 아이디어를 익명으로 기록한다. 그때까지 토의는 시작되지 않는다. 이것이 첫 단계로써 통상 20분 전후가 걸린다 – 다음 단계는 투표를 하기 전에 각 아이디어에 대한 구조적 토의가 이루어지는 과정이다. 각 아이디어의 지지도를 분명히 하기 위해 질문이 계속 된다. 그 후 투표를 통해 우선순위가 결정된다. 구성원들이 대면한다는 사실만 제외하고는 델파이법과 유사하다
반응형
So you have finished reading the 위험 관리 5 단계 topic article, if you find this article useful, please share it. Thank you very much. See more: 위험관리 4가지, it 위험관리, 의료기기 위험관리, 정보보호 위험관리 가이드, DoA 산정 기준, 위험관리 요소 위험 감지, 위험관리란, 위험 관리 요소 위험 소통
