위험인자(컴퓨팅)

정보 보안에서 위험 요소는 보안 위험의 가능성 또는 영향에 영향을 미치는 상황에 대한 집합적인 명칭이다.

정의들

페어

정보 리스크의 요인 분석(FAIR)은 IT 리스크에 영향을 미치는 여러 요인의 분석에 전념한다. 1단계 손실 사건 빈도 및 발생 가능한 손실 규모에서 시작하여 자산, 취약성(컴퓨팅)과 비교한 위협 에이전트 기능 및 보안 제어(대책이라고도 함) 강도, 에이전트가 접촉하여 실제로 이에 대해 조치를 취할 확률 등 다양한 수준에서 분해된다.e 자산, 이벤트에 대응할 수 있는 조직 능력 및 이해관계자에 미치는 영향.

이사카

위험 요소는 위험 시나리오의 빈도 및/또는 비즈니스 영향에 영향을 미치는 요인이다. 위험 요소는 서로 다른 성격을 가질 수 있으며 두 가지 주요 범주로 분류될 수 있다.^[1]

• 환경, 다음 항목으로 세분됨:
  • 내부 환경 요인은 항상 변경하기 쉬운 것은 아니지만, 기업의 통제 하에 상당 부분 있다.
  • 외부 환경 요인은 대체로 기업의 통제 밖에 있다.
• 조직의 역량, 다음 항목으로 세분화:
  • IT 리스크 관리 기능—기업이 리스크 IT 프레임워크에 정의된 리스크 관리 프로세스를 어느 정도까지 수행하는지 여부
  • IT 기능 -기업이 COB에 정의된 IT 프로세스를 얼마나 잘 수행하는지 여부IT
  • IT 관련 비즈니스 역량(또는 가치 관리) -기업의 가치 관리 활동이 Val IT 프로세스에 표현된 활동과 얼마나 밀접하게 일치하는지 여부

리스크 시나리오

IT 리스크 시나리오는 비즈니스에 영향을 미칠 수 있는 IT 관련 이벤트에 대한 설명으로, 언제, 그리고 언제 발생해야 하는지를 설명한다.

위험요인은 또한 실현되고 있는 시나리오의 인과적 요인 또는 취약성이나 약점으로 해석될 수 있다. 이러한 용어들은 리스크 관리 프레임워크에서 자주 사용된다.^[1]

위험 시나리오의 특징은 다음과 같다.^[1]

• 다음과 같은 위협 행위자:
  • 조직 내부(직원, 계약자)
  • 조직 외부(경쟁자, 비즈니스 파트너, 규제자, 신의 행위)
• 위협형
  • 악의적인
  • 우발적
  • 실패
  • 내추럴
• 이벤트
  • 공개,
  • 수정
  • 절도
  • 파괴
  • 불량 디자인
  • 실효성 없는 실행
  • 부적절한 사용
• 자산 또는 자원
  • 사람과 조직
  • 과정
  • 인프라 또는 시설
  • IT 인프라
  • 정보
  • 적용
• 시간
  • 기간
  • 발생 시기(중요 여부)
  • 감지할 타이밍
  • 반응할 타이밍

위험 시나리오 구조는 손실 이벤트(부정적인 영향을 발생시키는 이벤트), 취약성 또는 취약성 이벤트(손실 이벤트의 발생 규모나 빈도에 기여하는 이벤트)와 위협 이벤트(손실 이벤트를 트리거할 수 있는 동그라미 또는 이벤트)를 구별한다. 이러한 리스크를 혼동하거나 하나의 큰 리스크 리스트에 던지지 않는 것이 중요하다.^[2]

참고 항목

• 자산
• 공격(컴퓨터)
• 대책(컴퓨터)
• 컴퓨터 보안
• 컴퓨터 불안
• 정보 보안
• 정보보안 관리
• 이사카
• 정보보안 관리시스템
• ISO/IEC 27001,
• IT 리스크
• 위험
• 리스크 관리
• 오픈 그룹
• 위협(컴퓨터)
• 보안 통제
• 보안위험
• 보안 서비스(통신)
• 취약성(컴퓨팅)

참조