정보유출 방지를 위한 위험관리란?

정보유출위험이란 자산에 발생할 가능성이 있는 손실의 기대치로서 자산의 가치 및 취약성, 위협요소, 보호 대책 등에 의해 영향을 받는 것을 말하며,
위험관리란, 회사 내 조직이 견뎌낼 수 있을 정도 이하로 위험을 줄이는 것을 뜻합니다.

위험관리가 필요한 이유?

어떠한 보안대책이나 대응수단을 강구하더라도 위험수준을 제로로 만드는 것은 불가능하기 때문에 잔여위험은 늘 존재합니다. 잔여위험을 수용하더라도 조직의 보안정책과 자산의 민감도, 비용대비 효과, 법 규제 등을 고려해야 합니다.

위험관리 방법

위험관리의 방법으로는 다음과 같은 것들이 있습니다.

1 정보자산 식별
정보를 잘 관리하기 위해서는 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정하여 목록을 작성하고 목록을 최신으로 관리해야 합니다.

2 현황 및 흐름분석
관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화합니다. 또한 이를 주기적으로 검토하고 업그레이드 하는 것이 필요합니다.

3 위험 평가
기업의 외부와 내부 환경분석을 통해 유형별로 위협정보를 수집하고 기업에 적합한 위험 평가 방법을 선정하여 위험을 평가합니다. 위험평가의 경우에도 주기적으로 연 또는 분기별 평가가 필요합니다.

4 보호대책 선정
위험 평가 결과를 통해 위험을 처리하기 위하여 기업에 필요한 보호대책을 선정하고, 보호대책의 우선순위와 예산, 일정 등을 포함한 이행계획을 수립하여 실시합니다.