위험관리 방법론(기준선법, 상세위험분석)

기준선법
국내외 표준, 외국 컨설팅 업체의 기본 통제 등을 참조하는 위험 관리 방법론으로서 위험분석을 위한 자원이 필요하지 않고, 보호대책 선택에 들어가는 시간과 노력이 줄어드는 장점이 있다. 만약 기업이 선정한 기본 통제표준과 같은 환경에서 운영되는 조직의 시스템이 많고 사업 필요성이 비교 가능하다면 비용 효과적인 선택이 될 것이다. 고려사항으로 기본적인 보호대책이 너무 높게 설정되었다면 어떤 시스템에 대해서는 비용이 너무 많이 들고 너무 제한적이 되어 버리며, 기본적인 보호대책이 너무 낮게 설정되었다면 어떤 시스템에 대해서는 보안 결핍을 가져올 수 있다.

상세위험분석
① 위험분석 방법론으로 화폐가치로 표현이 가능하며 예산 수립에 유용한 값을 산출해 낼 수 있는 정량적 분석과 자산에 대한 화폐 가치 식별이 어려운 경우에 사용되는 정성적 분석법이 있다. 정량적 분석의 종류로는 ALE, 과거자료분석법, 수학공식법, 확률 분포법 등이 있으며, 정성적 분석의 종류로는 델파이법, 시나리오법, 순위결정법 등이 있다.

② 정량적 분석의 장점은 정보의 가치가 논리적으로 평가되고 수치로 표현되어 비교적 납득이 더 잘 되고 객관적인 평가기준이 적용되며 위험 관리 성능평가가 용이하다. 단점으로는 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다는 것이다. 수작업의 어려움으로 자동화 도구를 사용 시 신뢰도가 벤더에 의존된다는 점을 고려해야 한다.

③ 정성적 분석의 장점으로는 정보자산에 대한 가치, 비용, 이익을 평가할 필요가 없고 계산에 대한 노력이 적게 든다는 점이다. 단점은 측정기준이 지극히 주관적이어서 사람에 따라 달라질 수 있고 위험완화 대책의 비용 및 이익 분석에 대한 근거가 제공되지 않고 위험 관리 성능을 추적할 수 없다는 점이다.