IT리스크

IT리스크, IT리스크, IT관련리스크 또는 사이버리스크는 정보기술과 ^[1]관련된 리스크입니다.정보는 오랫동안 가치 있고 중요한 자산으로 인식되어 왔지만 지식경제와 디지털 혁명의 발흥으로 조직은 정보, 정보처리, 특히 IT에 점점 더 의존하게 되었습니다.따라서 IT를 어떤 식으로든 손상시키는 다양한 이벤트 또는 사고는 중요하지 않은 규모에서 치명적인 규모까지 조직의 비즈니스 프로세스 또는 미션에 악영향을 미칠 수 있습니다.

IT리스크를 ^[2]평가하고 측정하기 위해서는 다양한 유형의 이벤트/인시던트와 예측된 영향 또는 결과를 평가하는 것이 일반적입니다.IT리스크를 측정하는 다른 방법으로는 일반적으로 위협, 취약성, 노출,^[3]^[4] 자산가치 등 기타 기여요소를 평가하는 방법이 있습니다.

정의들

ISO

IT 리스크: 특정 위협이 자산 또는 자산 그룹의 취약성을 악용하여 조직에 해를 끼칠 수 있습니다. 그것은 사건의 발생 확률과 ^[5]그 결과의 조합으로 측정된다.

국가보안시스템위원회

미국 국가 보안 시스템 위원회는 다양한 문서에서 위험을 정의했다.

2010년 4월^[6] 26일자 CNSS 지침 No. 4009에서 기본적이고 기술적인 초점을 맞춘 정의는 다음과 같다.
리스크 – 특정 취약성을 악용하여 특정 위협이 IS에 악영향을 미칠 수 있습니다.
National Security Telecommunications and Information Systems Security Instruction(NSTISSI) No.^[7] 1000은 NIST SP 800-30과 매우 유사한 확률 측면을 도입하고 있습니다.
리스크 – 위협이 발생할 가능성, 위협이 발생할 가능성 및 그에 따른 영향의 심각성 조합

National Information Assurance Training and Education Center는 IT 분야의 리스크를 다음과 ^[8]같이 정의합니다.

위협과 취약성 쌍의 결과로 존재하는 손실 가능성.위협 또는 취약성을 줄이면 위험이 줄어듭니다.
손실의 불확실성은 그러한 손실의 확률로 표현된다.
적대적 실체가 정보 목적으로 특정 전기통신 또는 COMSEC 시스템을 성공적으로 이용할 가능성.그 요인은 위협과 취약성입니다.
위협이 발생할 가능성, 위협이 발생할 가능성 및 그에 따른 악영향의 심각성의 조합.
특정 위협이 시스템의 특정 취약성을 악용할 가능성.

NIST

많은 NIST 출판물에서는 다양한 출판물에서 IT 맥락에서 위험을 정의하고 있습니다. 즉, FISMApedia^[9]^[10] 용어는 목록을 제공합니다.그 사이:

NIST SP 800-30에 ^[11]따르면:
리스크는 특정 위협 발생원이 특정 잠재적 취약성을 행사할 가능성 및 그 결과 발생하는 악영향이 조직에 미치는 영향의 함수입니다.
NIST FIPS^[12] 200부터
리스크 – 위협의 잠재적 영향과 위협의 발생 가능성을 고려하여 정보 시스템 운용에 따른 조직 운용(미션, 기능, 이미지 또는 평판 포함), 조직 자산 또는 개인에 미치는 영향 수준.

NIST SP 800-30의^[11] 정의:

IT관련 리스크

다음을 고려한 순 미션 영향:

특정 위협원이 특정 정보 시스템의 취약성을 행사(원래적으로 트리거 또는 의도적으로 악용)할 확률 및
영향을 미칠 수 있습니다.IT관련 리스크는 다음과 같은 이유로 인한 법적 책임 또는 미션 손실에서 발생합니다.
1. 정보의 무단 공개, 변경 또는 파괴(악의적 또는 우발적)
2. 의도하지 않은 오류 및 누락
3. 자연재해 또는 인재재해로 인한 IT 중단
4. IT시스템의 실장 및 운용에 있어서 충분한 주의와 노력을 기울이지 않는다.

리스크 관리의 통찰력

IT리스크는 향후 발생할 ^[13]수 있는 손실의 빈도와 규모입니다.

ISACA

ISACA는 IT 사용과 관련된 모든 리스크에 대한 엔드 투 엔드의 포괄적인 뷰를 제공하기 위해 리스크 IT 프레임워크를 발표했습니다.여기서 ^[14]IT 리스크는 다음과 같이 정의됩니다.

기업 내 IT의 사용, 소유, 운용, 관여, 영향 및 도입과 관련된 비즈니스 리스크

위험 IT,[14]IT위험에 따르면:그 기능의 또는 조직의 가치 감소 파괴를 가져올 수 있만을 미치는 부정적인 영향과 서비스의 공급,라 benefit\value 위험성 제고하거나 사업할 수 있도록 기술을 이용하거나 IT기회에 관련된를 포함하는 더 넓은 의미가 있다.프로과도한 지출이나 배송 지연 등의 측면에서 비즈니스에 악영향을 미치는 젝트 관리

IT리스크 측정

측정할 수 없는 것은 효과적이고 일관성 있게 관리할 수 없으며 정의하지 않은 것은 측정할 수 없습니다.^[13]^[15]

IT리스크(또는 사이버리스크)의 측정은 다양한 수준에서 발생할 수 있습니다.비즈니스 차원에서 리스크는 범주별로 관리됩니다.일선 IT부문과 NOC는 개별 리스크가 더 분산되어 있는 경향이 있습니다.이들 간의 연결 관리는 현대 CISO의 중요한 역할입니다.

어떤 종류의 리스크도 측정할 때는 특정 위협, 자산 및 사용 가능한 데이터에 대한 올바른 방정식을 선택하는 것이 중요합니다.그렇게 하는 것은 그 자체이지만, 이해하는 데 도움이 되는 위험 방정식의 공통 구성요소가 있습니다.

사이버 보안에도 적용되는 리스크 관리에는 네 가지 기본적인 힘이 있습니다.자산, 영향, 위협 및 가능성입니다.가치가 있는 유형 및 무형의 자산인 자산에 대한 내부 지식과 상당한 통제력을 보유하고 있습니다.또한 자산의 손실 또는 손상과 같은 영향을 제어할 수 있습니다.그러나 적대자를 나타내는 위협과 공격 방법은 사용자가 제어할 수 있는 외부에 있습니다.가능성은 그 무리 안에 있는 와일드 카드이다.가능성은 위협이 실현되고 성공하며 피해를 입힐지 여부와 시기를 결정합니다.고객이 완전히 통제할 수는 없지만 위험을 관리하기 위해 가능성을 형성하고 영향을 줄 수 있습니다.^[16]

수학적으로 힘은 ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ s k ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ( ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ t , ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ e ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ t ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ) × ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ( ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ t , ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ h ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ t ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ ) \ $text style$ Risk $= p$ ( $자산,$ $위협)\times d(자산,$ Threat $)}.$ 여기서 p()는 자산에 대한 위협이 실현/성공할 가능성이고 d()는 발생할 ^[17]수 있는 다양한 수준의 손상 가능성입니다.

IT리스크 관리 분야에서는 업계 고유의 용어와 기술이 많이 등장하고 있습니다.일부 업계 용어는 아직 조정되지 않았습니다.예를 들어, 취약성이라는 용어는 종종 발생 가능성과 함께 사용되는데, 이는 문제가 될 수 있습니다.IT 리스크 관리 용어 및 기술은 다음과 같습니다.

정보보안 이벤트

시스템, 서비스 또는 네트워크 상태가 특정되어 정보보안 정책의 위반이나 세이프가드의 실패 또는 보안과 관련된 미지의 상황을 나타냅니다.^[5]

특정 상황의 발생^[18]

이벤트는 확실하거나 불확실할 수 있습니다.
이벤트는 단일 발생 또는 일련의 발생일 수 있습니다. : (ISO/IEC 가이드 73)

정보 보안 사고

비즈니스 운용을 저해하고 정보 보안을 위협할 가능성이 큰 단일 또는 일련의 원치 않는 정보 보안 이벤트가 나타납니다.^[5]

시스템의 보안 또는 성능에 실제 또는 잠재적으로 악영향을 미치는 것으로 평가된 사건 [G.11].^[19]

영향^[20]

원치 않는 사고의 결과 [G.17].(ISO/IEC PDTR 13335-1)

결과^[21]

이벤트 결과 [G.11]

하나의 이벤트에서 여러 결과가 발생할 수 있습니다.
결과는 긍정적인 것부터 부정적인 것까지 다양합니다.
결과는 질적 또는 정량적으로 표현할 수 있다(ISO/IEC 가이드 73)

리스크 R은 보안 사고가 발생할 가능성 L에 해당 사고로 인해 조직에 미치는 영향 I을 곱한 값입니다.즉,^[22] 다음과 같습니다.

R = L × I

보안 사고 발생 가능성은 위협이 나타날 가능성 및 위협이 관련 시스템 취약성을 성공적으로 이용할 수 있는 가능성에 따라 결정됩니다.

보안 사고 발생의 결과는 조직의 자산이 받는 손해의 결과로 인해 사고가 조직에 미칠 수 있는 영향의 함수입니다.손해는 조직에 대한 자산의 가치와 관련이 있습니다.같은 자산이 조직에 따라 다른 가치를 가질 수 있습니다.

따라서 R은 다음 네 가지 인자의 함수가 될 수 있습니다.

A = 자산의 가치
T = 위협 가능성
V = 취약성의 특성, 즉 악용될 수 있는 가능성(공격자의 잠재적인 이익에 비례하며 악용 비용에 반비례함)
I = 예상되는 영향, 위해의 정도

수치(충격에 대한 비용 및 기타 요인에 대한 확률)인 경우, 위험은 금전적인 관점에서 표현될 수 있으며, 보안 통제 적용 후 조치 비용 및 잔류 위험과 비교할 수 있다.이 값을 표현하는 것이 항상 실용적인 것은 아니기 때문에 위험 평가의 첫 번째 단계에서는 위험이 3단계 또는 5단계 척도로 무차원으로 등급이 매겨진다.

OWASP는 다음을 기반으로 한 실질적인 위험 측정^[22] 지침을 제안한다.

0 ~ 9 척도의 서로 다른 요인 사이의 평균으로 우도 추정:
- 위협 에이전트 요인
  - 스킬 레벨:이 위협 요원의 기술력은 어느 정도입니까?기술력 없음(1), 일부 기술력(3), 고급 컴퓨터 사용자(4), 네트워크 및 프로그래밍 능력(6), 보안 침투 능력(9)
  - 동기: 이 위협 에이전트 그룹이 이 취약성을 발견하고 악용하는 동기는 얼마나 됩니까?낮은 보수 또는 없는 보수(1), 가능한 보수(4), 높은 보수(9)
  - 영업 기회:이 위협 에이전트 그룹이 이 취약성을 찾아 악용하는 데 필요한 리소스와 기회는 무엇입니까?풀 액세스 또는 고비용 리소스 필요(0), 특수 액세스 또는 리소스 필요(4), 일부 액세스 또는 리소스 필요(7), 액세스 또는 리소스 불필요(9)
  - 크기: 이 위협 에이전트 그룹의 규모는 얼마나 됩니까?개발자(2), 시스템 관리자(2), 인트라넷 사용자(4), 파트너(5), 인증된 사용자(6), 익명 인터넷 사용자(9)
- 취약성 요인: 다음 요인 세트는 관련된 취약성과 관련이 있습니다.여기서의 목표는 특정 취약성이 발견되고 악용될 가능성을 추정하는 것입니다.위에서 선택한 위협 에이전트를 가정합니다.
  - 검출의 용이성:이 위협 에이전트 그룹은 이 취약성을 얼마나 쉽게 발견할 수 있습니까?사실상 불가능(1), 어려운(3), 쉬운(7), 자동화된 도구 사용 가능(9)
  - 이용의 용이성:이 위협 에이전트 그룹이 이 취약성을 실제로 이용하는 것이 얼마나 쉬운가?이론적인 (1), 어려운 (3), 쉬운 (5), 자동화된 도구 사용 가능 (9)
  - 인식:이 위협 에이전트 그룹에 대한 이 취약성은 얼마나 잘 알려져 있습니까?불명(1), 숨김(4), 명백한(6), 공공지식(9)
  - 침입 탐지:공격이 탐지될 가능성은 얼마나 됩니까?응용 프로그램에서의 활성 탐지(1), 기록 및 검토(3), 검토 없이 기록(8), 기록되지 않음(9)
0 - 9 척도의 서로 다른 요인 사이의 평균으로서의 영향 추정
- 기술적 영향 요인. 기술적 영향은 기존의 보안 영역인 기밀성, 무결성, 가용성 및 책임과 연계된 요소로 나눌 수 있습니다.이 취약성을 악용할 경우 시스템에 미치는 영향의 크기를 추정하는 것이 목표입니다.
  - 기밀성 손실:얼마나 많은 데이터가 공개될 수 있고 얼마나 민감한가요?최소 비민감 데이터 공개(2), 최소 중요 데이터 공개(6), 광범위한 비민감 데이터 공개(6), 광범위한 중요 데이터 공개(7), 모든 데이터 공개(9)
  - 무결성 손실:파손될 수 있는 데이터의 양과 파손되는 데이터의 양은 어떻게 됩니까?약간 손상된 데이터 최소화(1), 심각하게 손상된 데이터 최소화(3), 약간 손상된 광범위한 데이터(5), 심각하게 손상된 광범위한 데이터(7), 모든 데이터 완전 손상(9)
  - 가용성 상실 얼마나 많은 서비스가 손실될 수 있으며 얼마나 중요한가요?최소한의 세컨더리 서비스 중단(1), 최소한의 프라이머리 서비스 중단(5), 광범위한 세컨더리 서비스 중단(5), 광범위한 프라이머리 서비스 중단(7), 모든 서비스 완전 손실(9)
  - 책임 상실:위협요원의 행동을 개인이 추적할 수 있는가?완전 추적 가능(1), 가능한 추적 가능(7), 완전 익명(9)
- 비즈니스에 미치는 영향 요인:비즈니스에 미치는 영향은 기술적인 영향에서 비롯되지만, 애플리케이션을 실행하는 기업에 있어서 무엇이 중요한지를 깊이 이해할 필요가 있습니다.일반적으로 비즈니스상의 영향을 받아 리스크를 지원하는 것을 목표로 해야 합니다.특히, 고객이 경영자 레벨인 경우는 더욱 그렇습니다.비즈니스 리스크는 보안 문제를 해결하기 위한 투자를 정당화하는 것입니다.
  - 금전적 손해:악용으로 인한 금전적 피해는 어느 정도 발생합니까?취약점 수정 비용 미만(1), 연차익에 미치는 미미한 영향(3), 연차익에 미치는 영향(7), 파산(9)
  - 평판 손상:부정 이용으로 인해 평판이 손상되어 비즈니스에 악영향을 미칠 수 있습니까?최소한의 피해(1), 주요 계정 손실(4), 영업권 손실(5), 브랜드 손상(9)
  - 비준수:비준수 시 어느 정도의 노출이 발생합니까?경미한 위반(2), 명백한 위반(5), 세간의 이목을 끄는 위반(7)
  - 프라이버시 위반:얼마나 많은 개인 식별 가능 정보가 공개될 수 있는가?1명(3명), 수백명(5명), 수천명(7명), 수백만명(9명)
- 비즈니스에 미치는 영향을 정확하게 계산한 경우 다음 항목에서 사용하는 경우 기술적 영향을 사용하십시오.
LOW, MEDIURE, HIGH 스케일에서의 레이트 우도와 영향은 3 ~6 미만이 LOW, 3 ~ 6 미만이 MEDIURE, 6 ~9가 HIGH라고 가정합니다.
다음 표를 사용하여 위험을 계산합니다.

전체적인 리스크의 중대도
영향	높은	중간의	높은	긴급
	중간의	낮다	중간의	높은
	낮다	없음.	낮다	중간의
		낮다	중간의	높은
	가능성

IT리스크 관리

리스크 관리 요소

IT리스크 관리는 보다 광범위한 엔터프라이즈리스크 ^[23]관리 시스템의 컴포넌트로 간주할 수 있습니다.

정보보안관리시스템(ISMS)의 구축, 유지보수 및 지속적인 업데이트는 기업이 정보보안 ^[24]리스크의 식별, 평가 및 관리를 위해 체계적인 접근방식을 사용하고 있음을 강력히 시사합니다.

IT리스크를 관리하기 위한 다양한 방법론이 제안되고 있으며, 각 방법은 프로세스와 ^[25]단계로 구분되어 있습니다.

IT 거버넌스를 전문으로 하는 국제 프로페셔널 어소시에이션 ISAACA가 작성한 인정 정보 시스템 감사자 리뷰 매뉴얼 2006에서는 리스크 관리의 정의를 다음과 같이 설명하고 있습니다.「리스크 관리는, 조직이 비즈니스 제휴를 실현하기 위해서 사용하는 정보 자원에 대한 취약성이나 위협을 특정하는 프로세스입니다.조직에 ^[26]대한 정보 자원의 가치를 바탕으로 리스크를 허용 가능한 수준으로 줄이기 위해 취해야 할 대응책을 결정하고 있습니다."

NIST Cybersecurity Framework는 조직이 식별(ID) ^[27]^[28]기능의 일부로 IT 위험을 관리하도록 권장하고 있습니다.

리스크 평가(ID).RA): 조직은 조직 운영(미션, 기능, 이미지 또는 평판 포함), 조직 자산 및 개인에 대한 사이버 보안 위험을 이해하고 있습니다.

ID.RA-1: 자산의 취약성을 특정하여 문서화합니다.
ID.RA-2: 사이버 위협 인텔리전스 및 취약성 정보를 정보 공유 포럼 및 소스로부터 수신
ID.RA-3: 내부 및 외부 위협 식별 및 문서화
ID.RA-4: 잠재적인 비즈니스 영향 및 가능성 파악
ID.RA-5: 위협, 취약성, 가능성 및 영향을 사용하여 리스크를 판단합니다.
ID.RA-6: 리스크 대응 식별 및 우선순위 부여

리스크 관리 전략(ID).RM): 조직의 우선순위, 제약사항, 리스크 허용범위 및 전제조건을 설정하여 운영 리스크 결정을 지원하기 위해 사용합니다.

ID.RM-1: 리스크 관리 프로세스를 조직 이해관계자에 의해 확립, 관리 및 합의
ID.RM-2: 조직의 리스크 허용도를 결정하고 명확하게 표현
ID.RM-3: 리스크 허용에 대한 조직의 판단은 중요한 인프라스트럭처 및 부문별 리스크 분석에서의 역할에 따라 결정됩니다.

IT리스크 관련 법규

다음은 소스별로 정리된 ^[29]적용 가능한 규칙에 대한 간략한 설명입니다.

OECD

OECD는 다음과 같이 발표했다.

경제협력개발기구(OECD)의 프라이버시 보호 및 개인 데이터의 국경을 초월한 흐름에 관한 가이드라인에 관한 이사회 권고(1980년 9월 23일)
OECD 정보시스템 및 네트워크 보안 가이드라인: 보안문화를 향하여(2002년 7월 25일).토픽: 일반적인 정보 보안.범위: OECD 단체(정보시스템 및 네트워크를 개발, 소유, 제공, 관리, 서비스 및 사용하는 정부, 기업, 기타 조직 및 개인 사용자)에 대한 구속력이 없는 가이드라인.OECD 가이드라인은 리스크 관리 및 정보보안 관행을 뒷받침하는 기본 원칙을 명시하고 있다.본문의 어떤 부분도 구속력이 없지만, 어떤 원칙도 준수하지 않으면 잠재적으로 책임을 질 수 있는 RM/RA 모범 사례를 심각하게 위반할 수 있습니다.

유럽 연합

유럽연합은 주제별로 다음과 같은 내용을 발표했다.

사생활
- 커뮤니티 기관 및 단체의 개인 데이터 처리와 관련된 개인 보호에 관한 규정(EC) No 45/2001 및 그러한 데이터의 자유로운 이동에 관한 규정은 아래에 기술된 프라이버시 지침의 원칙을 실제로 적용하는 내부 규정을 제공한다.또한, 규칙 제35조는 지역사회 기관 및 기관이 통신 인프라에 관해 유사한 예방 조치를 취하고 보안 침해의 특정 위험을 사용자에게 적절하게 알려야 한다고 규정하고 있다.
- 개인 데이터 처리 및 이러한 데이터의 자유로운 이동에 관한 개인 보호에 관한 지침 95/46/EC는 활동의 프라이버시 영향을 결정하고 적절한 법률, 기술 및 조직을 결정하기 위해 모든 개인 데이터 처리 활동을 사전 위험 분석을 수행할 것을 요구한다.그러한 활동을 보호하기 위한 조치; 그러한 조치에 의해 효과적으로 보호된다. 이러한 조치는 활동의 민감성과 사생활의 영향을 고려하는 최신이어야 한다(제3자가 처리 작업을 담당할 때 포함)는 국가 데이터 보호 당국에 통지되며, 여기에는 데이터 보호를 보장하기 위한 조치가 포함된다.e 액티비티의 보안또한 지침 제25조 및 그 준수에 따라 회원국은 비회원국으로의 개인정보 이전을 금지해야 한다.단, 이러한 개인정보에 대해 적절한 법적 보호를 제공하거나 특정 예외를 배제하는 경우는 제외한다.
- 2001년 6월 15일 위원회 결정 2001/497/EC, 지침 95/46/EC, 2004년 12월 27일 위원회 결정 2004/915/EC 개정2001/497/EC, Pe의 이전을 위한 표준 계약 조항의 대체 세트의 도입에 관한 위원회 결정 2004/915/EC 개정제3국으로의 rsonal 데이터.주제: 개인 데이터의 제3국, 특히 E국 이외의 국가로의 수출.데이터 보호 수준이 적절하다고 인정되지 않은 국가(즉, EU와 동등)는 위원회의 결정 모두 데이터 컨트롤러(EU 데이터 보호 규칙 적용 대상)에서 데이터 프로세서로 개인 데이터를 내보내기 위해 사용할 수 있는 일련의 자발적 모델 조항을 제공한다.이러한 규칙이나 이와 유사한 일련의 적절한 규칙의 적용을 받지 않는 자.
- 국제 세이프 하버 개인 정보 보호 원칙(아래 미국 및 국제 세이프 하버 개인 정보 보호 원칙 참조)
- 개인 데이터 처리 및 전자 통신 분야의 프라이버시 보호에 관한 2002/58/EC 지침 2002년 7월 12일
국가 안보
- 2006년 3월 15일의 지침 2006/24/EC(공용 전자 통신 서비스 또는 공공 통신 네트워크의 제공과 관련하여 생성 또는 처리된 데이터의 보존 및 지침 2002/58/EC('데이터 보존 지침') 개정.토픽: 공중전기통신사업자의 중대한 범죄의 조사, 적발 및 기소를 위해 특정 정보를 보유할 것
- 2008년 12월 8일의 이사회 지침 2008/114/EC는 유럽의 중요한 인프라의 식별과 지정 및 보호 개선의 필요성 평가에 관한 것이다.토픽: 유럽의 중요한 인프라스트럭처의 특정과 보호.범위: 회원국 및 유럽 크리티컬 인프라스트럭처의 운영자에게 적용 가능(초안 지침에서 '중요한 인프라스트럭처의 붕괴 또는 파괴가 2개 이상의 회원국에 중대한 영향을 미치는 중요한 인프라스트럭처 또는 중요한 인프라가 다른 회원국에 있는 경우 단일 회원국에 영향을 미치는 인프라'로 정의됨).여기에는 다른 유형의 인프라에 대한 부문 간 의존성으로 인한 영향이 포함된다.)회원국은 자국 영토의 중요한 인프라스트럭처를 특정하여 ECI로 지정할 것을 요구한다.이 지정에 따라 ECI 소유자/운영자는 OSP(Operator Security Plan)를 작성해야 합니다.OSP는 보호를 위한 관련 보안 솔루션을 확립해야 합니다.
민형법
- 이사회 프레임워크 결정 2005/222/J2005년 2월 24일 정보 시스템에 대한 공격에 대한 HA.주제: 사이버 범죄 분야에서 중요한 형법(특정 범죄의 정의), 절차적 형법(수사조치와 국제협력 포함) 및 책임 문제를 포함한 국가규정의 조화를 목적으로 하는 일반적인 결정.범위: 회원국은 자국의 법적 틀에서 프레임워크 결정의 규정을 이행할 것을 요구한다.프레임워크 결정은 법적 실체 내에서 권한을 가진 특정 자연인의 행위에 대해 법적 책임을 법적 실체에 부과할 수 있는 조건을 포함하고 있기 때문에 RM/RA와 관련이 있다.따라서 기본결정은 조직 내에서 그러한 수치들의 수행을 적절히 감시할 것을 요구하고 있는데, 그 이유는 결정에서 이와 관련하여 법적 실체가 누락행위에 대해 책임을 질 수 있기 때문이다.

유럽 평의회

유럽위원회 사이버범죄협약, 부다페스트, 23.11.2001, 유럽조약 시리즈 185호주제: 사이버 범죄의 중요 형법(특정 범죄의 정의), 절차 형법(수사 조치 및 국제 협력 포함), 책임 문제 및 데이터 보유를 포함한 국가 조율을 목적으로 하는 일반 조약.제2조부터 제10조까지의 일련의 범죄의 정의와는 별도로, 이 협약은 법적 실체 내에서 권한을 가진 특정 자연인의 행위에 대해 법적 책임을 법인에게 부과할 수 있는 조건을 규정하기 때문에 RM/RA와 관련이 있다.따라서 협약은 조직 내에서 그러한 수치들의 수행을 적절히 감시할 것을 요구한다. 왜냐하면 협약은 이와 관련하여 법적 실체가 누락 행위에 대해 책임을 질 수 있기 때문이다.

미국

미국은 주제별로 나누어 다음과 같이 발표했다.

민형법
- 전자발견에 관한 연방민사소송규칙의 개정.주제: 민사소송에서의 전자문서 작성에 관한 미국 연방규칙.발견규칙은 민사소송 당사자가 당사자에게 보유 중인 모든 관련 서류(요구 당사자에 의해 정의되는 것)를 제시하도록 요구할 수 있으며, 이를 통해 당사자 및 법원이 문제를 올바르게 평가할 수 있다.2006년 12월 1일 발효된 전자 정보 공개 개정을 통해 이러한 정보에는 전자 정보가 포함될 수 있습니다.이는 민사소송에서 미국법원에 제소되는 당사자는 특정 주제에 관한 최종보고서, 작업문서, 내부메모 및 이메일을 포함하여 구체적으로 기술되거나 기술되지 않을 수 있는 문서 작성을 요구할 수 있음을 의미합니다.따라서 이러한 절차에 관여할 위험을 내포하는 활동을 하는 당사자는 안전한 보관을 포함한 해당 정보의 관리를 위해 적절한 예방 조치를 취해야 합니다.구체적으로는:당사자는 '소송 보류'를 시작할 수 있어야 하며, 이는 관련 정보를 더 이상 수정할 수 없도록 보장해야 하는 기술적/조직적 조치입니다.스토리지 정책은 책임을 져야 합니다.특정 정보의 삭제는 일반 정보 관리 정책의 일부인 경우('규칙 37(f)'), 물론 계속 허용되지만 잠재적으로 관련 정보를 의도적으로 파기할 경우 매우 높은 벌금형(1sp)에 처해질 수 있습니다.(16억 US$의 에코 케이스).따라서 실제로 미국 법원에 민사소송을 제기할 위험이 있는 기업은 적절한 정보관리 정책을 실시하여 소송 개최를 개시하기 위해 필요한 조치를 실시해야 한다.
사생활
- 캘리포니아 소비자 프라이버시법(CCPA)
- 캘리포니아 프라이버시 권리법(CPRA)
- Gramm-Leach-Bliley Act(GLBA)
- USA 패트리엇법, 제3권
- 의료보험 이전 및 책임법(HIPAA) RM/RA의 관점에서, 이 법은 행정 간소화(HIPAA의 제목 II)에 관한 조항으로 특히 알려져 있습니다.이 제목은 미국 보건 및 인간 서비스부(HHS)가 특정 규칙 집합의 초안을 작성하도록 요구했으며, 각 규칙 집합은 의료 시스템의 효율성을 개선하고 남용을 방지할 수 있는 특정 표준을 제공한다.그 결과 HHS는 프라이버시 규칙, 트랜잭션 및 코드 세트 규칙, 고유 식별자 규칙, 시행 규칙 및 보안 규칙의 5가지 주요 규칙을 채택했습니다.후자는 2003년 2월 20일 연방관보에 공표되었다(http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf), 참조). 전자적으로 보호된 건강 정보의 기밀성을 보장하기 위한 일련의 관리, 기술 및 물리적 보안 절차를 규정하기 때문에 특히 관련이 있다.이러한 측면은 HIPAA 리스크 관리 및 리스크 평가의 기초에 관한 지침 문서와 함께 발표된 일련의 관리, 물리적, 조직 및 기술적 안전장치에 관한 보안 표준에서 더욱 개략적으로 설명되었다.유럽 또는 기타 국가의 의료 서비스 제공자는 일반적으로 미국 시장에서 활동하지 않는 경우 HIPAA 의무의 영향을 받지 않는다.그러나 이들의 데이터 처리 활동은 일반적인 유럽 법률(프라이버시 지침 포함)에 따라 유사한 의무의 적용을 받으며, 전자 건강 파일에 대한 현대화와 진화의 근본적인 추세가 동일하기 때문에 HHS 안전장치는 RM/RA 전략을 측정하기 위한 초기 척도로 유용할 수 있다.특히 전자 건강 정보 처리와 관련하여 유럽 의료 서비스 제공자에 의한 위치.HIPAA 보안 표준에는 다음이 포함됩니다.
  - 관리상의 안전장치:
    - 보안 관리 프로세스
    - 보안 책임 할당
    - 워크포스 보안
    - 정보 접근 관리
    - 보안 의식 및 훈련
    - 보안 사고 절차
    - 만일의 사태에 대비한 계획
    - 평가하기
    - 업무 관련 계약 및 기타 약정
  - 물리적 보호 장치
    - 설비 접근 제어
    - 워크스테이션 사용
    - 워크스테이션 보안
    - 디바이스 및 미디어 컨트롤
  - 기술적 안전장치
    - 접근 제어
    - 감사 제어
    - 무결성
    - 개인 또는 엔티티 인증
    - 전송 보안
  - 조직의 요건
    - 비즈니스 어소시에이트 계약 및 기타 준비
    - 그룹 건강플랜 요건
- 2000년 7월 21일 미국 상무부가 발표한 국제 안전 항구 프라이버시 원칙 EU 프라이버시 규제의 적용을 받는 데이터 컨트롤러에서 미국 소재의 수신처로 개인 데이터를 내보냅니다.개인 데이터는 EU 프라이버시 규제의 대상이 되는 단체에서 미국 법률의 적용을 받는 수신처로 내보낼 수 있습니다.유럽기업은 수취기업이 그러한 자료를 많은 사고로부터 보호할 수 있는 적절한 안전장치를 제공하는 것을 보장해야 한다.이 의무를 준수하는 한 가지 방법은 수취 기업이 이른바 세이프 하버 원칙을 준수하는지 스스로 인증하도록 요구함으로써 수취 기업이 세이프 하버에 가입하도록 요구하는 것이다.이 도로를 선택한 경우 데이터를 내보내는 데이터 컨트롤러는 미국의 목적지가 실제로 세이프 하버 목록에 있는지 확인해야 합니다(세이프 하버 목록 참조).
- 미국 국토안보부도 프라이버시 [30]위반의 위험을 식별하고 완화하기 위한 의사결정 도구로 PIA(Privacy Impact Assessment)를 사용하고 있습니다.
사르베인옥슬리법
FISMA

법률이 발전함에 따라 정보 관리를 위해 '합리적 보안'을 요구하는 데 초점을 맞추고 있습니다.CCPA는 "연결된 장치 제조업체는 장치에 합리적인 ^[31]보안을 장착하기 위해"라고 명시하고 있습니다.뉴욕의 SHIELD Act는 NY 거주자의 정보를 관리하는 조직이 "데이터 폐기를 포함한 개인 정보의 보안, 기밀성 및 무결성을 보호하기 위한 합리적인 보호 장치를 개발, 구현 및 유지관리할 것"을 요구한다.이 개념은 컴플라이언스 요건이 개발됨에 따라 기업이 리스크 관리 계획을 관리하는 방법에 영향을 미칩니다.

표준 조직 및 표준

국제 표준 기구:
미국 표준 기구:
- National Institute of Standards and Technology – NIST
- 연방 정보처리 표준 – 연방 정부 및 기관에 전념하는 NIST의 FIPS
영국 표준 기구
- 영국 표준 협회

표준에 대한 간단한 설명

이 목록은 주로 다음을 ^[29]기반으로 합니다.

ISO

ISO/IEC 13335-1:2004 –정보기술—보안기술—정보통신기술 보안관리—파트 1:정보통신기술 보안관리 개념 및 모델 http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066정보통신기술 보안관리를 위한 개념 및 모델에 대한 일반적인 설명을 포함하는 표준.이 표준은 일반적으로 사용되는 업무수칙으로 보안관리 업무의 실장을 위한 자원 및 그러한 업무수행을 감사하기 위한 잣대가 된다.(http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf)도 참조).
ISO/IEC TR 15443-1:2005 – 정보 테크놀로지 - 보안 기술 - IT 보안 보증 레퍼런스 프레임워크: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (주: 이것은 표준을 취득할 수 있는 ISO 페이지 참조입니다).그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)토픽: 보안 보증 – 기술 보고서(TR)에는 보안 서비스, 제품 또는 환경 요소를 평가하기 위한 적절한 보증 방법을 결정하기 위해 일반적으로 인정된 가이드라인이 포함되어 있습니다.
ISO/IEC 15816:2002 – 정보 테크놀로지 - 보안 기술 - 접근컨트롤 참조용 보안 정보 객체:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (주: 이것은 표준을 취득할 수 있는 ISO 페이지 참조입니다).그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)토픽: 보안 관리– 접근통제이 표준을 통해 보안 전문가는 SIO에 관한 특정 구문 정의 및 설명에 의존할 수 있으므로 다른 표준화 작업에서의 중복이나 분산을 방지할 수 있다.
ISO/IEC TR 15947:2002 – 정보기술 - 보안 기술 -IT침입검출 프레임워크 레퍼런스: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (주의: 표준 취득이 가능한 ISO 페이지 참조)그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)토픽: 보안 관리– IT 시스템에서의 침입 검출이 표준을 통해 보안 전문가는 IT 시스템의 잠재적인 침입에 대한 보안 위험을 기술하고 평가하기 위해 특정 개념 및 방법론에 의존할 수 있습니다.RM/RA 의무는 포함되어 있지 않지만, 오히려 해당 분야의 RM/RA 활동을 촉진하기 위한 도구이다.
ISO/IEC 15408-1/2/3:2005 – 정보기술 - 보안 기술 - IT 보안 평가 기준 - 제1부: 개요 및 일반 모델 (15408-1) 제2부: 보안 기능 요건 (15408-2) 제3부: 보안 보증 요건 (15408-3) 참조:http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm 토픽: IT 제품 및 시스템의 보안 기능 및 보안 평가 시 적용되는 보증 조치에 대한 공통 요건을 포함하는 표준입니다.범위: 자발적으로 구현할 수 있는 공개 ISO 표준.이 텍스트는 IT 제품 및 시스템의 보안을 평가하기 위한 리소스이므로 RM/RA의 도구로 사용할 수 있습니다.이 표준은 일반적으로 IT 제품 및 시스템의 보안을 평가하기 위한 리소스로 사용됩니다.이러한 제품 및 시스템에 대한 조달 결정(구체적으로 특정하지 않는 경우)도 포함합니다.따라서 이 표준은 IT 제품 또는 시스템의 설계, 제조 또는 마케팅 중 또는 구입 전에 보안 여부를 판단하기 위한 RM/RA 도구로 사용할 수 있습니다.
ISO/IEC 17799:2005 – 정보 테크놀로지 - 보안 기술 - 정보 보안 관리 수칙참조: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (주: 표준을 취득할 수 있는 ISO 페이지를 참조합니다.)그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)토픽: 비즈니스 연속성 관리를 포함한 조직 내 정보보안 관리의 개시, 구현, 유지 보수 및 개선을 위한 일반적인 가이드라인과 원칙을 포함하는 표준.이 표준은 일반적으로 사용되는 업무수칙으로 정보보안 관리 업무의 실시를 위한 자원 및 그러한 업무수행을 감사하기 위한 잣대가 된다.(ISO/IEC 17799도 참조)
ISO/IEC TR 15446:2004 – 정보 테크놀로지 - 보안 기술 - 보호 프로파일 및 보안 타깃 작성 가이드레퍼런스: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm 토픽:ISO/IEC 15408(「공통 기준」)에 준거한 보호 프로파일(PP) 및 보안 타겟(ST) 구축에 관한 가이드라인을 포함한 기술 보고서(TR).이 표준은 주로 보안 전문가가 PP 및 ST를 개발하는 도구로 사용되지만, (TR을 표준 준수 여부를 판단하는 척도로 사용) 해당 표준의 유효성을 평가하는 데도 사용할 수 있습니다.따라서 RM/RA 프랙티스의 작성과 평가를 위한 (비구속적인) 규범적 도구입니다.
ISO/IEC 18028:2006 – 정보기술 - 보안 기술 -IT 네트워크 보안 레퍼런스:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (주의: 표준 취득이 가능한 ISO 페이지 참조)그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)주제: 정보기술 네트워크의 관리, 운용 및 사용에 관한 일반적인 보안 측면 가이드라인을 포함한 5부 표준(ISO/IEC 18028-1~18028-5)이 표준은 특히 네트워크 보안 위험에 초점을 맞춘 ISO/IEC 13335 및 ISO/IEC 17799에 제시된 가이드라인의 확장으로 간주됩니다.이 표준은 일반적으로 사용되는 업무수칙으로 보안관리 업무의 실장을 위한 자원 및 그러한 업무수행을 감사하기 위한 잣대가 된다.
ISO/IEC 27001:2005 – 정보 테크놀로지—보안 기술—정보 보안 관리 시스템—요건 참조: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (주: 이것은 표준을 취득할 수 있는 ISO 페이지 참조입니다.)그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)주제: 특정 조직 내에서 정보보안 관리 시스템을 구현하기 위해 일반적으로 인정된 가이드라인을 포함하는 표준.범위: 자발적으로 구현할 수 있는 ISO 규격이 없습니다.본문에는 법적 구속력은 없지만 건전한 정보보안 실천요강의 작성을 위한 직접적인 지침이 포함되어 있습니다.표준은 매우 일반적으로 사용되는 실천요강으로 정보보안 관리시스템의 실장을 위한 자원 및 그러한 시스템 및/또는 주변 실천요강의 감사를 위한 기준이 됩니다.ISO/IEC 27001:2005 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=0000000030125022&recid=2491>에 제시된 요건을 지원하기 위한 추가 지침을 제공하는 BS 7799-3:2006과 같은 관련 표준과 실제로 결합되는 경우가 많다.
ISO/IEC 27001:2013, 정보보안 관리 시스템의 최신 표준.
ISO/IEC TR 18044:2004 – 정보 테크놀로지 - 보안 기술 - 정보 보안 사고 관리 레퍼런스: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (주: 이것은 표준을 입수할 수 있는 ISO 페이지 참조입니다).그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)토픽: 조직 내 정보보안 사고 관리에 대해 일반적으로 인정된 가이드라인과 일반원칙이 포함된 기술보고서(TR).범위: 자발적으로 사용할 수 있는 ISO TR은 공개적으로 제공되지 않습니다.이 텍스트에는 법적 구속력은 없지만 사고 관리에 대한 직접적인 지침이 포함되어 있습니다.이 표준은 사고 대응 분야에서 기본적인 개념과 고려사항을 소개하는 고급 리소스입니다.따라서, 이 점에 관한 대처의 인지도 제고를 위한 촉매로서 대부분 도움이 된다.
ISO/IEC 18045:2005 – 정보 테크놀로지 - 보안 기술 - IT 보안 평가 방법 참조:http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm 토픽: ISO/IEC 15408 (정보 테크놀로지 - 보안 기술 - E) 준수를 평가하기 위한 감사 가이드라인을 포함하는 표준IT보안에 관한 평가기준) 범위 ISO/IEC 15408(정보기술-보안기술-IT보안에 관한 평가기준) 준수를 평가할 때 준수해야 하는 공개적인 ISO 표준.이 표준은 ISO/IEC 15408(정보 기술-보안 기술-IT 보안 평가 기준) 준수 평가에 관여하는 보안 전문가에게 주로 사용되는 '동반 문서'입니다.이러한 감사인이 수행해야 할 최소한의 조치를 기술하고 있기 때문에 ISO/IEC 18045를 무시한 경우 ISO/IEC 15408 준수는 불가능하다.
ISO/TR 13569:2005 –금융서비스: 정보보안 가이드라인 레퍼런스:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (주의: 표준 취득이 가능한 ISO 페이지 참조)그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)주제: 금융기관에서의 정보보안 정책의 실시 및 평가를 위한 가이드라인을 포함하는 표준.이 기준은 일반적으로 참조되는 가이드라인으로 금융기관에서 정보보안 관리 프로그램을 실시하기 위한 자원 및 감사기준이 된다.(http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf)도 참조).
ISO/IEC 21827:2008 – 정보 테크놀로지 - 보안 기술 - 시스템보안 엔지니어링 - 능력 성숙도 모델(SSE-CMM): ISO/IEC 21827:2008은 조직의 기본적인 보안 특성을 설명하는 시스템보안 엔지니어링 - 능력 성숙도 모델(SSE-CMM)을 지정합니다.뛰어난 보안 엔지니어링을 실현합니다.ISO/IEC 21827:2008은 특정 프로세스 또는 시퀀스를 규정하지 않고 업계에서 일반적으로 관찰되는 관행을 포착합니다.이 모델은 보안 엔지니어링 업무의 표준 메트릭입니다.

BSI

BS 2599-1:2006 –비즈니스 연속성 관리 제1부: Code of Practice Note: 이것은 2006년 11월에 발행된 BS 25999의 일부일 뿐입니다.파트 2(가능한 인가의 관점에서 보다 구체적인 기준을 포함해야 한다)는 아직 나타나지 않았다.참조: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=00000030157563.토픽: 비즈니스 연속성 실무 코드가 포함된 표준.이 표준은 비즈니스 연속성 관리를 위한 실무 지침으로, 표준 준수를 위한 인증을 허용하는 두 번째 부분으로 확장될 예정입니다.이와 관련하여 보편적으로 적용할 수 있는 표준이 없고 규제 이니셔티브에서 비즈니스 연속성과 우발성 계획에 대한 관심이 높아지고 있다는 점을 감안할 때 RM/RA 관행에 큰 영향을 미칠 수 있지만, 이 표준의 잠재적 영향을 평가하는 것은 어렵다.이 표준의 적용은 다른 표준, 특히 PAS 77:2006 – IT 서비스 연속성 관리 코드 오브 프랙티스 <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=0000000030141858>로 보완할 수 있습니다.TR을 통해 보안 전문가는 보안 서비스, 제품 또는 환경 요소( 성과물)를 평가하는 데 적합한 방법을 결정할 수 있습니다.이 TR에 따라 성과물이 어느 수준의 보안 보증을 충족하는지, 그리고 이 임계값이 성과물에 의해 실제로 충족되는지 판단할 수 있습니다.
BS 7799-3:2006 – 정보보안 관리 시스템—정보보안 리스크 관리 가이드라인: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=00000030125022&recid=2491 (주: 이것은 표준을 취득할 수 있는BSI 페이지 참조입니다).그러나 이 기준서는 무료가 아니며, 이 기준서의 규정도 공개적으로 이용할 수 없다.이 때문에 특정 조항을 인용할 수 없다.)주제: 정보보안 리스크 관리에 관한 일반적인 가이드라인을 포함하는 표준.범위: 자발적으로 구현할 수 있는 BSI 규격은 공개되지 않습니다.본문에는 법적 구속력은 없지만 건전한 정보 보안 관행 작성을 위한 직접적인 지침이 포함되어 있습니다.이 표준은 대부분 앞서 언급한 ISO 27001:2005 적용에 대한 지침 보완 문서로서 의도되어 있으며, 따라서 일반적으로 위험 평가 관행에서 이 표준과 함께 적용된다.

정보보안 포럼

모범 사례의 기준

「」를 참조해 주세요.

레퍼런스

^ "What is IT risk? nibusinessinfo.co.uk". www.nibusinessinfo.co.uk. Retrieved 2021-09-04.
^ "위험은 위험한 사건이나 노출의 발생 가능성과 사건이나 노출에 의해 야기될 수 있는 부상이나 건강악화의 심각성의 조합이다." (OSAS 18001:2007)
^ "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch. 2016-05-16. Retrieved 2017-10-07.
^ "Information Security Assessment Types". danielmiessler.com. Retrieved 2017-10-07.
^ ^a ^b ^c ISO/IEC, "정보 테크놀로지– 보안 기술 - 정보 보안 리스크 관리" ISO/IEC FIDIS 27005:2008
^ CNSS 지침 No. 4009 2010년 4월 26일 Wayback Machine에서 2012-02-27 아카이브 완료
^ 국가보안통신정보시스템보안위원회에 의한 국가정보보증인증 및 인증 프로세스(NIACAP)
^ "Glossary of Terms". Retrieved 23 May 2016.
^ FISMA에 전념하는 위키 프로젝트
^ FISMafedia 위험 용어
^ ^a ^b NIST SP 800-30 정보기술 시스템 리스크 관리 가이드
^ FIPS 간행물200 연방 정보 및 정보 시스템의 최소 보안 요건
^ ^a ^b FAIR: Wayback Machine에서 2014-11-18년 정보 리스크 요인 분석
^ ^a ^b ISACA 리스크 IT 프레임워크 ISBN 978-1-60420-111-6(등록 필요)
^ Technical Standard Risk Taxonomy ISBN 1-931624-77-1 문서번호: C081, The Open Group, 2009년 1월
^ Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk. Threat Sketch, LLC. ISBN 9780692944158.
^ Arnold, Rob (2017). Cybersecurity: A Business Solution. p. 22. ISBN 978-0692944158.
^ "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
^ "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
^ "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
^ "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
^ ^a ^b "OWASP Risk Rating Methodology". Retrieved 23 May 2016.
^ "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF).
^ Enisa 리스크 관리, 리스크 평가 인벤토리, 46페이지
^ Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 605. ISBN 978-0-12-374354-1.
^ ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. p. 85. ISBN 978-1-933284-15-6.
^ Keller, Nicole (2013-11-12). "Cybersecurity Framework". NIST. Retrieved 2017-10-07.
^ Arnold, Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. Retrieved 2018-02-14.
^ ^a ^b ENISA Section Risk Management 기술부가 다음 교수와 협력하여 실시하는 유럽 규제, 국제 가이드라인 및 실무규범에 대한 리스크 관리/리스크 평가:J. Dumortier 및 Hans Graux www.lawfort.be 2007년 6월
^ "Privacy Impact Assessments". Department of Homeland Security. 2009-07-06. Retrieved 2020-12-12.
^ IAPP. "The evolution of the 'reasonable security' standard in the US context".{{cite web}}: CS1 maint :url-status (링크)

외부 링크

Internet2 정보보안 가이드: 고등교육을 위한 효과적인 프랙티스와 솔루션
리스크 관리 – 리스크 관리를 위한 원칙과 인벤토리 / 리스크 평가 방법 및 도구, 발행일: 2006년 6월 1일 작성자:ENISA 섹션 리스크 관리 기술부에서 실시
클루시프 클럽 드 라 세쿠리테 드 정보 프랑세
800-30 NIST 리스크 관리 가이드
800-39 NIST 드래프트 정보 시스템 리스크 관리:조직의 관점
FIPS 간행물199, 연방정보 및 정보의 보안 분류 표준
FIPS 간행물200 연방 정보 및 정보 시스템의 최소 보안 요건
연방 정보 시스템에 대한 리스크 관리 프레임워크 적용을 위한 800-37 NIST 가이드: 보안 라이프 사이클 접근법
FISMafedia는 미국 연방 IT 보안에 초점을 맞춘 문서 및 토론 모음입니다.
주의의무위험분석기준(DoCRA)

[1] "What is IT risk? nibusinessinfo.co.uk". www.nibusinessinfo.co.uk. Retrieved 2021-09-04.

[2] "위험은 위험한 사건이나 노출의 발생 가능성과 사건이나 노출에 의해 야기될 수 있는 부상이나 건강악화의 심각성의 조합이다." (OSAS 18001:2007)

[3] "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch. 2016-05-16. Retrieved 2017-10-07.

[4] "Information Security Assessment Types". danielmiessler.com. Retrieved 2017-10-07.

[ISO27005-5] ISO/IEC, "정보 테크놀로지– 보안 기술 - 정보 보안 리스크 관리" ISO/IEC FIDIS 27005:2008

[CNSSI4009-6] CNSS 지침 No. 4009 2010년 4월 26일 Wayback Machine에서 2012-02-27 아카이브 완료

[7] 국가보안통신정보시스템보안위원회에 의한 국가정보보증인증 및 인증 프로세스(NIACAP)

[8] "Glossary of Terms". Retrieved 23 May 2016.

[9] FISMA에 전념하는 위키 프로젝트

[10] FISMafedia 위험 용어

[SP80030-11] NIST SP 800-30 정보기술 시스템 리스크 관리 가이드

[12] FIPS 간행물200 연방 정보 및 정보 시스템의 최소 보안 요건

[riskmanagementinsight.com-13] FAIR: Wayback Machine에서 2014-11-18년 정보 리스크 요인 분석

[riskit-14] ISACA 리스크 IT 프레임워크 ISBN 978-1-60420-111-6(등록 필요)

[15] Technical Standard Risk Taxonomy ISBN 1-931624-77-1 문서번호: C081, The Open Group, 2009년 1월

[16] Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk. Threat Sketch, LLC. ISBN 9780692944158.

[17] Arnold, Rob (2017). Cybersecurity: A Business Solution. p. 22. ISBN 978-0692944158.

[18] "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.

[19] "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.

[ENISA_Glossary_Impact-20] "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.

[ENISA_Glossary_Consequence-21] "Glossary". Archived from the original on 29 February 2012. Retrieved 23 May 2016.

[OWASP-22] "OWASP Risk Rating Methodology". Retrieved 23 May 2016.

[RISKITW-23] "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF).

[ENISAFULL-24] Enisa 리스크 관리, 리스크 평가 인벤토리, 46페이지

[Vacca1-25] Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 605. ISBN 978-0-12-374354-1.

[26] ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. p. 85. ISBN 978-1-933284-15-6.

[27] Keller, Nicole (2013-11-12). "Cybersecurity Framework". NIST. Retrieved 2017-10-07.

[28] Arnold, Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. Retrieved 2018-02-14.

[ENISALAW-29] ENISA Section Risk Management 기술부가 다음 교수와 협력하여 실시하는 유럽 규제, 국제 가이드라인 및 실무규범에 대한 리스크 관리/리스크 평가:J. Dumortier 및 Hans Graux www.lawfort.be 2007년 6월

[30] "Privacy Impact Assessments". Department of Homeland Security. 2009-07-06. Retrieved 2020-12-12.

[31] IAPP. "The evolution of the 'reasonable security' standard in the US context".{{cite web}}: CS1 maint :url-status (링크)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[31]

Search

IT리스크

네임스페이스

더

목차

정의들

ISO

국가보안시스템위원회

NIST

리스크 관리의 통찰력

ISACA

IT리스크 측정

IT리스크 관리

IT리스크 관련 법규

OECD

유럽 연합

유럽 평의회

미국

표준 조직 및 표준

표준에 대한 간단한 설명

ISO

BSI

정보보안 포럼

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

IT리스크

정의들

ISO

국가보안시스템위원회

NIST

리스크 관리의 통찰력

ISACA

IT리스크 측정

IT리스크 관리

IT리스크 관련 법규

OECD

유럽 연합

유럽 평의회

미국

표준 조직 및 표준

표준에 대한 간단한 설명

ISO

BSI

정보보안 포럼

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.