RISK TREATMENT

위험 처리는 잔여위험을 누가 승인할지까지 정한다

위험 처리는 자산, 위협, 취약점으로 계산한 위험을 통제로 낮추거나, 업무 중단·계약·경영 승인으로 잔여위험을 다루는 의사결정입니다.

감소·회피·전가·수용의 차이 축

residual risk
위험 감소MFA, 패치, 네트워크 분리처럼 통제를 적용해 가능성이나 영향을 낮춥니다.
위험 회피위험한 업무, 기능, 데이터 처리를 중단해 공격 표면 자체를 제거합니다.
위험 전가보험, 외주, SLA, 면책 조항으로 재무적 손실 부담 일부를 이전합니다.
위험 수용비용 대비 낮은 위험은 risk owner가 승인하고 KRIs로 모니터링합니다.

위험 처리 결정 순서

risk register
위험 평가가능성·영향
처리 선택감소/회피/전가/수용
잔여위험승인·감시
전가의 한계

위험 전가는 비용 부담 일부를 넘기는 것이지 보안 책임 자체가 사라지는 것은 아닙니다.