RISK TREATMENT
위험 처리 방법 비교
위험 처리는 낮출지, 없앨지, 비용 부담을 옮길지, 남은 위험을 승인할지를 정하는 의사결정입니다.
잔여위험
어떤 선택을 해도 남은 위험과 책임자는 기록되어야 하며, 수용은 승인 없는 방치가 아닙니다.
감소
통제로 가능성·영향을 낮춤
패치, MFA, 접근통제, 망분리처럼 위험 수준 자체를 줄입니다.
회피
위험 활동을 중단
서비스, 기능, 데이터 처리를 멈춰 공격 표면을 제거합니다.
전가
손실 부담 일부 이전
보험, 외주, SLA로 재무적 부담을 옮기지만 책임이 사라지지는 않습니다.
수용
남은 위험을 승인
비용 대비 낮은 위험을 risk owner가 승인하고 지표로 감시합니다.
통제 적용
감소는 보안 대책을 붙이고, 회피는 위험한 업무 자체를 없앱니다.
기술·업무 결정
책임 소재
전가는 비용 부담 일부만 옮기므로 법적·관리 책임은 계속 관리합니다.
계약 확인
승인 기록
수용은 근거, 기간, 소유자, 재검토 조건을 위험대장에 남겨야 합니다.
감사 증적
답안 한 줄
위험 감소·회피·전가·수용은 위험을 낮추는 방식과 잔여위험 승인 책임이 서로 다릅니다.