자산 위협 취약점 묶기
무엇을 지킬지, 무엇이 위협하는지, 어디가 약한지 분리합니다.
위험 판단
분석 결과를 처리 결정으로 연결하기
보안모델과 위험관리는 자산 보호 목표를 정하고 위험을 계산한 뒤 어떤 대응을 택할지 결정하는 과정입니다.
정성 또는 정량으로 비교
SLE, ARO, ALE 같은 값은 비용 효과 판단의 근거가 됩니다.
감소·회피·전가·수용 중 선택
업무 영향, 비용, 법적 요구사항에 맞춰 처리 방식을 고릅니다.
남은 위험을 승인
보호대책 후에도 남는 위험은 책임자가 인지하고 문서화해야 합니다.
모델은 보호 목표를 설명
위험은 자산과 위협과 취약점의 결합
비용 효과 분석은 대책 선택 근거
위험관리 문제는 숫자 계산에서 끝나지 않고 잔여위험 승인과 지속 점검까지 이어져야 합니다.