○ 정보자산에 대한 잠재적 및 알려진 취약점과 위협으로 인해 발생할 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향을 평가시 위험수용수준을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위 확보를 지원하여야 한다. ○ 위험관리기법 - 위험감소 : 위험에 대한 적절한 통제를 수행하는 것으로 위험 수준을 감소시키는 것 - 위험회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것 - 위험전가 : 위험에 대한 책임을 제3자와 공유하는 것(보험가입) - 위험수용 : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것 ○ 정보보안의 목적 : 기밀성(C), 무결성(I), 가용성(A) ○ 위험관리계획 수립 시 업무영향분석(BIA)을..
