리스크 IT 프레임워크
Download
Report
Transcript 리스크 IT 프레임워크
리스크 IT 프레임워크
일자 : 2014년 10월 21일
전공 : 숭실대학교 OM전공 박사과정 2학
성명 : 김 해 중
목차
12. 리스크 IT 프레임워크
1. 리스크 IT 프레임워크란?
2. 리스크 IT 프리임워크 프로세스
-1-
1. 리스크 IT 프레임워크란?
“복잡한 문제를 해결하거나 서술하는데 사용하는 기본 개념 구조” 라고 정의
프레임워크 (예)
공통컴포넌트와 표준 프레임워크로 구분되며, 표준 프레임워크는 개발 /실행/ 관리/ 운영환경 지원하기 위한 기능과 도구를 제공
(전자정부 프레임워크)
1. 리스크 IT 프레임워크란?
“복잡한 문제를 해결하거나 서술하는데 사용하는 기본 개념 구조” 라고 정의
리스크 IT 프레임워크
리스크 거버넌스(RG)
일반적 리스크
관점의 수립과 유지(RG1)
ERM과 통합(RG2)
리스크를 인지한
비즈니스 의사결정(RG3)
IT리스크 관리 수행 기업안에 내재화되고, 기업이 보안을 위해 최적의 리스크를 조정할 수 있도록 한다.
기업이 최적의 리스크 조정 수익을 보장하는 것을 합법화 할 때 IT 리스크 관리 연습이 기업에 들어가는지 보장
IT 리스크 관리 사례들이 기업의 최적의 리스크 조정 수익을 확보하기 위해 삽입되어 있다는 것을 확실히 한다
리스크 평가(RE)
데이터 수집(RE1)
리스크 분석(RE2)
리스크 프로파일 유지(RE3)
사업 기간 중 IT와 관련된 리스크와 기회를 식별하고 분석, 제안함을 보장
IT관련 리스크 쟁정, 기회가 확인되고 분석되고 비즈니스 용어로 표현되는 것을 보장 한다
리스크 대응(RR)
ㄹ스크 명확화(RR1)
리스크 관리(RR2)
사고 대응(RR3)
IT리스크 쟁점, 기회와 사건이 비용 효과적으로 업무 순위에 따라 다루어지도록 보장
IT관련 리스크 쟁정, 기회와 사건이 비용효과적으로 또한 업무 우선순위에 따라 다루어지도록 보장
IT관련 리스크 쟁정, 기회와 사고의 비용, 업무 우선순위에 따라 다루어지도록 보장
2. 리스크 IT 프리임워크 - RG 프로세스
리스크 거버넌스(RG)
일반적 리스크
관점의 수립과 유지(RG1)
리스크를 인지한
비즈니스 의사결정(RG3)
ERM과 통합(RG2)
핵심활동
RG1.1 전사적 IT 리스크 평가 수행
RG1.2 IT 리스크 용인 한계점 제안
RG1.3 IT 리스크에 대한 용인 승인
RG1.4 IT 리스크 정책 조정
RG1.5 IT 리스크 인식문화 를 홍보
RG1.6 IT 리스크 효율적인 커뮤니케
이션 장려
활동 목적
•
기업 IT리스크 평가 수행
•
IT리스크 용인 임계값들 제안
•
IT리스크 용인 승인
•
IT 리스크 정책 조정
•
IT리스크인식 문화 홍보
•
IT리스크에 대한 효율적인 커뮤니케이션 장려
프로세스 목적
•
활동 측정 기준
•
기업 IT리스크 평가
•
기업 IT리스크 평가 시 임원의 참여 수준
•
IT리스크 정책의 존재
•
IT리스크 관리 책임들을 가진 훈련된 직원들의 비율
•
IT리스크 정책에 대한 커뮤니케이션에 약한 기업의 범위
IT와 관련된 손실과 리더십의
주관적인 허용을 위한 리스크관리
활동을 보장
RG 목적
•
프로세스 측정 기준
리스크 관리 수행 기업안에
내재화되고, 기업이 보안을 위해
최적의 리스크를 조정할 수 있도록
한다.
RG 측정 기준
•
•
징게조치 되지 않은 알려진 임원 수준의
리스크 용인 위반 수
•
관련 리스크 용인에 반대되는 하나이상의
•
강제되는 정책의 개수
IT에서 전반적인 기업의 리스크를
감소하기 위해 기업의 자원을 활용하는
등급
중요한 리스크 관리 기술 훈련들을 받은
직원들이 채워진 관리 직책의 비율
2. 리스크 IT 프리임워크- RG 프로세스
리스크 거버넌스(RG)
일반적 리스크
관점의 수립과 유지(RG1)
리스크를 인지한
비즈니스 의사결정(RG3)
ERM과 통합(RG2)
핵심활동
RG2.1 IT 리스크 관리를 위한 책임
추적성 수립과 유지
RG2.2 IT 리스크 전략과 비즈니스
리스크 전략의 조화
RG2.4 IT 리스크 관리를 위한 충분
한 자원 제공
RG2.5 IT 리스크 관리에 대한 독립적
인 보증 제공
활동 목적
•
IT 리스크 관리를 위한 책임을 설립 및 유지
•
IT 리스크전략과 경영 리스크 전략을 조직화
•
IT 연습을 기업리스크 훈련으로 적응화
•
IT 리스크 관리를 위한 적합한 자료제공
•
IT 리스크 관리의 독립적인 보장 제공
RG2.3 IT 리스크 관례를 전사적 리스
크 관례에 적용
프로세스 목적
•
IT 리스크 전략, 작용을 기업레벨에서
만들어진 경영 전략 리스크 결정과
통합
활동 측정 기준
RG 목적
•
기업이 최적의 리스크 조정 수익을
보장하는 것을 합법화 할 때 IT
리스크 관리 연습이 기업에
들어가는지 보장 한다
프로세스 측정 기준
•
리스크 관리 목적을 반영하여 성능 매트릭스와 보상을 받는 직원의 •
퍼센트
IT 사용과 신뢰를 받은 기업에서 리스크와 통합된
리스크 전략을 교육받은 경영간부나 매니저의 비율
•
활동의 순위에 준하여 RACI와 관련된 정렬점수
•
•
이사회에 제공된 다른 리스크 보고서의 개수
경영 리스크 전략에 사용한 IT 리스크 관리 조직상의
직접적인 소비 비율
•
IT 리스크에 적용할 수 있는 정의된 방법에 의한 통합 리스크 관리
전략의 퍼센트
•
IT 리스크에 관련된 비즈니스 프로젝트의 비율
•
IT 리스크에 관련된 ERM 핵심 활동의 비율
•
시행하기 위한 승인된 IT 리스크 관리 활동 계획
•
IT 리스크 경영간부위원회의 안건으로 쓰여진 빈도
•
IT 리스크 걱정과 핵심 ERM 활동의 퍼센트
•
•
다른 쟁점관리 과정과 플랫폼의 개수
ERM과 IT 리스크 관리에 걸쳐있는 공통 목적을
정렬하는 범위 정도
•
리스크 중요성에 따른 경영라인의 예산 할당 퍼센트
•
•
리스크 관리와 관련된 작원의 보직의 수
여러 차례 테스트된 통제의 비율 결과를 종합할 수
없는 기업에 한정된 리스크 평가의 개수
RG 측정 기준
•
기업 리스크 전체에
기업자원을 절약하기
위해 IT를 전략적으로
사용하는 정도
•
리스크 관리 자리가
치명적인 리스크
기술을 훈련받은
스태프에 의해서
채워질 퍼센트 (예를
들어, 기본 리스크분석
기술, 위기 관리
프로젝트, 사람들의
기술
2. 리스크 IT 프리임워크-RG 프로세스
리스크 거버넌스(RG)
일반적 리스크
관점의 수립과 유지(RG1)
리스크를 인지한
비즈니스 의사결정(RG3)
ERM과 통합(RG2)
핵심활동
RG3.1 IT 리스크 분석 접근을 위한
경영권 인수 검토
RG3.2 IT 리스크 분석 승인하기
RG3.4 IT 리스크 승인하기
RG3.5 IT 리스크 응답 활동들의 우
선 순위들
활동 목적
•
IT 리스크 분석 방법을 위한 경영권을 매입
•
IT 리스크 분석 승인
•
전략적 비즈니스 의사결정에 삽입된 IT 리스크 고려사항들
•
IT 리스크 응답활동의 우선순위들
프로세스 목적
•
활동 측정 기준
•
의사결정이 아닌 쟁점들 때문에
실패한 프로젝트들의 가치
•
관련된 리스크 분석 보고서의 가용성
없이
만들어진 주요 경영
•
의사결정의 개수
•
기회 손실을 포함한 리스크 수용 결정들로부터
발생하는 불리한 이벤트 손실의 수량과 크기
•
증빙서류 전체를 가지고 리스크 수용 결정을 하는 비율 •
우선적인 리스크응답 활동들의 개수
•
빈도와 규모가 추적될 때 예상되는 감소의 IT 리스크
쟁점들이 발생하는 비율
•
경험을 위해 재 방문된 IT와 관련된
손실에 이르는 결정들의 비율
리스크 수용 결정을 위한 통제 결함을
발견하는 주기(예, 취약점 이벤트)
보고된 정책 제외사항들로부터
그들의 처분에 대한 결정의 주기
IT 리스크 관리 사례들이 기업의 최적의
리스크 조정 수익을 확보하기 위해
삽입되어 있다는 것을 확실히 한다
RG 측정 기준
•
고려하지 못했던 IT 리스크를 고려해야 할 비즈니스
결정들의 비율
•
기업의 의사결정들은 성공을 위해 전체
범위의 기회들과 결과들을 고려하며
IT에 의존한다는 것을 확인
RG 목적
프로세스 측정 기준
•
•
RG3.3 전략적 비즈니스 의사결정에
삽입된 IT 리스크 고려사항들
•
기업 전체의 리스크를 감소시키는
자원을 활용을 통해 IT 자원을
이용하는 전략(등급)
치명적인 리스크 관련 기술로 훈련된
직원으로 채워진 리스크 관리
직책들의 비율(예, 무언가 IT관련
잘못된 들을 탐지하기 위한 표준
리스크 분석 기법, 위기관리,
프로젝트 관리, 감사 등의
인력관리 기술들)
2. 리스크 IT 프리임워크-RE 프로세스
리스크 평가(RE)
리스크 수집(RE1)
리스크 프로세스 유지(RE3)
리스크 분석(RE2)
핵심활동
RE1.1 자료 수집을 위한 모델 수립 및
유지
RE1.2 운영환경 자료수집
RE1.3 리스크 사건 자료 수집
RE1.4 리스크 요소 식별
활동 목적
•
자료 수집을 위한 모델 수립과 유지
•
운영 환경 자료 수집
•
리스크 사건 자료 수집
•
리스크 요소 식별
프로세스 목적
•
활동 측정 기준
•
정의되어지고 문서화된 리스크와 관련한 자료 수집 모델의 존재
•
자료 수집을 위해 사용된 수많은 자료 출처
•
수립되어진 표준과 비교하여 리스크 사건 데이터의 완전성 이는
개별적인 이벤트 데이터(예:통제 유무)와 지속적인 데이터 응답
시간과 관계하여 진행 양쪽 모두를 포함한다.
•
원인이 된 요소들을 식별하기 위한 수많은 데이터 항목
•
IT 리스크 도메인과 최상위 카테고리 전반에 걸친 역사상의
데이터에 대한 완전성
RE 목적
효과적으로 IT와 관련된 리스크 식별,
•
분석 및 리포팅을 위한 관련 데이터
식별
프로세스 측정 기준
•
저장소의 일부 형식 안에서 포착되지 않은
핵심 특징을 가진 수많은 손실 이벤트
•
수집된 자료로 경향과 시나리오 분석에
대한 리포팅을 지원하는 범위
•
자료 수집에 의해 제공되는 통제 상태에
대한 가시성과 인식의 범위
•
자료 수집에 의해 제공되는 위협 환경에
대한 가시성과 인식의 범위
사업 기간 중 IT와 관련된 리스크와
기회를 식별하고 분석, 제안함을 보장
RE 측정 기준
•
IT와 관련된 사고들과 리스크 평가
프로세스에 의해 식별되지 않은
이벤트로부터 누적되는 사업 영향
2. 리스크 IT 프리임워크-RE 프로세스
리스크 평가(RE)
리스크 수집(RE1)
리스크 프로세스 유지(RE3)
리스크 분석(RE2)
핵심활동
RE2.1 IT리스크 분석범위
RE2.2 IT리스크 측정
RE2.3 리스크 대응 방안 식별
RE2.4 IT리스크 분석 대한 리뷰수행
활동 목적
•
IT 리스크 분석 범위 정의
•
IT 리스크 측정
•
리스크 대응 방안 식별
•
IT 리스크 분석에 대한 피어 리뷰 수행
프로세스 목적
•
활동 측정 기준
•
나중에 경험 또는 테스트에 의해 입증되어 지는 시간 분석의
비율[퍼센터](정확도)
•
피어 리뷰로 중요하고 타당한 계산 혹은 불완전한 오류를
발견하지 못하는 시간 비율[퍼센트](방어가능성)
•
다른 분석자에 의해 수행된 동일한 시나리오 상의 매우
유사한 평가가 같은 결과를 얻게 되는 시간 비율
•
잘 훈련된 분석가에 의해 수행되어진 분석에 대한 시간
비율[%]
•
리스크 분석 리포팅을 하는 동안 파생된 만족도 지수
리스크 요소의 사업 관련성을 고려한
•
리스크 결정을 돕기 위한 유용한
정보의 전개
프로세스 측정 기준
•
개연성 있는 사건의 빈도와 범위 안에서
측정 가능한 사업 영향의 규모에 대한
리스크 비율[퍼센트]
•
알려진 운영상의 통제에 대해 검토되어질 •
매우 중대한 자산, 대상 그리고 자원의
비율[퍼센트]
•
경영진에게 보내지기 전에 피어 리뷰를
받는 리스크 분석의 비율[퍼센트]
•
누적 자본 손실 대 기대 손실 규모의 비율
RE 목적
사업 기간 중 IT와 관련된 리스크와
기회를 식별하고 분석, 제안함을 보장
RE 측정 기준
IT와 관련된 사고들과 리스크 평가
프로세스에 의해 식별되지 않은
이벤트로부터 누적되는 사업 영향
2. 리스크 IT 프리임워크-RE 프로세스
리스크 평가(RE)
리스크 수집(RE1)
리스크 분석(RE2)
리스크 프로세스 유지(RE3)
핵심활동
RE3.1 IT자원과 BIZ 프로세스 매핑
RE3.2 IT자원의 비즈니스 중요도 결정
RE3.4 IT리스크 시나리오 요소갱신
RE3.5 IT리스크 지표개발
활동 목적
• IT자원과 BIZ 프로세스 매핑
• IT자원과 BIZ 중요도 결정
• IT기능 이해
• IT리스크 시나리오 갱신
• IT리스크 지표 개발
활동 측정 기준
프로세스 목적
• 최신의 알려진 리스크와 특성,
IT자원, 기능의 전체 목록을
유지하고 비즈니스 제품, 서비스
및 프로세스 맥락의 이해자로서
통제
프로세스 측정 기준
RE3.3 IT 기능 이해
RE 목적
• IT관련 리스크 쟁정, 기회가
확인되고 분석되고 비즈니스
용어로 표현되는 것을 보장
RE 측정 기준
• IT자원과 IT기반구조 자원을 뒤 받침하는 의존도
• 리스크 프로파일에 포함되지 않은
연계의 주요 비즈니스 활동의 비율
승인된 리스크 분석결과의 수
• 리스크 평가 프로세스에서
• 리스크 트리거 및 임계값에 의해 다루어지는
•
리스크
분석에
포함되지
않은
확인되지 않은 IT관련 사고와
IT포트폴리오의 핵심 요소 비율
핵심 비즈니스 서비스 비율
이벤트로부터 누적된 비즈니스
• IT리스크 시나리오 요소의 갱신주기
영향
• 리스크 시나리오 요소에 걸친
• 트리거 메커니즘에 의ㅐ 탐지되지 않은 비즈니스
속성과 가치의 완전성
영향의 발생된 이벤트 수
2. 리스크 IT 프리임워크-RR 프로세스
리스크 대응(RR)
리스크 명확화(RR1)
사고 대응(RR3)
리스크 관리(RR2)
핵심활동
RR1.1 IT 리스크 분석 결과 전달
RR1.2 IT 리스크 관리 활동과
준거성 상태보고
RR1.3 독립적인 IT 평가결과 해석
RR 1.4 IT 관련 기회 확인
활동 목적
•
IT리스크 분석 결과를 전달
•
T리스크 관리 활동 및 준수 상태 보고
•
독립적인 IT평가 결과 해석
•
IT관련 기회 확인
프로세스 목적
•
활동 측정 기준
IT 관련 리스크를 실제 상태에 대한
정보를 확인하고 기회를 시기 적절히
대응하기 위해 올바른 사람을 이용
가능하도록 함
너무 높은 또는 너무 낮은 기업계층으로
부적절하게 배포된 리스크 쟁점의 백분율
적시의 리스크 관리보고서의 백분율
•
IT자산 및 자원의 백분율
리스크 관리 활동 보고의 빈도
•
IT노출과 관련되어 향후 예상 위협과 손실
이벤트와 관련된 IT노출 보고의 적시성
초기에 전달에서 수용되는 리스크 분석활동의 백분율
•
•
•
프로세스 측정 기준
•
•
RR 목적
리스크 쟁점, 기회와 사건이 비용
효과적으로 업무 순위에 따라
다루어지도록 보장
RR 측정 기준
•
리스크 평가 프로세스에서 예측되었지만
IT관련 사고와 이벤트로부터 누적된 비즈니스
영향도
2. 리스크 IT 프리임워크-RR 프로세스
리스크 대응(RR)
리스크 명확화(RR1)
사고 대응(RR3)
리스크 관리(RR2)
핵심활동
RR2.1 통제목록
RR2.2 리스크 용인 한계값에 대한
운영상의 연계 모니터
RR2.4 통제를 실행
RR2.5 IT 리스크 조치계획의 보고
활동 목적
RR2.3 발견된 리스크 노출과 기회
에 대응
프로세스 목적
RR 목적
• 전략적 기회를 붙잡고 리스크 수용
가능한 수준으로 낮추기 위한
조치들을 포트폴리오로 관리
• IT관련 리스크 쟁정, 기회와
사건이 비용효과적으로 또한 업무
우선순위에 따라 다루어지도록
보장
• 통제 목록 작성
• 리스크 용인 한계값에 대한 운영상의 연계모니터
• 통제를 실행
• IT 리스크 조치계획의 보고
활동 측정 기준
프로세스 측정 기준
• 리스크 및 통제 기준선의 존재
• 리스크 소유자의 만족도
• 리스크 용인 임계값의 백분율
• IT리스크 조치계획의 백분율
• 통제의 백분율
• IT리스크 쟁점의 백분율
• IT리스크 쟁점이 받아들여지지
않은 백분율
• 핵심 리스크 지표
• 리스크 활동에 투자된 금액
• 핵심리스크 지표데이터 양
• 잔여 리스크 영역에 관한 계류 중
검토의 수
• 놓쳐 버린 IT관련 기회의 수와 가치관련 사건의 수
RE 측정 기준
• 리스크 평가 프로세스에서
예측되었지만 IT관련 사고와
이벤트로부터 누적된 비즈니스
영향도
2. 리스크 IT 프리임워크-RR 프로세스
리스크 대응(RR)
리스크 명확화(RR1)
사고 대응(RR3)
리스크 관리(RR2)
핵심활동
RR3.1 사고대응계획의 유지
RR3.2 IT 리스크 감시
RR3.3 사고 대응의 시작
RR3.4 리스크 이벤트로 부터 배운
교훈 소통
활동 목적
•
사고대응계획의 유지
•
IT 리스크 감시
•
사고 대응의 시작
•
리스크 이벤트로 부터 배운 교훈 소통
프로세스 목적
•
활동 측정 기준
즉각적인 기회에 대한 측정 또는
시기적절하고 효과적으로 활성화된
IT관련 이벤트로부터 손실의 규모를
제함함을 보장
사고 응답계획 실행지연으로 비즈니스
영향에 대한 이벤트의 수
해결되지 앟은 품질 쟁정으로 사고 대응 계획의 수
•
책임 소유자가 없는 사고 대응 계획의 수
사후 검토 또는 교훈이 될 수 없는 비즈니스 영향 리스크
이벤트 비율
•
사고 대응 계획지연의 적시성
•
품질 및 배포에 관한 쟁정의 사고대응
계획 비율
다음 검토 날짜가 지난 사고 대응 계획의 비율
•
•
•
프로세스 측정 기준
•
•
RR 목적
IT관련 리스크 쟁정, 기회와 사고의
비용, 업무 우선순위에 따라
다루어지도록 보장
RR 측정 기준
•
리스크 평가 프로세스에서 예측되었지만
완화 또는 이벤트 조치계획에서는
다루어지지 않은 IT관련 사고와
이벤트로부터 누적된 비즈니스 영향도