[USG]위험 관리를 위한 일반적인 접근법 #3

[3주차] 위험 관리 계획

학습목표

1. 조직이 어떻게 위험 관리 계획을 수립하는지 설명한다.
2. 위험 관리 프로세스 팀이 어떻게 구성되어 있는지에 대한 예를 논의한다.
3. 조직이 어떻게 위험 관리 프로세스를 만드는지 설명한다.
4. 조직이 위험 관리 프레임워크를 구축하는 방법을 정의한다.
5. 다양한 위험 관리 방법론 중에서 조직이 어떻게 평가할 수 있는지 설명한다.

[3-1] 위험 관리 방법론 평가

위험 관리 방법론을 평가하는 공식적인 방법은 없다. 모든 조직의 위험 관리 팀은 사용 가능한 옵션을 검토한 다음 조직의 요구 사항과 역량에 가장 적합한 옵션을 스스로 결정해야 한다. 조직이 이러한 방법론을 비교하는 데 도움이 되는 몇 가지 방법과 기법이 있다. 조직의 규모와 성숙도는 어떤 방법론을 선택하느냐에 영향을 미칠 뿐만 아니라, 정보 기술의 복잡성 수준, 조직의 임무와 목적에 따라 달라진다. 조직이 보유한 정보 자산이 많고 정보 자산이 분류될수록, 위험 관리 노력이 더욱 어려워져 보다 강력하고 유연한 방법론이 필요하다.

 

첫 번째 단계는 분명히 고려할 수 있는 가용한 위험 관리 방법론을 찾는 것이다. 적절한 위험 관리 방법론을 찾아야 하는 이 어려운 작업에 직면했을 때, 다른 보안 전문가와 이야기를 나누는 것부터 시작하는 것이 가장 좋을 수 있다. 그러면 이러한 실무자들이 선호하는 방법론이 무엇인지 배울 뿐만 아니라, 그들이 왜 선택했는지도 알 수 있을 것이다. 동료들이 위험 관리 프로그램과 그 프로그램을 구현하는 방식에 대한 독점적인 세부 정보를 공개하지 않을 수 있지만, 최소한 올바른 방향을 알려줄 수 있을 것이다. 물론 여기서 두 조직이 동일하지 않다는 점을 잊어서는 안 된다. 한 조직에 잘 작동하는 것이 다른 조직에는 잘 작동하지 않을 수 있다. 또한, 우리는 출판된 보안 저널과 잡지에서 정보를 찾을 수 있고, 보안 컨퍼런스에도 참석할 수 있다. 다른 모든 것이 실패하면, 웹을 사용한 인터넷에 대한 일반적인 연구도 있다. 다행히도, 위험 관리 방법론을 후원하는 몇 개의 조직이 존재한다. 가장 잘 알려진 기관은 국제 표준화 기구, 즉 ISO인데, 위험 관리에 초점을 맞춘 두 가지 표준을 가지고 있다. ISO 27005와 ISO 31000이 그 대상이 될 것이다. 키사도 당연히 빼놓을 수 없고 말이다. 그들의 위험 관리 프레임워크는 시스템을 인증하고 인증하여 기밀 정보를 처리해야 하는 필요에서 진화했다. 위험 관리 방법론을 인정한 다른 기관으로는 이전에 CERT 또는 CERT로 알려진 부서인 카네기 멜론 소프트웨어 엔지니어링 연구소가 옥탄 방법론을 제공한다. 소규모 조직을 위한 저의 다소 단순한 형태부터 대규모 조직을 위한 다소 복잡한 형태에 이르는 세 가지 방법론의 그룹이 있다. 또 다른 잘 알려진 그룹은 개방형 공정 위험 관리라는 국제 표준으로 진화한 상업적 조직이 추진하는 F-A-I-R다. 마지막으로 유럽 네트워크 및 정보 보안국도 위험 관리 프로세스를 갖추고 있다. 이용 가능한 유일한 방법론이 여기에 있다는 것을 의미하는 것은 아니다. 방법론을 발표한 공공 및 민간 기관도 몇 개 있다. 그저 이는 가장 잘 알려진 몇 가지 방법론일 뿐이다.

 

이 방법론을 평가하는 프로세스에 접근할 때 위험 관리 방법론을 비교하는 데 사용할 수 있는 한 가지 기술은 가중 테이블 분석이다. 이 도구를 사용하여 조직에 무엇이 중요한지 결정하고, 이를 기준으로 다양한 방법론을 비교할 수 있다. 하지만 이 프로세스를 수행하려면 조직이 각 방법론을 평가하기 위해 선택한 각 기준에 대해 평가할 수 있는 충분한 지식을 가지고 있어야 한다. 가중 테이블 분석은 두 가지 간단한 수학적 기능을 수행한다. 먼저 조직이 평가하는 것을 비교하기 위해 사용하고자 하는 기준을 식별한다. 위험 관리 방법론의 경우 조직의 규모에 대한 적합성을 포함해야 한다. 특정 옥타브 분산과 같이 중소기업을 위해 설계된 방법론이 있다. 하지만 대부분의 사람들은 조직이 상당한 규모와 복잡성을 가질 것으로 예상한다. 조직의 위험 관리 프로그램의 성숙도도 살펴볼 수 있다. 조직이 상당 기간 위험 관리를 수행했다면 더 복잡하고 강력한 방법론을 수행하는 것이 더 적합할 수 있다. 위험 관리를 처음 시작한 조직은 더 단순한 접근 방식을 선호할 수도 있다. 사이버 보안 직원의 경험도 고려해야 한다. 어떤 방법론은 너무 복잡해서 위험 관리에 대해 상당한 수준의 전문 지식이 있어야 성공적으로 작동할 수 있다. 조직에 위험 관리에 대한 교육과 경험이 있는 직원이 없다면 더 단순한 방법론을 선택하는 것을 선호할 수도 있다.

 

위험 관리 방법론의 복잡성도 한 요인이 될 수 있다. 이는 다른 몇 가지 기준과 관련이 있다. 위험 관리 방법론의 복잡성 수준은 조직이 시간, 비용 및 인력에 대한 실질적인 투자 없이 이를 사용할 수 있는지 여부에 극적으로 영향을 미칠 수 있다.

교육 및 지원 자료에 대한 접근성이 요소가 된다. 방법론을 구현할 수 있는지 여부는 예산, 인력 및 시간과 같은 다른 요소에 따라 교육 자료에 접근할 수 있는지 여부에 영향을 받을 수 있다. 대부분의 방법론에는 지원 문서가 제공되지만 일부 방법론에는 추가 교육 및 구현 지원이 필요할 수 있다.

애플리케이션 지원도 한 가지 요인이다. 방법론을 선택하는 데 있어 중요한 요소 중 하나는 애플리케이션이 상업용 애플리케이션에 통합되었는지 여부일 수 있다. 공식 애플리케이션 소프트웨어의 지원 없이 위험 관리를 완전히 수행할 수 있는데, 애플리케이션 환경의 기본을 이루는 방법론을 구현하는 것은 비용이 더 많이 들지만 프로세스 팀이 실제로 위험 관리 평가 및 복구를 수행하는 데 있어 훨씬 더 쉽다. 그런데 추가적인 제약 조건이 있을 수 있으며, 특정 인증 표준이나 규정을 충족하려는 욕구와 같이 위험 관리 방법론에 대한 조직의 선호도에 영향을 미치는 기준도 있을 수 있다. 유럽 연합에서 비즈니스를 수행하는 조직이나 ISO 인증을 원하는 조직의 경우, ISO 표준 방법론을 따르는 것이 더 합리적일 수 있다. 미국 정부 부문에서 일하거나 종사하려는 조직의 경우 NIST 방법론을 따르는 것이 더 합리적일 수 있다. 조직이 가중치 표에서 사용하고자 하는 기준을 선택한 후 다음 단계는 각 기준에 가중치를 할당하는 것이다. 어떤 기준은 조직에 다른 기준보다 더 중요할 수 있으므로, 각 기준에 다른 가중치를 할당하는 것이 더 합리적이다. 이러한 가중치를 계산하는 여러 가지 방법이 있지만, 가장 간단한 방법은 각 백분율에 서명하는 것이며, 이는 100%를 나타내는 최대 1개의 기준을 나타낸다.

빨간색으로 강조 표시된 값을 더하면 최대 1.0이 추가되는 것을 볼 수 있다. 가중치가 할당되면 평가하는 각 방법론에 각 기준에 따라 점수가 매겨진다. 대부분은 1-5의 단순한 척도로 나타낼 수 있으며, 5개가 최선의 응답이다. 각 셀에 점수가 채워지면 각 셀의 값에 기준 무게를 곱한 값을 계산한 다음 결과를 합산한다.

가중치가 부여된 점수로 표를 정렬하면 우선순위가 부여된 방법론 목록이 생성된다. 이제 조직에는 채택 프로세스를 위해 고려해야 할 상위 1~2개의 방법론을 나타내는 목록이 있다. 이 방법은 다른 좀 더 모호한 평가를 기반으로 한 원시 추정보다 훨씬 더 간단할 수 있다. 앞서 언급했듯, 방법론의 선택과 평가는 프레임워크 기획팀이 담당한다. 그들은 조직에 적합한 최적의 방법론을 결정할 것이다. 방법론이 선택되면 어떤 방법을 사용하든, 다음 단계는 조직의 세부 사항에 맞게 방법론을 조정하는 것이다.

[3-2] 위험 관리 프레임워크 구축 #1

위험 관리는 조직의 정보 자산에 대한 위험을 발견 및 평가하고 이러한 위험을 제어하거나 완화할 수 있는 방법을 결정하는 과정이다. 사실 조직의 사이버 보안은 주로 정보 및 정보 자산의 사용으로 인해 발생하는 정보 자산에 대한 위험을 관리하기 위해 존재한다. 위험 관리는 조직 내 모든 관리자가 수행해야 할 핵심 책임이다. 잘 개발된 위험 관리 프로그램은 공식적이고 반복 가능한 프로세스에 의존한다. 앞서 언급했듯이 위험 관리에는 계획 및 감독 기능이라는 두 가지 핵심 요소가 포함되며, 이 기능을 위험 관리 프레임워크라고 부른다. 그리고 실제 위험 평가 및 완화 노력은 우리가 위험 관리 프로세스라고 부르는 것이다.

 

위험 관리 프레임워크는 조직의 모든 위험 관리 노력을 위한 전략적 계획 및 설계의 전반적인 구조다. 위험 관리 프로세스는 프레임워크에 명시된 대로 위험 관리를 실행하는 것이다. 즉, 위험 관리 프레임워크, 계획은 위험 관리 프로세스를 안내한다. 실행은 위험 평가 및 복구 프로세스를 수행한다. 위험 관리 프레임워크는 위험 관리 프로세스를 평가하고, 이는 조직의 정보 자산에 있는 위험을 평가한다. 우리의 목적을 위해 위험 관리 프레임워크와 관련된 활동 또는 단계는 크게 다섯 가지다.

 

① 경영진 거버넌스와 지원이 필요하다.

② 프레임워크를 설계해야 한다.

③ 프레임워크는 반드시 수행돼야 한다.

④ 프레임워크를 지속적으로 모니터링하고 검토해야 한다.

⑤ 지속적인 노력이 지속적으로 더 효과적이고 효율적인 결과를 얻을 수 있도록 지속적인 개선을 보장하는 프로세스가 있다.

이러한 프레임워크는 조직에서 리스크 관리를 수행하는 방법의 일반적인 예로 제공되지만, 위험 관리를 수행하는 유일한 방법은 아니다. 각 조직은 사용 가능한 여러 옵션 중 무엇이 가장 효과적인지 결정해야 한다. 조직이 어떤 위험 관리 방법론을 검토하고 여기에 표시된 단계와 공통점을 찾는 것은 어렵지 않을 것이다. 거버넌스는 일반적으로 이사회 수준 또는 고위 경영진 수준에서 조직의 경영진을 감독하는 책임이다. 이는 최고 경영진, 최고 정보 책임자를 의미한다. 그리고 최고 운영 책임자는 최고 정보 보안 책임자의 지원을 받아 다른 많은 관련 경영진과 함께 협력한다. 위험 관리 프레임워크와 그에 따른 위험 관리 프로세스를 개발하고 활성화하는 데 의의가 있다. 전체 위험  관리 프로그램은 조직 거버넌스 그룹이 공식적으로 승인하는 것으로 시작된다. 위험 관리 프로세스가 조직의 장기적인 지속 가능성과 정보 및 정보 자산의 사용을 보호하는 책임에 매우 귀중하고 중요하다는 것을 인식해야 한다.

 

이러한 전략적 가치를 인식한 후에, 그룹은 공식적으로 위험 관리 프로젝트의 개발과 궁극적인 실행을 위탁한다. 프레임워크를 실제 설계하기 전에, 거버넌스 그룹은 위험 관리 노력에 대한 의지를 입증해야 한다. 주요 위험 관리 프로젝트가 진행 중임을 조직 전체에 알린다. 프로젝트는 조직의 전략적 미래와 참여에 가장 중요하다. 그리고 조직의 모든 측면의 협력은 의무적이며 프로젝트의 성공에 매우 중요하다. 위험 관리 노력이 진전됨에 따라, 거버넌스 그룹은 특히 팀이 프로젝트에 대한 저항에 직면했을 때, 자신의 의지를 주기적으로 강화해야 할 것이다. 프레임워크 설계 중에 거버넌스 그룹과 프레임워크 팀이 수행하는 추가적인 작업에는 다음이 포함될 것이다. 모든 법 및 규제 법규를 준수하도록 보장하고, 비공식적으로 위험 관리 정책을 승인하는 개발 지침을 의무화하는 것이다. 모든 위험 관리 노력에 대한 성과 조치를 권장하고, 조직에서 수행된 다른 성과 측정과 호환되는지 확인해야 한다. 위험 관리 프로젝트를 지원하는 역할과 책임 부여. 선택된 목적과 목표가 조직의 전략적 목적과 목표에 적합하고 일치하는지도 확인한다. 그리고 물론 이러한 모든 활동이 일어나기 위해 필요한 자원을 제공해야 할 것이다.

[3-3] 위험 관리 프레임워크 구축 #2

다음 단계에서 프레임워크 팀은 선택하고 적응한 위험 관리 방법론을 기반으로 위험 관리 프로세스를 설계하기 시작한다. 이 방법론은 현재의 위험 수준을 식별하는 프로세스를 안내하고, 조직의 위험 수요에 맞게 해당 수준의 의심을 수용 가능한 수준으로 끌어올리기 위해 해야 할 일이 있다면 무엇인지 결정한다. 위험 관리 프로그램을 설계한다는 것은 프레임워크 팀과 프로세스 팀이 모두 수행할 세부 작업을 정의하고 지정하는 것을 의미한다. 프레임워크 자체가 설계되면, 프레임워크 팀은 프로세스 팀 활동에 대한 감독으로 초점을 이동한다. 이 단계에서는 위험 관리 정책과 위험 관리 계획이 개발된다. 프레임워크 팀이 프레임워크와 프로세스 모두 위험 관리 프로그램 설계를 마치면 프로그램 구현을 시작한다. 

 

여느 주요 프로젝트와 마찬가지로, 여기에는 프로세스에 대한 프로젝트 관리자를 지정하고 세부 구현 방법론을 제시하는 작업이 포함된다. 프레임워크 팀이 프레임워크 및 프로세스를 포함한 위험 관리 프로그램 설계를 완료하면, 프로그램 구현을 시작한다. 다른 주요 프로젝트와 마찬가지로, 여기에는 프로세스에 대한 프로젝트 관리자를 지정하고 세부 구현 방법론을 제시하는 작업이 포함된다. 프레임워크에서 안내하는 대로 위험 관리 프로세스를 구현하는 것은 전통적인 IT 구현 방법론 중 하나를 기반으로 할 수 있다. 조직은 배포하기 전에 데스크 점검을 위한 관리자를 선정하기 위해 계획을 배포할 수 있다. 조직은 전체 조직에 배포하기 전에 문제를 식별하기 위해 소규모 영역에서 파일럿 테스트를 수행할 수도 있다.

 

조직은 위험 식별과 같이 위험 관리 프로세스의 일부만 초기에 전사적으로 구현하는 단계적 접근 방식을 사용할 수도 있고, 새로운 위험 관리 프로젝트가 전체 조직에서 동시에 완전히 시작되는 직접 컷을 선택할 수도 있다. 어떤 접근 방식을 선택하든, 위험 관리 프레임워크 팀이 프로그램의 성공을 위협하기 전에 문제를 발견하고 해결할 수 있도록 구현을 주의 깊게 모니터링하고 커뮤니케이션하며 검토하는 것이 중요하다. 매 위험 관리 주기 후에 프레임워크 팀은 위험 관리 프로세스의 운영과 프레임워크 계획 기능의 상대적인 성공 여부를 검토한다. 처음 몇 주기 동안 팀은 위험 관리 프레임워크, 위험 관리 계획 및 위험 관리 프로세스를 설계하고 구현하는 데 얼마나 성공했는지, 향후 주기에 대한 계획의 조정이 필요한 문제는 무엇인지 검토한다. 프레임워크는 프로세스를 설계하고 구현하기 위해 존재하기 때문에 일단 실행되고 위험 관리 계획에 기록되면 위험 관리 프로세스의 성공이 가장 큰 관심사가 된다.

 

프레임워크 계획 프로세스의 성공 또는 실패는 초기에 해결할 경우 비교적 쉽게 해결할 수 있다. 하지만 실제 위험 관리 프로세스의 하류에 있는 문제는 프레임워크를 처음부터 다시 설계한 다음 이러한 변경 사항을 수용하기 위해 위험 관리 계획을 수정해야 할 수도 있다는 것이다. 성과 측정은 위험 관리 프로세스에 대한 데이터를 수집하고 성공 또는 실패를 결정하는 데 자주 사용된다. 이러한 결과는 지속적인 개선 단계에서 사용된다. 위험 관리 프로세스가 구현되고 운영되면, 프레임워크 팀은 전체 위험 관리 프로세스 주기에 대한 모니터링과 검토에 주로 관심을 가진다. 그러나 프레임워크 팀과 계획이 구현되고 운영되기 전까지 프레임워크 팀은 위험 관리 프레임워크와 계획에 대한 감독에도 관심을 기울여야 한다. 거버넌스 그룹은 전체 위험 관리 프로그램에 대한 정기적인 피드백도 기대한다. 지속적인 개선은 이름에서 알 수 있듯이 모든 유형의 노력을 지속적으로 검토하고 개선하기 위한 공식적인 프로그램을 구축하는 접근 방식이다.

 

좋은 위험 관리 방법론은 지속적인 개선을 작업의 일부로 만들고, 여기서 계획 팀은 위험 관리 계획을 검토하는 것이다. 프로세스의 두 프레임워크는 정기적으로 과거 및 현재 위험 관리 주기의 결과를 원하는 결과와 지속적으로 비교한 다음 원하는 최종 목표를 향해 프로젝트를 계속 진행하기 위해 필요한 모든 변경을 수행한다. 앞서 설명했듯, 현재 결과와 이상적인 결과 간의 차이를 일반적으로 격차라고 한다. 이 두 가지를 비교하여 격차를 줄이는 방법을 찾는 것을 격차 분석이라고 한다. 성과 조치를 위험 관리 프로세스에 적용하면 전체 위험 관리 노력의 진행 상황과 성과를 평가하는 데 도움이 될 수 있는 데이터가 제공된다. 팀이 위험 관리 노력의 성과를 계속 검토함에 따라, 향후 위험 관리 주기에 대한 계획을 조정하여 프레임워크와 프로세스를 개선하고 예상 결과와 실제 결과 간의 격차를 줄일 수 있을 것이다

[3-4] 위험 관리 프로세스 설계 및 구축

프레임워크 팀은 선택되고 적응된 위험 관리 방법론을 기반으로 위험 관리 프로세스를 설계하기 시작한다. 방법론은 현재의 위험 수준을 식별하는 프로세스를 안내하고, 명시된 위험 욕구에 맞게 해당 수준을 허용 가능한 수준으로 낮추기 위해 수행해야 할 작업이 있는지 결정한다. 위험 관리 프로그램을 설계한다는 것은 프레임워크 팀과 프로세스 팀이 수행할 세부 작업을 정의하고 지정하는 것을 의미한다. 프레임워크 자체가 설계되면 프레임워크 팀은 프로세스에 대한 감독으로 초점을 이동한다. 이 단계에서 위험 관리 정책과 위험 관리 계획이 개발된다.

위험 관리 과정은 조직의 정보 자산과 관련된 위험에 대한 몇 가지 핵심적인 질문에 대한 답을 발견하고 이해하는 것을 포함한다. 위험는 어디에서 발생하는 무엇인가? 이를 위험 식별이라고 한다. 현재의 위험 수준은 어느 정도인가? 이를 위험 분석이라고 한다. 현재의 위험 수준이 수용 가능한가? 이를 위험 평가라고 한다. 위험을 수용 가능한 수준으로 끌어올리기 위해서는 어떤 조치를 취해야 할까? 이를 위험 처리라고 한다. 위험 평가라는 용어는 일반적으로 처음 세 가지 질문과 관련된 전체 활동을 설명하는 데 사용된다.

위험 관리 프레임워크의 실행 단계에서 위험 관리 계획은 주요 자산에 대한 위험 평가 및 시정이 수행되는 위험 관리 프로세스의 실행을 안내한다. 세 개의 이해 관계 커뮤니티는 전면적인 재난부터 자연 재해든, 인간적인 재해든, 직원의 가장 작은 실수든, 모든 수준의 위험를 해결하기 위해 함께 노력해야 한다. 이를 위해 조직의 여러 부서의 담당자들이 협력하여 위험 관리 프로세스 활동에 적극적으로 참여한다. 이 프로세스는 팀의 구체적인 지식과 관점을 사용하여 프로세스 작업을 완료한다.

프로세스를 개발하기 위한 준비에는 조직의 내부 운영 환경, 조직을 구성하는 인력, 프로세스 및 기술 및 위험 관리 프로세스에 영향을 미칠 수 있는 외부 운영 환경을 이해하는 것이 포함된다. 여기에는 IT 환경뿐만 아니라 조직이 정보를 사용, 저장 및 처리하는 모든 곳이 포함된다. 첫 번째 단계는 프로세스 팀에 직원을 배치하는 것이다. 앞서 언급했듯이 프레임워크 팀의 한 명 이상의 구성원이 연속성을 위해 프로세스 팀에서 일할 수도 있다. 또한 보안, IT 및 비즈니스 운영 그룹의 관심 있는 다양한 커뮤니티의 대표자가 포함되어 있어야 한다. IT 시스템 관리자가 검토 중인 다양한 시스템에 액세스할 수 있도록 IT 시스템 관리자뿐만 아니라 조직의 위험를 파악하고 분석하는 데 도움을 줄 수 있도록 여러 사이버 보안 분석가가 참석하는 것이 중요하다. 프로세스 팀에는 시간 관리, 예산 및 인사 관리 일정을 포함한 팀의 활동을 관리하는 데 도움을 줄 수 있도록 프로젝트 관리 교육을 받은 개인이 포함되어야 한다. 프로젝트 관리자는 일반적으로 프로그램을 시간과 예산에 맞게 유지하는 데 초점을 맞출 것이므로, 프로세스 팀 책임자와는 다른 사람일 수도 있다. 프로세스 팀장은 팀이 현재 단계의 위험 관리 주기에 적합한 작업에 집중할 수 있도록 하는 데 초점을 맞출 것이다. 적어도 일부 프로세스 팀 구성원이 위험 관리에 대해 확고하게 이해하고 있으며, 과거에 위험 관리 프로젝트에 참여한 적이 있을 수도 있지만, 이는 필요하지 않다. 그룹이 조직되면 가장 먼저 할 일은 전체 팀에 위험 관리에 대해 일반적으로 교육하고 선택한 방법론을 구현하는 것이다. 위험 식별에는 사용 중인 정보 자산의 인벤토리를 만드는 것이 포함된다. 이러한 자산을 몇 가지 의미 있는 범주로 분류하고 구성하는 것이다. 각 정보 자산에 값을 할당하고 식별된 자산에 대한 위협을 식별하며, 특정 위협을 특정 자산에 연결하여 취약한 자산을 정확하게 파악해야 한다. 위험 분석에는 취약한 시스템이 특정 위협에 의해 공격받을 가능성을 결정하는 것이 포함된다. 조직과 정보 자산이 직면한 상대적인 위험을 평가하여 위험 관리 및 통제 활동이 가장 시급하고 즉각적인 주의가 필요한 자산에 집중할 수 있도록 한다. 그리고 현재 설정에서 자산이 노출되는 위험을 계산한다. 일반적인 방법으로 확인된 취약성에 대해 작동할 수 있는 제어와 자산이 직면한 위험을 제어하는 방법을 찾아야 한다.

이제 위험 식별 및 평가 결과를 문서화하고 보고한다. 다음 단계는 조직의 주요 자산에 대한 위험을 평가하고 식별된 통제되지 않은 위험과 조직의 위험 선호도를 비교하는 단계다. 여기에는 각 정보 자산에 대한 개별 위험 허용오차를 식별하고 이러한 개별 위험 허용오차를 일관된 위험 선호도 진술로 결합하거나 종합하는 단계가 포함된다. 위험 처리에는 정보 자산의 가치를 고려하여 어떤 처리 통제 전략이 가장 적합한지, 어떤 통제 옵션이 비용 효율적인 방식으로 사용되고 있는지 판단하는 단계가 포함된다.

여기에는 적절한 통제를 획득 또는 설치하는 것은 물론, 통제 전략이 배포된 후에도 효과적으로 유지되도록 프로세스를 감독하는 것도 포함된다.

정보 보안 개발 프로젝트 팀이 허용할 수 없는 수준의 위험을 가진 이러한 정보 자산을 확인한 후, 팀은 해당 자산에 대한 위험을 처리하기 위한 네 가지 기본 전략 중 하나를 선택해야 한다.

첫 번째 옵션은 위험 완화다. 통제되지 않은 나머지 위험을 제거하거나 줄이는 통제와 안전 장치를 적용하는 것이다. 또 다른 옵션은 위험 이전, 위험을 다른 영역이나 외부 엔티티로 이동하는 것이다. 위험 수용은 정보 자산의 취약성이 현재 수준의 위험에 직면해 있지만, 공식적인 평가와 이것이 적절한 결정임을 의도적으로 인정한 후에만 그 결과를 이해하는 것이다. 위험 회피라고 하는 것은 조직의 운영 환경에서 정보 자산을 제거하거나 중단하는 과정을 포함한다.

마지막으로 팀은 위험 관리 주기에서 얻은 결과를 요약하고, 위험을 통제하는 단계로 진입하기 위한 준비 과정에서 위험 평가의 식별, 분석 및 평가 단계에 대한 결론을 제시하며, 이를 적용 가능하거나 바람직한 경우 위험을 추가로 완화할 수 있는 방법을 모색한다.