[USG]주요 위험 관리 표준 및 프레임워크 #4

[4주차] ISO 위험 관리 접근법

학습목표

1. 위험 관리에 대한 ISO 접근 방식을 정의한다.
2. ISO 31000 표준과 위험 관리에 사용되는 방법을 설명한다.
3. ISO 27000 시리즈와 위험 관리에 대한 적용에 대해 설명한다.

[4-1] ISO 위험 관리 정의

앞서 언급했듯이 ISO에는 위험 관리를 다루는 두 가지 계열의 간행물이 있다. 시간이 지나면서 이 둘은 서로를 향해 나아갔고, 그 결과 매우 유사한 방법론이 탄생했다. 이 중 첫 번째는 ISO 31000이다. 이는 사이버 보안 위험 관리에 특별히 중점을 두지 않고, 일반적인 위험 관리에 중점을 둔다. 이 중 두 번째는 ISO 27005 표준으로, 현재 우리가 사이버 보안이라고 부르는 보안에 관한 ISO 27000 시리즈의 일부인 것이다. ISO 27005는 IT 보안 위험 관리 표준으로, ISO 31000 방법론에 기반을 두고 있다. 또 다른 관련 문서는 ISO 가이드 73으로, 위험 관리와 관련된 어휘를 제공한다. 이와 같은 가이드를 가지면 모든 사람이 동일한 용어와 정의를 사용하는 표준을 개발할 수 있다. ISO는 5년마다 표준을 업데이트하려고 노력하지만 때로는 뒤처지기도 한다는 점을 유의해야 한다. ISO에 너무 맹신하는 것은 지양해야 한다는 것이다.

 

ISO는 위험을 목표에 대한 불확실성의 영향으로 정의한다. 또한, 위험 관리를 위험과 관련하여 조직을 지휘하고 통제하기 위한 조정된 활동으로 정의한다. 그리고 ISO는 위험 관리 정책을 위험 관리와 관련된 조직의 전반적인 의도와 방향에 대한 진술로 정의한다. 이어서 위험 관리 계획을 위험 관리에 적용할 접근 방식, 관리 구성 요소 및 자원을 명시하는 위험 관리 프레임워크 내의 계획으로도 정의한다.

조직의 위험 선호도와 관련된 ISO 용어에는 위험 처리 후 남아있는 위험인 잔류 위험과 조직이 추구하거나 유지하려는 위험의 양과 유형인 위험 선호도가 포함된다. 위험 감내력은 목표를 달성하기 위해 위험 처리 후 위험을 부담하려는 조직 또는 이해 관계자의 준비 상태로 정의된다. 주의할 점은 위험 감내력은 법적 또는 규제적 요구 사항에 의해 영향을 받을 수 있다는 것이다. ISO는 위험 관리 방법론을 프레임워크와 프로세스의 두 가지 주요 구성 요소로 구분한다. ISO 위험 관리 프레임워크는 조직 전체의 위험 관리를 설계, 구현, 모니터링, 검토 및 지속적으로 개선하기 위한 기반과 조직 구성 요소 집합으로 정의된다. 이는 본질적으로 위험 관리의 계획 측면이다. ISO 위험 관리 프로세스는 관리 정책, 절차 및 관행을 의사 소통, 컨설팅, 컨텍스트 구축, 위험 식별, 분석, 평가, 치료, 모니터링 및 검토 활동에 체계적으로 적용하는 것으로도 정의된다. 위험 관리 프로세스에는 위험 식별, 위험 분석 및 위험 평가의 전반적인 프로세스인 위험 평가가 포함된다. 위험 식별은 위험을 찾고 인식하고 기술하는 과정으로 정의된다. 위험 분석은 위험의 본질을 이해하고 위험의 수준을 결정하는 과정이다. 위험 평가는 위험 분석의 결과를 위험 기준과 비교하여 위험 및 그 크기가 허용 가능한지 또는 허용 가능한지 여부를 결정하는 과정이다. 위험 기준은 위험의 중요성을 평가하는 기준 용어다. 여기에는 조직의 위험 선호도와 위험 내성이 포함된다.

 

대부분의 일반적인 위험 관리 접근법이 그렇듯이 ISO도 위험을 계산할 때 가능성 또는 확률과 결과 또는 영향 접근법을 사용한다. Likelihood를 어떤 일이 일어날 가능성으로 정의하고 결과를 목표에 영향을 미치는 사건의 결과로 정의하는 것이다. ISO 위험 관리 용어에서 Likelihood란, 어떤 일이 일어날 가능성을 정의하거나 객관적으로 측정하거나 주관적으로 결정하든, 질적으로 또는 정량적으로 언급하고 시간이 지남에 따라 확률 또는 빈도와 같은 일반 용어 또는 수학 용어를 사용하여 설명한다. 조직은 위험을 결정하고자 하는 수십 개 또는 수백 개의 정보 자산을 보유할 수 있으므로 Aggregation이 바람직할 수 있을 것이다. 따라서 위험 Aggregation은 전체 위험에 대한 보다 완전한 이해를 개발하기 위해 여러 개의 위험을 하나의 위험으로 결합한 것으로 정의된다.

 

위험 평가 후 방법론은 위험 처리, 즉 위험을 수정하는 과정으로 이동한다. 정의된 위험 처리 옵션에는 위험 수용, 특정 위험을 감수하기 위한 정보에 입각한 결정이 포함된다. 위험 회피는 특정 위험에 노출되지 않기 위해 활동에 참여하지 않거나 활동에서 철수하기로 한 정보에 입각한 결정이다. 위험 공유(전이)는 다른 당사자와의 합의된 위험 분배를 포함하는 위험 처리의 한 형태다. 가이드 73은 위험 처리 기회를 추구하기 위해 위험을 발생시키는 활동을 시작하거나 계속하지 않기로 결정하고, 위험원을 제거하고, 가능성을 변경하고, 결과를 변경하고, 계약 및 위험 금융을 포함한 다른 당사자 또는 당사자와 위험을 공유하고, 정보에 입각한 결정으로 위험을 유지함으로써 위험을 회피할 수 있다고 언급한다. 가이드 73은 위험 완화를 명시적으로 정의하지는 않지만, 부정적인 결과를 다루는 위험 처리는 때때로 위험 완화, 위험 제거, 위험 예방 및 위험 감소로 언급된다는 점에 주목한다.

[4-2] ISO 31000 위험 관리 표준

ISO 31000 시리즈에는 위험 관리에 초점을 맞춘 두 가지 핵심 표준이 있다. ISO 31000 2018에는 위험 관리에 대한 전반적인 지침이 제공되며, IEC 3110 2019에서는 위험 관리 프로세스의 일부인 위험 평가 기법을 검토한다. 31000 시리즈는 구체적으로 IT 보안 위험 관리가 아니라 일반적으로 위험 관리에 불과하다. 그러나 이 문서의 지침은 IT 보안, 사이버 보안, 위험 관리에 중점을 둔 ISO 27000 시리즈에 통합되어 있다. 

 

위험 관리에 대한 ISO 31000 접근 방식에는 원칙, 프레임워크 및 프로세스의 세 가지 순환 구성 요소가 포함된다. ISO 31000 접근 방식에는 이 세 가지 요소가 모두 포함된다.

 

원칙은 효과적이고 효율적인 위험 관리의 특성에 대한 지침을 제공하고 그 가치를 전달하며 그 의도와 목적을 설명하도록 설계되었다. 원칙은 위험 관리를 위한 기반이며 조직의 위험 관리 프레임워크 및 프로세스를 수립할 때 고려해야 한다. ISO에 따르면 이 원칙들은 통합되어 있다. 위험 관리는 조직의 모든 기능과 활동에 통합되어야 한다. 보다 일관되고 비교 가능한 결과를 얻을 수 있도록 구조화되고 포괄적인 형식적 방법론을 사용하여 구조화되고 포괄적이어야 한다. 그리고 맞춤형으로 제공되어야 한다. 위험관리는 각 조직의 내외부 환경에 맞춤형으로 제공되며, 조직의 개별적 임무와 목표에 초점을 맞추어야 한다. 이 역시 포괄적이어야 한다. 위험관리 접근법은 조직의 이해관계자들의 지식, 견해, 인식 등을 포함한 고려를 포함하며, 이는 역동적이어야 한다. 위험관리 접근법은 내부 및 외부 환경의 변화에 따라 적시에 위험의 변화에 따라 진화하고 대응할 수 있다. 이는 최상의 이용 가능한 정보를 기반으로 해야 한다. 또한, 위험관리 접근법은 이용 가능한 정보와 관련된 한계와 불확실성을 고려해야 한다. 가능한 한 조직은 사용하는 정보가 가능한 한 최신이고 정확한지 확인해야 할 것이다. 그리고 인적 및 문화적 요인을 포함해야 한다. 조직 문화뿐만 아니라, 내외부적으로 조직 사람들의 역할도 프레임워크와 프로세스 모두에서 위험관리 접근법에 영향을 미칠 수 있다. 근본적인 지속적인 개선도 필요하다. 위험관리 접근법은 항상 내성과 검토를 통해 위험관리의 성과와 결과를 지속적으로 개선하기 위해 노력해야 한다.

 

이전의 교훈의 상당 부분이 바탕이 된 ISO 31000 위험관리 프레임워크는 위험관리의 계획 단계로 간주되거나 위험관리 프로세스가 프로세스의 실행 단계로 간주될 수 있다. ISO 31000 위험관리 프레임워크는 리더십과 헌신에 의해 지원되는 5개의 순환 단계를 포함한다. 통합 단계는 위험관리 프로그램이 조직과 비즈니스 수행 방식에 효과적으로 통합되도록 하는 것을 포함한다. 비즈니스 전체가 어떤 형태로든 위험을 수반하므로 비즈니스 전체가 위험관리의 어떤 측면에 관여해야 한다. 이 단계는 위험에 대한 거버넌스와 관리가 조직 운영에 내장되어 있으며, 조직 문화의 일부가 되어야 하는 부분이다. 설계 단계는 조직에 맞춤화된 위험 관리 프로세스를 구축하는 것을 포함한다. 조직의 사회적, 문화적, 정치적, 법적, 규제적, 재무적, 기술적, 경제적, 환경적 요인이 고려된다. 내부 및 외부 이해 관계자도 적절한 경우 고려되고 관련될 수 있을 것이다. 이 단계의 주요 작업에는 조직과 맥락의 이해, 위험 관리 약속 명시, 조직 역할, 권한, 책임 및 책임 할당, 자원 할당, 상담을 위한 의사 소통 및 경로 설정이 포함된다. 실행 단계에는 위험 관리 계획을 개발하고 의사 결정 권한과 프로세스를 명시하며 관련된 모든 사람에게 위험 관리 프로세스를 명확히 하는 것이 포함된다. 평가 단계는 조직이 위험 관리의 측정 및 평가 구성 요소를 설계하는 단계로 다음 단계에서 어떤 정보를 수집하고 사용할 것인지 결정한다. 또한 위험 관리 프로그램이 얼마나 성공적인지 측정하고 무엇이 성공을 정의하는지를 결정한다. 개선 단계는 조직이 이전 단계에서 학습한 것을 취하고 이를 사용하여 위험 관리 프로그램을 더 나은 상태로 만드는 데 사용한다. 조직의 일부로서 위험 관리 수행에 중점을 두면서 프레임워크 팀이 프로세스와 프레임워크 자체를 개선하는 데 사용할 수 있는 정보를 수집하고 보고한다. 이것은 물론 위험 관리의 지속적인 개선 측면이다.

 

여기에서 볼 수 있듯이 위험 관리 프로세스는 이전 교훈에서 어느 정도 설명했듯이 익숙하게 보여야 한다. 이는 반복적인 프로세스일 뿐만 아니라 지속적으로 개선되는 프로세스다. 그 핵심으로 위험 관리 프로세스는 준비, 위험 평가 및 위험 처리를 포함한다. 범위, 맥락 및 기준 단계에는 위험 관리 프로세스의 범위를 정의하는 것이 포함된다. 무엇을 평가하고 처리할 것인가? 어떤 내부 및 외부 요인을 고려해야 하는가? 위험의 기준은 무엇인가? 허용되거나 허용되지 않는 리스크의 양 및 유형은 무엇인가? 등이다. 이는 본질적으로 조직의 위험 선호도 및 위험 임계값을 프로세스 팀에 전달하는 것이다. 위험 평가에는 세 가지 하위 단계가 포함되며 이 시점에서는 쉽게 이해할 수 있어야 한다. 위험을 찾는 곳에서의 위험 식별, 위험의 성격과 수준을 이해하는 곳에서의 위험 분석, 현재 수준의 위험 허용되는지 또는 처리되어야 하는지 여부를 결정하는 것을 포함하는 리스크 평가인 것이다. 허용되지 않는 것으로 결정된 위험은 마지막 단계인 리스크 처리에 들어간다. 여기서 표준 활동은 앞서 논의한 바와 같이 제3자에게 이전하거나, 위험의 출처를 차단하거나, 추가적인 통제를 적용하여 위험을 줄이거나 제거하는 것이다. 위험 관리 프로세스를 지원하는 기능은 세 가지다. 첫 번째는 의사소통 및 상담이다. 의사소통 및 상담 측면은 프로세스 내, 프로세스 요소와 프레임워크 팀 간, 프로세스 팀과 조직 관리 간에 정보의 지속적인 흐름을 보장한다. 이는 경영진에게 조직의 운영 위험과 관련하여 결정될 사항에 대한 의견을 제공할 기회를 제공하는 동시에 충분한 감독과 거버넌스를 보장한다. 다음으로 기록 및 보고 활동에는 프로세스 팀과 조직 또는 경영진 간의 결과 공유가 포함된다. 또한 지속적인 개선을 위해 모니터링 및 검토 프로세스에서 사용할 수 있는 정보를 수집하는 것도 포함된다. 마지막으로 프로세스의 반대편에는 관리자가 프로세스 팀의 성과와 성공에 대한 수집된 정보를 검토한 다음 이를 프로세스 자체를 개선하는 데 사용하는 모니터링 및 검토 활동이 있다. 이는 물론 반복성과 지속적인 개선에 초점을 맞춘 순환 프로세스다.

[4-3] ISO 27000 시리즈 및 위험 관리

 

위험 관리와 ISO 27000 시리즈를 다루는 주요 문서는 27005 정보 보안 위험 관리다. ISO 31000이 일반적인 위험 관리에 중점을 뒀다면, 27005는 정보 자산에 대한 위험에 중점을 둔다. 주목할 것은 ISO 27005에 제공된 면책 조항이다. '이 문서는 조직의 정보 보안 위험 관리를 위한 지침을 제공한다. 그러나 이 문서는 정보 보안 위험 관리를 위한 특정 방법을 제공하지는 않는다.' 그러니까 정보 보안 관리 시스템의 범위, 위험 관리 맥락 또는 산업 부문에 따라 위험 관리에 대한 접근 방식을 정의하는 것은 조직에 달려 있다는 것이다. 이 문서에 설명된 프레임워크에서 ISMS, 정보 보안 관리 시스템의 요구 사항을 구현하는 데 기존의 여러 방법론을 사용할 수 있다. 이 문서는 ISO/IEC 27001이 더 이상 요구하지 않는 자산 위협 및 취약성 위험 식별 방법을 기반으로 하며, 사용할 수 있는 다른 접근 방식도 있다. 이는 표준이 위험을 관리하는 프로스크립티브 방식으로 설계되지 않았음을 나타낸다. 오히려 위험을 관리하기 위해 어떻게 해야 하는지 보다는 무엇을 해야 하는지를 결정하는 방법이다.

 

ISO 27005는 두 가지 유형의 자산을 지정한다. 이 표준은 다음을 향해 초점을 맞추고 있다. 첫째, 비즈니스 프로세스 또는 하위 프로세스 및 활동이다. 예를 들어, 손실 또는 저하로 인해 조직의 임무를 수행할 수 없는 프로세스가 있다. 비밀 프로세스를 포함하는 프로세스는 독점 기술이 포함된 프로세스다. 변경될 경우 조직의 임무 달성에 크게 영향을 미칠 수 있는 프로세스 또는 조직이 계약상, 법적 또는 규제 요구 사항을 준수하는 데 필요한 프로세스가 있다. 또한 일반적으로 조직의 임무 또는 비즈니스를 수행하는 데 필수적인 정보로 구성된 주요 정보에도 적용된다. 개인 정보는 개인 정보 보호에 관한 국내법에 구체적으로 정의될 수 있다. 수집, 저장 및 처리 및 전송하는 전략적 지향점과 고비용 정보에 의해 결정된 목표를 달성하는 데 필요한 전략적 정보는 오랜 시간이 필요하고 높은 획득 비용을 수반한다. 이 활동 이후에 민감한 것으로 식별되지 않은 비즈니스 프로세스 및 정보는 나머지 연구에서 정의된 분류가 없다. 이는 이러한 프로세스 또는 정보가 손상되더라도 조직이 여전히 미션을 성공적으로 수행할 수 있음을 의미한다.

 

ISO 27005는 주로 위험 관리 프로세스에 초점을 맞추고 ISO 31000에서 볼 수 있는 것 이상으로 그 프로세스를 확장한다. 실제로 이 표준에는 31000에서 제시된 원칙이나 프레임워크가 전혀 언급되어 있지 않다. ISO 27005 접근법은 정보보안 위험 관리가 다음과 같은 위험 식별, 발생 가능성 및 조직에 대한 결과에 기초한 리스크 평가에 기여해야 한다고 명시한다. 이러한 가능성 및 결과에 대한 효과적인 의사소통 및 이해까지 말이다. 그리고 위험 처리 노력의 우선순위 지정, 위험 발생을 줄이기 위한 조치의 우선순위 지정, 이해관계자에 대한 의사소통 및 의사결정 참여, 위험 처리 전략의 모니터링 및 검토의 효과, 위험에 대한 직원의 전반적인 리스크 관리 프로세스 및 교육, 선택된 위험 처리 전략에 대한 효과적이고 정기적인 모니터링 및 검토까지 말이다. ISO 31000에서 추진되는 위험 관리 프로세스는 27005 접근법의 기초가 된다. 정보보안 위험 관리 프로세스는 컨텍스트 구축, 위험 평가, 위험 처리, 위험 수용, 위험 의사소통 및 상담, 위험 모니터링 및 검토로 구성된다. ISO 31000에서 위험 관리 프로세스의 사전 작업으로 범위, 컨텍스트 및 기준을 설명하는 경우, ISO 27005는 컨텍스트만 명시하지만 거의 동일하게 정의한다. 조직의 위험 선호도를 기반으로 따라야 할 특정 흐름을 설명하는 위험 관리 프로세스의 후반 단계에서 추가적인 세부 사항에 주목할 것이다. 이는 위험 평가 및 위험 처리의 일환으로, 위험 결정 지점을 기반으로 프로세스의 루프를 지정하는 IT 전문가와 유사한 흐름도를 제공한다.

ISO 27005에서 위험 평가는 정보 자산의 가치를 결정한다. 그리고 존재하거나 존재할 수 있는 해당 위협과 취약성을 식별한다. 기존 통제와 식별된 위험에 미치는 영향을 식별한다. 잠재적 결과를 결정하고 마지막으로 도출된 위험의 우선순위를 정하고 상황 수립 단계에서 설정한 위험 평가 기준과 순위를 매긴다. 위험 평가는 종종 두 번 이상의 반복으로 수행된다. 먼저, 높은 수준의 잠재적 위험을 식별하기 위해 높은 수준의 평가가 수행된다. 여기에 추가 평가가 필요하다. 다음으로, 반복은 초기 반복에서 드러난 잠재적으로 높은 위험에 대한 추가 심층적인 고려를 포함할 수 있으며, 여기서 위험을 평가하기에 불충분한 정보를 제공하고, 아마도 전체 범위의 일부에 대해 추가 상세한 분석이 수행되며, 다른 방법을 사용할 수도 있다. 위험 평가에 대한 자체 접근 방식을 선택하는 것은 조직이 목표와 위험 평가의 목적에 따라 결정한다. 위험 평가는 보통 두 번 이상의 반복으로 수행된다.

 

ISO 27005가 가능성 및 결과 접근 방식에 대한 변형을 사용하여 위험을 평가하는 일반적으로 허용되는 일부 방법을 의미한다고 학습했는데, 이 중 첫 번째는 가능성과 발생 가능성을 모두 포함하여 설명한다. 발생 가능성 및 자산 가치에 대한 악용 용이성까지 말이다.

 

또 다른 접근 방식은 비즈니스 영향에 대한 가능성을 비교한다.

또 다른 예는 가능성과 결과의 조합과 위험 및 위협 순위의 측정을 사용한다. 이 모든 예는 대부분의 조직과 표준 기관이 선호하는 가능성 및 영향 접근 방식에 여러 가지 변형이 있음을 보여준다. 둘 다 상세한 정량적 평가가 아닌 단순한 척도를 사용한다는 점에 주목해야 한다. 지금 알고 있는 것처럼 위험 관리 평가에서는 흔히 볼 수 있는 일이다.

 

위험 평가 단계 이후에 내리는 첫 번째 결정 사항은 위험 평가가 만족스러웠는지 여부다. 여기서 프로세스 팀은 특정 자산 또는 자산 그룹에 대한 위험 식별, 분석 및 평가에 확신이 있는지 여부를 결정하며, 그렇지 않은 경우 다시 돌아가서 프로세스를 반복하고 상황 평가를 다시 확인한다. 그렇다면 팀은 위험 처리를 진행한다.

    이 표준에서 조직은 여기에 표시된 바와 같이 네 가지 위험 처리 전략 옵션을 가지고 있다. 위험 수정은 잔여 위험을 허용 가능한 것으로 재평가할 수 있도록 통제장치를 도입, 제거 또는 변경함으로써 관리해야 하는 위험 수준이다. 이것이 위험 완화다. 위험 유지는 추가 조치 없이 위험을 유지하는 것에 대한 결정이며, 위험 평가에 따라 조치를 취해야 한다. 이것이 우리가 일반적으로 위험 수용이라고 부르는 것이다. 위험 회피는 특정 위험을 발생시키는 활동 또는 조건이므로 피해야 한다. 이는 인터넷에서 서버의 연결을 끊거나 서비스에서 자산을 완전히 제거하는 것과 같이 위험이 존재하는 환경에서 자산을 제거함으로써 달성할 수 있다. 위험 공유는 위험 평가에 따라 특정 위험을 가장 효과적으로 관리할 수 있는 다른 당사자와 위험을 공유해야 하는 것이다. 여기에는 관리되는 보안 서비스, 조직의 고용 또는 보험 가입과 관련된 위험 전이가 포함된다. 모든 권장 치료 전략을 수행한 후에도 남아 있는 위험은 잔여 위험으로 간주된다.

 

다음 프로세스 수준 결정 지점은 팀이 위험 치료 접근 방식에 만족하는지 여부다. 여기서 조직은 예상되는 가능성 및 영향의 변화를 비교 평가하여 권장되는 위험 치료 전략이 잔여 위험을 조직의 위험 허용 수준보다 낮은 수준으로 줄일 수 있는지 확인할 수 있다. 그렇게 하고 상위 경영진에게 전달하고 승인되면, 다음 자산 또는 자산 집합으로 이동할 수 있다. 그렇지 않으면 다시 위험 처리로 이동하거나 처리 전략을 변경하거나, 전체 위험 관리 프로세스를 처음부터 다시 시작해야 할 것이다. 마지막으로 조직은 위험 수용에 도달한다. 이는 여기서 권장되는 모든 위험 처리 전략을 적용한 후의 위험 수준이다. 조직이 위험 평가 단계에서 위험 수준을 감수할 의사가 있다면, 그들은 두 의사 결정 지점을 모두 빠르게 거쳐 위험 수용으로 이동한 다음 시리즈의 다음 자산으로 이동할 것이다. ISO 표준은 전체적으로 수십 페이지에 불과하며, 전반적으로 간략하지만, 어떻게 해야 하는지보다는 무엇을 수행해야 하는지에 더 중점을 둔다. 독립적인 제3자가 위험 관리 프로그램을 평가한 결과 이 표준을 준수하고 있음을 발견하면, 위험 관리 프로세스가 ISO 27005 또는 ISO 31000을 준수하는지 확인할 수 있다. 마지막으로 프로세스의 마지막에는 관리자가 프로세스 팀의 성과와 성공에 대한 정보를 수집한 후 이를 사용하여 프로세스를 개선하는 모니터링 및 검토 활동이 있다. 물론, 이는 지속적인 개선에 중점을 둔 순환 프로세스다.