CISSP-3. 보안관리(Security Management Practices) - 요약2


4. 위험 관리

    1) 주요목표 : 수용 가능한 수준으로 감소

    2) Risk Mitigation Option
        - Risk Transfer
        - Risk Reduction
        - Risk Rejection
        - Risk Acceptance : 비용대비 효과

    3) Exposur factor(노출계수) -> EF : %로 표기

    4) Single Loss Expectancy => SLE
        - 화폐가치로 표현
        - Asset Value * EF

    5) annualized rate & occurrence(년간 발생률) => ARO
        - 계산의 복잠성 -> 역사적, 통계치 분석, 추측작업.

    6) Annualized Los Expectancy(년간 예상 손실) => ALE
        - SLE * ARO
        - Asset * EF

    7) 위험분석 시기
        - On going process
        - 조직의 Size / Activity 변경시
        - 새로운 위협 발생시
        - 자산가치 변동시

    8) 정성적(qualitative) 위험분석 -> ALE
        - Delphi 기법
        - 이야기식 시나리오
        - 순위 결정법
        - 질문 서법
        * 장점
           : 객관성있는 Data 제공
           : 설득 용이

    9) 정략적(quantitative) 위험분석
        - 과거자료 분석법
        - 수학공식 접근법
        - 화률 분포법
        - 점수법
        * 단점
           : 정량화 하기 힘듬
           : Tool이 없으면 힘듬

특    징	정 성 적   분 석	정 량 적   분 석
Complex calculations	X	O
Cost / benefit analysis	X	O
축측작업 요구( Guesswork involved )	O	X
자동화 지원( Can be auto mated )	X	O
대항의 정보와 관계	X	O
객관적( Objective metrics )	X	O
의견 사용	O	X
상당한 시간과 노력을 요구	X	O

5. 보안 인식 교육

    1) 효과적이고 오래 남게 하는 방법
         - Role Play
         - Analogies 사용
         - Humor


6. 인사 보안
    - Non-disclosure agreement(비밀유지계약) : 입사시 받음.
    
    1) 직무분리(Separation of duty)
        - 절대적 권한 소유 안됨.

    2) 강제휴가(Required Vacation)
        - Embezzlement(횡령) 예방효과

    3) 직무순환(Job rotation)
        - Fraud 적발 => 정보의 오용에 대한 위험 감소
        - Peer Auditing 제공

    4) 퇴사 절차
        - 논리적 측면 : ID / PWD 접근차단
        - 물리적 측면 : Escort