(Original) Risk Assessment(위험성 평가)에 대해서 알아보자 - 4

 

지난 번에 이어서 위험성 평가 응용 분야에 대해서 알아보겠습니다. 정보보안부터 수중 다이빙까지 알아보도록 하겠습니다.

 

 

정보보안

 

정보기술의 리스크 평가는 다른 방법론에 따라 정성적 또는 정량적 접근을 통해 실시할 수 있습니다. 정보보안에 있어서 리스크 평가에 있어서 중요한 차이점 중 하나는 인터넷에 접속된 적대적 시스템이 다른 접속된 시스템을 위협하는 접근권을 갖는다는 사실을 설명하기 위해 위협 모델을 수정하는 것이다. 따라서 리스크 평가는 다른 분야에서 행해지고 있는 것처럼 합리적인 접근을 가지는 것만이 아니라 모든 적의 위협을 설명하기 위해 수정할 필요가 있는 경우가 있습니다.

 

NIST의 정의: 정보시스템의 운용에 기인하는 조직운영(미션, 기능, 이미지, 평판 포함), 조직자산, 개인, 기타 조직 및 국가에 대한 리스크를 특정하는 프로세스. 리스크 관리의 일부에는 위협과 취약성 분석이 포함되어 있으며 계획 또는 실시되고 있는 보안 제어에 의해 제공되는 완화책을 고려합니다.

 

NIST Risk Management Framework(RMF), 정보 및 관련 기술 제어 목표(COB)를 포함한 다양한 위험 평가 방법과 프레임워크를 이용할 수 있는 IT), 정보 위험 요인 분석(FAIR), 운영 크리티컬 위협, 자산 및 취약성 평가(OCTAVE), 인터넷 보안 위험 평가 센터(CISRAM) 및 '합리적인' 보안 정의에 도움이 되는 DoCRA(Duty of Care Risk Analysis) 표준.

 

사이버 보안

 

위협 및 리스크 평가(TRA) 프로세스는 사이버 위협과 관련된 리스크를 참조하는 리스크 관리의 일부입니다. TRA 프로세스는 사이버 리스크를 특정하고 리스크의 중대도를 평가하며 리스크를 허용 가능한 수준까지 줄이기 위한 활동을 권장할 수 있습니다.

 

TRA를 실행하기 위한 다양한 방법론(예를 들어 조화된 TRA 방법론)이 있으며, 모든 요소를 이용한다: 자산 식별(보호해야 하는 것), 식별된 자산의 위협과 취약성 식별과 평가, 취약성 악용 가능성을 결정한다, 취약성과 관련된 위험 수준을 결정하고(자산이 손상되거나 분실되었을 경우에 어떤 영향이 있는지) 위험 경감 프로그램을 권장합니다.

 

메가 투자 프로젝트

 

메가 프로젝트(「메이저 프로그램」이라고도 불린다)는 매우 대규모 투자 프로젝트로, 보통 건당 10억 달러 이상의 비용이 듭니다. 그것들에는 다리, 터널, 고속도로, 철도, 공항, 항만, 발전소, 댐, 폐수 프로젝트 및 연안 홍수 방지 프로젝트, 석유 및 천연 가스 추출 프로젝트 및 공공 건축물 및 정보 기술 시스템 및 항공 우주 계획 및 방위 시스템이 포함됩니다. 메가 프로젝트는 금융, 안전, 사회적 및 환경적 영향의 관점에서 특히 리스크가 높은 것으로 나타났습니다.

 

소프트웨어의 진화

 

연구에 따르면 요건이나 설계 사양 등 시스템 개발 사이클의 초기 부분은 특히 오류가 발생하기 쉬운 것으로 나타났습니다. 이 효과는 다른 관점을 가진 여러 이해관계자가 참여하는 프로젝트로 특히 악명이 높다. 진화적 소프트웨어 프로세스는 소프트웨어 개발에 내재된 불확실성, 모호성 및 부정합을 포함하는 소프트웨어 개발에 내재된 불확실성 문제를 완화하기 위한 요건 엔지니어링에 대한 반복적인 접근법을 제공합니다.

 

해운업

 

2010년 7월 해운사들은 주요 선상 운항의 위험을 평가하기 위해 표준화된 절차를 사용하기로 합의했습니다. 이러한 절차는 개정된 ISM법의 일부로 실시되었습니다.

 

수중 다이빙

 

정식 리스크 평가는 대부분의 전문적인 다이브 계획의 필수 컴포넌트이지만 형식과 방법은 다를 수 있습니다. 특정된 위험에 따른 사고 결과는 일반적으로 소수의 표준화된 카테고리에서 선택되며 확률은 이용 가능한 드문 경우의 통계 데이터와 대부분의 경우의 개인적 경험과 회사 정책에 따라 추정한다. 이러한 입력을 위험 수준으로 변환하기 위해 일반적으로 허용할 수 없거나 한계 또는 허용할 수 있다고 표현되는 간단한 매트릭스가 자주 사용됩니다. 용납할 수 없는 경우 위험을 허용 수준까지 줄이기 위한 조치를 취해야 하며, 위험 평가 결과는 다이빙이 시작되기 전에 영향을 받는 당사자에 의해 수용되어야 합니다. 생존자가 회복될 가능성이 있는 경우 군사나 수색 구조 등 특수한 상황에서 더 높은 수준의 위험을 감수할 수 있습니다. 다이빙 감독자는 리스크의 특정과 리스크 평가 절차에 대해 훈련을 받고 있으며 계획과 운용 책임의 일부이다. 건강과 안전 모두의 위험을 고려해야 합니다. 몇 가지 단계를 확인할 수 있습니다. 다이빙 프로젝트 계획의 일환으로 실시되는 리스크 평가는 그날의 특정 조건을 고려한 현장 리스크 평가와 다이빙 팀원, 특히 슈퍼바이저와 작업 다이버에 의한 운영 중 진행 중인 동적 리스크 평가가 있다.

 

레크리에이션 스쿠버 다이빙에서는 다이버에게 기대되는 위험 평가 범위는 비교적 기본적이며 다이빙 전 체크에 포함되어 있습니다. 다이버 인증 기관에 의해 몇 가지 니모닉이 개발되고 있어 다이버가 위험에 어느 정도 주의를 기울이도록 주의를 환기하고 있지만 훈련은 초보적인 것입니다. 다이빙 서비스 제공업체는 고객에게 보다 높은 수준의 케어를 제공할 것으로 기대되며 다이빙 강사와 다이브 마스터는 고객을 대신하여 위험을 평가하고 현장 고유의 위험과 계획된 다이브에 적절하다고 생각되는 능력을 경고할 것으로 기대됩니다. 기술 다이버는 보다 철저한 리스크 평가를 실시할 것으로 기대되지만 레크리에이션 활동을 위한 정보에 입각한 선택을 하기 때문에 허용 가능한 리스크 레벨은 고용주의 지시에 따라 직업 다이버가 허용하는 것보다 상당히 높아질 가능성이 있습니다.

 

 

다음 글에서는 마찬가지로 위험성 평가 응용 분야의 '환경'부터 다시 알아보도록 하겠습니다. 감사합니다.