위험관리 계획에 따라 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다. 매년 위험평가 대상에 변동이 없어도 위험평가는 수행되어야 한다.
위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.
위험관리를 위한 위험평가 방법 선정은 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등의 다양한 방법론 중에서 해당 조직에 맞는 방법론을 선정하고 유지하여야 한다. 선정한 방법론을 운영하는 과정에서 해당 조직에 적절하지 않다고 판단하여 위험분석 방법론을 변경하여도 상관없다.
조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다. 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자 등 경영진 의사결정에 의하여 결정하여야 한다.
위험평가는 조직의 전체적인 자산과 위험을 분석하는 과정이므로, IT나 정보보호 부서 인력뿐만 아니라 현업 부서(자산 소유자) 등 다양한 이해관계자가 참여하여 실질적인 위험을 식별해야 합니다. 오답 노트 위험평가 참여자 구성: IT 또는 정보보호 부서 인력으로만 구성하는 것은 적절하지 않으며, 현업 부서의 참여가 필수적입니다.
오답 노트
위험평가 참여자 구성: IT 또는 정보보호 부서 인력으로만 구성하는 것은 적절하지 않으며, 현업 부서의 참여가 필수적입니다.