차례:
정의-RAF (Risk Assessment Framework)는 무엇을 의미합니까?
RAF (Risk Assessment Framework)는 정보 기술 조직에 제기 된 보안 위험에 대한 정보의 우선 순위를 정하고 공유하는 접근 방식입니다. 정보는 그룹의 비 기술 및 기술 직원이 이해할 수있는 방식으로 제시되어야합니다. RAF에 대한 견해는 조직에서 악용 또는 공격에 취약한 시스템에서 위험이 낮은 영역과 높은 위험 영역을 모두 찾아서 찾는 데 도움을줍니다.
Techopedia는 RAF (Risk Assessment Framework)를 설명합니다
RAF가 제공하는 데이터는 잠재적 위협을 해결하고 비용과 예산을 계획하는 데 도움이됩니다. 많은 RAF가 이미 여러 산업에서 표준으로 인정되고 있습니다. 몇 가지 예에는 컴퓨터 비상 준비 팀의 운영 중대 위협, 자산 및 취약성 평가 (OCTAVE), 정보 시스템 감사 및 제어 협회의 정보 및 관련 기술에 대한 통제 목표 (COBIT) 및 위험 관리 안내서가 포함됩니다. 국립 표준 연구소의 정보 기술 시스템.
다른 프레임 워크와 마찬가지로 RAF 작성을위한 지침이 있습니다.
- 재고 및 분류 : 내부 또는 외부의 정보 시스템을 범주로 그룹화하고 프로세스를 차별화합니다.
- 잠재적 위험 식별 : 시스템에 발생할 수있는 위협, 취약성 및 위험을 찾으십시오. 멀웨어 공격 외에도 재난 또는 정전과 같은 자연 발생을 고려해야합니다.
- 구현 및 평가 : 잠재적 위험에 대한 논의를 기반으로 데이터 보안을위한 해당 보안 제어를 구현합니다. 통제가 어떻게 기능하고 위험 감소에 기여하는지에 대한 결과를 평가하고 문서화하십시오.
- 승인 및 모니터링 : 절차, 조직 운영 및 자산에 대한 위험, 개별 강점 및 약점 및 운영 복지에 기여할 기타 요소를 결정하여 시스템 운영을 승인합니다. 보안 통제의 모니터링은 보안 통제의 효과 성 평가, 변경 사항 문서화, 논의 된 솔루션의 구현 및 적절한 조직 담당자에게 시스템 상태 표시를 포함하는 지속적인 프로세스입니다.
