정답: A
섹션: 위험, 대응 및 복구
설명/참조:
조직 전체의 보안 정책에서 벗어나면 위험을 관리해야 합니다. 보안 정책을 벗어나면 발생할 수 있는 위험을 감수해야 합니다.
어떤 경우에는 조직이 특정 시나리오에 나타나는 위험을 단순히 수용하는 것이 현명할 수도 있습니다. 위험 수용은 특정 위험을 수용하는 관행으로, 일반적으로 위험을 다른 방식으로 처리하는 데 따른 이점과 비용을 비교하는 비즈니스 결정을 기반으로 합니다.
OIG는 위험 관리를 다음과 같이 정의합니다. 이 용어는 전체 프로세스의 특징을 나타냅니다.
위험 평가의 첫 번째 단계에는 위험 식별, 위험 감소 조치, 위험 수용, 회피 또는 이전과 관련된 결정 구현의 예산 영향이 포함됩니다.
위험 관리의 두 번째 단계에는 적절한 위험 감소 조치에 우선순위를 지정하고, 예산을 책정하고, 구현하고, 유지하는 프로세스가 포함됩니다.
위험 관리는 점점 더 복잡해지는 지속적인 프로세스입니다. 이는 노출의 영향을 평가하고 이에 대응하는 방법입니다. 위험 관리는 식별, 측정 및 제어를 통해 바람직하지 않은 사건으로 인한 정보 자산의 손실을 최소화합니다. 여기에는 지속적인 효율성 검토와 함께 전반적인 보안 검토, 위험 분석, 보호 장치 선택 및 평가, 비용 편익 분석, 관리 결정, 보호 장치 식별 및 구현이 포함됩니다.
위험 관리는 경영진이 현재 위험을 인지하고 위험 회피, 위험 이전, 위험 완화 또는 위험 수용과 같은 위험 관리 원칙 중 하나를 사용하여 정보에 입각한 결정을 내릴 수 있도록 조직에 메커니즘을 제공합니다.
위험을 처리하는 4가지 방법은 회피, 이전, 완화, 수용입니다. 다음 답변은 올바르지 않습니다.
위험 할당. 주의를 산만하게 하기 때문에 올바르지 않습니다. 할당은 위험을 관리하는 방법 중 하나가 아닙니다.
위험 감소. 보안 정책에 편차가 있어서 올바르지 않습니다. 귀하가 정책에서 벗어났다는 사실로 인해 추가 노출이 발생할 수 있습니다.
위험 억제. 주의를 산만하게 하기 때문에 정확하지 않습니다. 봉쇄는 위험을 관리하는 방법 중 하나가 아닙니다.
이 질문에 사용된 참고 자료:
에르난데스 CISSP, 스티븐(2012-12-21). CISSP CBK에 대한 공식 (ISC)2 가이드, 제3판((ISC)2 Press)(Kindle 위치 8882-8886). 아우어바흐 출판물. 킨들 에디션.
그리고
에르난데스 CISSP, 스티븐(2012-12-21). CISSP CBK에 대한 공식 (ISC)2 가이드, 제3판((ISC)2 Press)(Kindle 위치 10206-10208). 아우어바흐 출판물. 킨들 에디션.
