정보보안 관리 및 법규 - 위험분석 방법론 (델파이법, 시나리오법, 순위결정법, 확률분포법)
본문 바로가기

정보보안 관리 및 법규 - 위험분석 방법론 (델파이법, 시나리오법, 순위결정법, 확률분포법)

액트 2019. 8. 26.

정보보안 관리 및 법규 - (델파이법, 시나리오법, 순위결정법, 확률분포법)


 위험분석 방법론으로 적절히 짝지은 것은?   2
[보기]
가 :그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정정하는 방법
나: 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법

① 가:확률분포법 나: 순위결정법
② 가:시나리오법 나:델파이법
③ 가:델파이법 나:확률분포법
④ 가:순위결정법 나:시나리오법


위험분석 방법론의 선정

1. 정성적 분석방법(Qualitative) : 위험을 매우높은, 높은, 중간, 낮은 등으로 표현

 

1) 델파이법

 - 전문가 집단에게 설문조사를 실시해 의견을 정리하는 분석방법

 - 짧은 시간에 도출할 수 있지만, 전문가의 추정이라 정확도는 낮지

 

2) 시나리오법

 - 어떤 사실도 기대대로 발생되지 않는다고 치고, 특정 시나리오를 통해 발생 가능한 위협의 결과로 순위를 매겨 도출

 - 전반적인 가능성을 추론가능하지만, 발생 가능성의 이론적 추축에 불과해 정확성이 낮지

 

3) 순위결정법

 - 비교우위 순위 결정표에, 위험 항목의 서술적 순위를 결정하는 방식

 

 

 

2. 정량적 분석방법(Quantitative) : 위험을 손실액과 같은 숫자값으로 표현

 - 연간예상손실액(ALE) = 단일예상손실액(SLE) X 연간발생률(ARO)

 - 단일 예상손실액(SEL) = 자산의가치(AV) X 노출계수(EF)

 

댓글