위험 감수성과 위험 성향이란 무엇입니까?

게시 됨: 2019-01-10

위험 감수성과 위험 선호도는 대부분의 경우 혼용되어 사용되지만 어느 정도는 다릅니다. 위험 관리 프로세스에 초점을 맞춘 많은 표준과 규정이 있지만 그 중 소수만이 두 용어 사이의 차이점을 적절하게 명확하게 정의합니다.

그럼에도 불구하고 데이터 보호에 필요한 제어를 개발하는 데 도움이 되도록 위험 허용 범위와 위험 선호도를 구별하는 방법을 알아야 합니다. 그렇게 하면 적절한 사이버 보안 프로그램을 개발하는 데 도움이 됩니다.

위험 감수성 대 위험 식욕: 차이점은 무엇입니까?

위험 식욕

사이버 보안과 관련하여 엔터프라이즈 위험 관리 접근 방식을 채택하는 경우 위험 선호도는 비즈니스 리소스와 목표를 기반으로 허용 가능한 것으로 간주되는 위험의 양 또는 유형에 초점을 맞춰야 합니다.

예를 들어, 지불 처리 업체로 운영하는 경우 소매에 관심이 집중될 수 있습니다. 그럼에도 불구하고 ERM(Enterprise Risk Management)의 일부에는 의료 분야로의 이동이 포함될 수 있습니다. 이러한 경우, 의료 이동성 및 책임법(HIPAA)에서 비롯된 모든 법적 위험을 기꺼이 감수한다면 위험 선호도가 생긴 것입니다.

위험 감수

또는 위험 허용 범위에는 수용할 위험의 정도를 결정하는 방법이 포함됩니다. 지불 처리의 예를 보면 건강 관리로 전환하는 것과 관련된 위험을 기꺼이 감수할 수 있지만 보호되는 건강 기록을 지속적으로 모니터링하는 것과 관련된 모든 내재적 위험을 인식하는 것을 보류할 수 있습니다. 따라서 결국 위험을 다른 업체, 즉 제3자 공급업체에 이전하게 됩니다.

스테이크 저녁 식사가 땡길 때 허용 한계점에 도달하여 한 조각을 다 먹지 못할 수도 있습니다. 이 경우는 사이버 보안 위험에도 적용됩니다.

위험 식욕 진술은 무엇을 의미합니까?

여기에는 위험 결정을 설명하는 데 도움이 되는 서면 문서가 포함됩니다. 이 진술을 통해 외부 및 내부 이해 관계자에게 위험 성향에 대해 알릴 수 있을 뿐만 아니라 전략적 목표를 추진하는 데 필요한 대화를 더 많이 촉발할 수 있습니다.

위험 식욕 진술을 개발하는 방법?

2018년에 ISO 또는 국제 표준화 기구(International Organization for Standardization)로 알려진 ISO는 널리 사용되는 ISO 31000 표준에 포함된 위험 관리 지침을 수정했습니다. 이 특정 표준은 "위험 선호도"를 사용하지 않지만 특히 "감수할 수 있는 위험의 양과 유형 설정"에서 용어를 암시합니다.

위험 선호 성명을 제시할 수 있는 위험 관리 프레임워크를 만드는 것 외에도 ISO 31000은 위험 관리 프로세스를 공식화하는 데 도움이 됩니다. 프로세스와 프레임워크를 통합하여 올바른 위험 선호도 진술을 개발할 수 있습니다.

1단계: 소통과 헌신

조직의 다른 리더와 비즈니스 목표 및 전략에 대해 이야기하십시오. 그렇게 하면 기꺼이 감수할 위험의 양을 파악하고 그러한 위험이 가장 중요한 조직 목표를 충족할 수 있는지 여부를 결정하는 데 도움이 됩니다. 전체 비즈니스에 대한 커뮤니케이션을 통해 소유권을 생성하고 위험 기준을 정의하는 데 필요한 관점을 고려할 수 있습니다.

2단계: 조직 전체에 통합할 범위, 기준 및 컨텍스트 정의

통합 위험 관리의 경우 전체 공급망에서 자신의 위치를 ​​결정해야 합니다. 그런 다음 전체 생태계를 검토해야 합니다. 외부 및 내부 위험 요소에 중점을 두어 적절한 평가 기준과 위험 정도를 정의할 수 있습니다.

3단계: 위험 평가 설계

공급망에서의 위치를 ​​기반으로 조직의 위험 관리 전략을 전달하여 위험을 결정, 설명 및 평가할 수 있습니다. 그렇게 한 후 통제, 잠재적 이벤트, 통제 효과 및 가능성을 활용하여 위험 수준이 위험 허용 범위와 일치하는지 여부를 결정할 수 있습니다.

4단계: 위험 처리 구현

여기에는 이유와 결정의 이면을 식별하기 위한 특정 기한이 있는 계획 작성이 포함됩니다. 그럼에도 불구하고 이 구현의 일부는 위험을 처리하기 위한 접근 방식을 선택하는 것으로 구성됩니다. 위험을 수락, 완화 또는 거부할지 여부를 결정해야 하므로 그러한 결정을 실행하는 데 도움이 되는 치료 계획을 만들어야 합니다.

5단계: 모니터링을 통한 평가

조직의 위험 선호도 진술의 일부로 결합된 정성적 또는 정량적 평가 프로세스를 사용할지 여부를 결정해야 합니다. 메트릭을 설정한 후 데이터 에코시스템 및 환경을 정기적으로 모니터링하여 조직의 내부 위험 평가 준수 여부를 확인합니다.

6단계: 보고서 및 기록을 기반으로 개선

지속적인 모니터링을 통해 조직의 제어 환경에서 취약점을 식별할 수 있습니다. 위험 모니터링 작업을 강화하고 이러한 약점을 전달하면 강력한 위험 관리 프로그램을 유지할 수 있습니다.

7단계: 릴리스 결과 요약

외부 및 내부 이해 관계자와 의사 소통을 촉진하는 데 위험 성향을 활용하십시오. 그럼에도 불구하고 재무 보고를 포함하여 많은 위험 선호도 진술이 공공 소비를 위한 것입니다.

편집자 주: Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 관리 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다. ReciprocityLabs.com에서 자세히 알아보십시오.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

  • 규정 준수 관리 모범 사례
  • 효과적인 워크플로 감사 관리 프로세스
  • 규정 준수 및 기록 관리란?
  • 네트워크 세분화 및 PCI 규정 준수
  • PCI DSS 로그 관리