▣ 위험관리_정량적, 정성적, 델파이법, 시나리오법, 순위 결정법, SLE, ALE, 민감도 분석, RRL, 수행 순서, 절차, 식별, 위험분석, 리스크 관리, 리스크 통제, 리스크 식별, 연관도법
| 구분 | 정량적 위험분석 | 정성적 위험분석 |
| 개념 | 위험 발생확률*손실크기를 통해 기대 위험가치를 분석함 | 손실크기를 화폐가치로 표현 어려움 위험크기는 기술변수로 표현 |
| 기법 유형 |
수학공식 접근법, 확률 분포 추정법, 확률지배, 몬테카를로 시뮬레이션, 과거 자료 분석법, 민감도 분석, 금전적 기대값 분석(EMV), 의사결정 나무 분석 |
델파이법, 시나리오법, 순위결정법, 퍼지행렬법, 질문서법 |
| 척도 | 일반적으로 연간기대손실(ALE)사용 | 일반적으로 점수(5점 척도 도는 10점 척도) |
| 장점 | 비용/가치분석, 예산 계획, 자료분석이 용이 정보보호대책의 비용을 정당화 자동화된 과정으로 객관적 결과 산출 수리적 계산으로 논리적으로 객관적 정보를 얻을 수 있음 |
금액화하기 어려운 정보의 평가가 가능 분석시간이 짧고 이해가 쉬움 쉽게 위험 분석 수행 가능, 위험의 우선순위 파악 용이 |
| 단점 | 분석 시간, 노력, 비용이 큼 완전한 정량적인 위험 분석은 불가능 실제 자산의 가치를 정확히 반영하였다고 할 수 없음 낮은 빈도/높은 영향의 위협과 높은 빈도/낮은 영향의 위협을 효과적으로 구분이 어려움 |
평가결과가 주관적이어서 사용자에 따라 달라질 수 있음 산정된 위험의 객관적 검증이 어려움 비용효과분석이 용이하지 않음 |
| 도구 | BDSS, RiskCalk, RiskWatch, AnalyZ, RANK-IT, LRAM |
CRAMM, LAVA, RiskPac, MARION, NetRISK |
● 정량적 위험분석 방법
▶ 과거자료 분석법
과거의 자료를 통하여 위험 발생 가능성을 예측하는 방법이다. 이는 과거에 대한 자료가 많으면 많을수록 분석의 정확도가 높아지는데 반해 과거의 사건이 미래에 발생이 낮아질 수 있는 환경에 대해서는 적용이 어렵다는 단점이 있다.
▶ 수학공식 접근법
과거자료 분석법이 어려울 경우 사용되는 방법이며, 위협 발생 빈도를 계산하는 식을 이용하여 위험의 계량화하는 것을 말한다. 기대손실을 추정하는 자료의 양이 적다는 것이 단점이다.
▶ 확률분포법
미지의 사건을 확률적으로 편차를 이용하여 최저, 보통, 취고 위험 평가를 예측하는 방법이다. 추정하는 것이라 정확성이 낮다.
● 정성적 위험분석 방법
▶ 델파이기법
전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시하여 집단의 의견을 정리하는 분석방법이다. 짧은 시간에 도출할 수 있기 때문에 시간과 비용이 절약되지만 전문가의 추정의 정확도가 낮다.
▶ 시나리오법
어떤 사실도 기대대로 발생하지 않는다는 조건하에서 특정 시나리오를 통한 위협에 대한 발생 가능한 결과를 우선순위로 도출해 내는 방법을 말한다. 적은 정보를 가지고 전반적인 가능성을 추론할 수 있지만 발생 가능성의 이론적 추측에 불과하여 정확성이 낮다.
▶ 순위결정법
비교우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방식을 말한다. 위험의 추정 정확도가 낮다는 단점이 있다.
■ 정보수집기법_델파이 방법
분야별 전문가들의 합의를 도출하는 방법으로 사용되는 정보수집기법의 일종. 해당 분야의 전문가들은 익명으로 참여한다. 조정자는 설문지를 이용해 프로젝트의 중요한 측면에 대한 분야별 전문가들의 의견을 받은 후, 설문지의 답변을 정리하여 응답자들에게 다시 배포해 추가의견을 구한다. 이러한 절차를 몇 차례 반복하는 과정에서 합의에 도달할 수 있다. 델파이기법은자료의 공정성을 높이고 특정인이 결과에 부당한 압력을 행사하는 것을 방지하는 데 효과적인방법이다.
■ 위험관리 정량 분석
- ARO(Annualized Rate of Occurrence)
연간발생율 = 100년에 1번 나타난다고하면 1 / 100 = 0.01 , 5년에 1번 1 / 5 = 0.2 - Asset Value 자산가치 = 문제에 나와있을 것
- EF(Exposure Factor) 노출계수 = 백분율로 표시 ( % )
- SLE(Single Loss Expectancy) 단일 예상손실액 = AV( 자산가치 ) * EF( 노출계수 )
- ALE(Annual Loss Expectancy) 연간 예상손실액 = SLE( 단일 예상손실액 ) * ARO ( 연간발생율 )
■ 몬테카를로 시뮬레이션
- 불확실성을 갖는 정보로 결론을 내리기 어려운 경우, 컴퓨터의 장점인 난수를 반복적으로 생성 적용시켜 근사적으로 답을 찾아내는 방법
- EX) 원주율을 찾는 방법
- EX) 원주율을 찾는 방법
- 어떤 문제에 대해 해를 무수히 많은 시도를 통해 얻어진 확률을 기반으로 하는 계산법
■ 민감도 분석
여러가지 위험 중 나머지 위험들은 기준값에 고정시킨 상태에서 특정 위험의 변화가 프로젝트에 미치는 영향을 분석하는 기법
모든 불확실한 요소를 기준 값으로 놓고 각 프로젝트 요소의 불확실성이 검토대상 목표에 미칠 영향을 평가
토네이도 다이어그램 이용한 사례 설명
막대의 크기는 결과변수에 미치는 영향력의 크기를 나타내므로 막대길이가 클수록 우선순위가 높음
■ 금전적 기대값 분석(EMV)
복권 1장에 1,000원, 당첨금액 10,000원, 당첨확률 7% 기대화폐가치(EVM)은?
기대값(EMV) = 특정 Case 기대값 + 반대 Case 기대값 - 기회비용
= (10,000 * 0.07 + 0*0.93) - 1,000
= -300
* EMV > 0 : 기회, EMV < 0 : 위험
■ 위험관리_리스크 감소 레버리지(RRL : Risk Reduction Leverage)
리스크 감소 레버리지(Risk Reduction Leverage)는 통제를 적용하기 전 리스크와 그 이후 리스크의 차이를 리스크 비용 감소 비용으로 나눠서 계산함
RRL = [RE(before) - RE(after)] / 위험감소비용
* RE(before) : 원래의 위험 노출값, RE(after) : 조치를 취한 후의 기대 위험 노출값
1보다 클 경우 위험감소계획이 비용 효과적임
1보다 작을 경우 비용 비효과적임
■ 프로젝트 위험관리 순서
리스크 관리 계획 수립 -> 리스크 식별 -> 정성적 리스크 분석 수행 -> 정량적 리스크 분석 수행 -> 리스크 대응 계획수립 -> 리스크 통제
1. 위험 관리 기획
- 프로젝트 위험을 식별, 대응, 감시하는 방법을 정의
- 프로젝트의 구상 및 초기단계에 위험 관리 계획 수립
2. 위험 식별
- 개별 위험 및 전반적 위험의 원천을 식별하고 특성을 문서화
- 프로젝트 전체에 걸쳐 새로 등장한 위험을 지속적으로 식별
3. 정상적 위험 분석
- 특성, 발생 가능성, 영향을 근거로 개별 위험의 우선 순위를 결정
- 주기적으로 수행하고 각 위험의 책임자를 지정
4. 정량적 위험 분석
- 여러 위험들이 결합하여 발생하는 영향을 정량적으로 분석
- 복잡하고 전략적으로 중요한 대규모 프로젝트에서 특히 필요함
5. 위험 대응 기획
- 위험에 대한 여러 대응 방안을 수렵하고 최적의 조치를 합의
- 선택한 대안은 위협의 심각성에 부합하면서도 효율적이어야 함
6. 위험 감시 및 통제
- 리스크 대응 계획을 구현하고, 식별된 리스크를 추적하고, 잔존리스크를 감시하고, 새로운 리스크를 식별하고, 리스크 프로세스의 효과를 평가하는 프로세스
프로젝트 가정사항이 유효성이 지속되는지 여부
평가된 리스크의 변경여부 또는 철회 가능성 여부
리스크 관리 정책 및 절차가 준수되고 있는지 여부
현재 리스크 평가 결과에 따라 원가, 일정에 대한 우발사태 예비를 수정해야하는지 여부
▶ 리스크 관리계획서에 포함될 사항
| 절차/방법론 (Methodology) | 리스크관리를 수행하는데 사용할 수 있는 체계적인 접근 방법 |
| 역할과 책임(Roles and responsibilities) | 각 리스크에 대한 명확한 역할과 책임을 정의하고 담당자 배정(Risk Owner), 프로세스에 대한 R&R |
| 예산 책정(Budgeting) | 리스크 관리에 필요한 자원 할당 및 원가 산정이 필요 |
| 시기(Timing) | 주기 |
| 리스크 범주(Risk categories) | 리스크를 체계적으로 분류한 체계를 RBS(Risk Breakdown Structure) |
| 리스크 확률 및 영향 정의(Definitions of risk probability and impact) | 확률(Probability)에 관한 척도(Scale) 영향(Impact)에 관한 척도(Scale) |
| 확률-영향 매트릭스 (Probability and impact matrix) | 확률의 척도와 영향의 척도를 교차하여 표 형태로 만든 것, 교차점의 점수가 Risk score가 되며 점수가 높을수록 High 리스크가 됨 |
■ 정보시스템과 관련된 위험관리 절차
자산평가 - 위협 평가 - 취약성 평가 - 위험 노출 가능성 분석 - 통제의 보안 및 수정
■ 위험노출도, 위험 충격
위험노출도 = 위험가능성 * 위험충격
위험충격은 화폐가치로 정확히 측정 못하는 경우가 많음 -> 잠재비용을 반드시 고려해 넣어야 함
- 일정지연으로 인한 비용
- 추가적인 또는 비싼 자원을 사용함으로써 발생하는 비용초과액
- 시스템의 품질과 기능에 대한 절충으로 인한 명시적 또는 암묵적 비용
2019년 10번
정답 : 2번
2019년 105번
정답 : 1번
수학공식 접근법은 '정량적 위험분석' 기법임
2020년 103번
정답 : 2번
정량적 위험 평가 방법은 위험평가 결과가 금액, 기간 등 정량화된 단위로 산출됨
금액으로 산정하기 어려운 정보의 평가는 '정성적 분석'기법이 적합
2018년 109번
정답 : 2번
SLE(Single Loss Expectancy) 단일 예상손실액 = AV( 자산가치 ) * EF( 노출계수 )
SLE = $50,000 * 0.5 = $25,000
ALE(Annual Loss Expectancy) 연간 예상손실액 = SLE( 단일 예상손실액 ) * ARO ( 연간발생율 )
ALE = $25,000 * 0.2 = $5,000
2011년 110번
정답 : 2번
델파이법, 시나리오법은 정성적 접근방법임
2011년 16번
정답 : 3번
민감도 분석에서 위험 우선순위가 높은 것은 제거(대비)할 필요성이 높다는 의미임
여러가지 위험 중 나머지 위험들은 기준값에 고정시킨 상태에서 특정 위험의 변화가 프로젝트에 미치는 영향을 분석하는 기법
모든 불확실한 요소를 기준 값으로 놓고 각 프로젝트 요소의 불확실성이 검토대상 목표에 미칠 영향을 평가
토네이도 다이어그램 이용한 사례 설명
막대의 크기는 결과변수에 미치는 영향력의 크기를 나타내므로 막대길이가 클수록 우선순위가 높음
2014년 24번
정답 : 2번, 3번
리스크 감소 레버리지(Risk Reduction Leverage)는 통제를 적용하기 전 리스크와 그 이후 리스크의 차이를 리스크 비용 감소 비용으로 나눠서 계산함
RRL = [RE(before) - RE(after)] / 위험감소비용
* RE(before) : 원래의 위험 노출값, RE(after) : 조치를 취한 후의 기대 위험 노출값
1보다 클 경우 위험감소계획이 비용 효과적임
1보다 작을 경우 비용 비효과적임
2019년 1번
정답 : 4번
A = (200-100) / 200 = 0.5
B = (200-50) / 200 = 0.75
C = (200-100) / 100 = 1
D = (200-50) / 100 = 1.5
■ 위험관리_리스크 감소 레버리지(RRL : Risk Reduction Leverage)
리스크 감소 레버리지(Risk Reduction Leverage)는 통제를 적용하기 전 리스크와 그 이후 리스크의 차이를 리스크 비용 감소 비용으로 나눠서 계산함
RRL = [RE(before) - RE(after)] / 위험감소비용
* RE(before) : 원래의 위험 노출값, RE(after) : 조치를 취한 후의 기대 위험 노출값
1보다 클 경우 위험감소계획이 비용 효과적임
1보다 작을 경우 비용 비효과적임
2012년 103번
정답 : 4번
위험관리 전략 및 계획 수립 -> 위험분석 -> 위험평가 -> 정보보호대책 수립 -> 정보보호계획 수립
2013년 113번
정답 : 1번, 3번
"위험의 가능성을 객관적으로 수치화할 수 있다.", "기존의 이력 데이터가 많은 경우에 효과적이다." 가 정량적 분석임
| 구분 | 정량적 위험분석 | 정성적 위험분석 |
| 개념 | 위험 발생확률*손실크기를 통해 기대 위험가치를 분석함 | 손실크기를 화폐가치로 표현 어려움 위험크기는 기술변수로 표현 |
| 기법 유형 |
수학공식 접근법, 확률 분포 추정법, 확률지배, 몬테카를로 시뮬레이션, 과거 자료 분석법, 민감도 분석, 금전적 기대값 분석(EMV), 의사결정 나무 분석 |
델파이법, 시나리오법, 순위결정법, 퍼지행렬법, 질문서법 |
| 척도 | 일반적으로 연간기대손실(ALE)사용 | 일반적으로 점수(5점 척도 도는 10점 척도) |
| 장점 | 비용/가치분석, 예산 계획, 자료분석이 용이 정보보호대책의 비용을 정당화 자동화된 과정으로 객관적 결과 산출 수리적 계산으로 논리적으로 객관적 정보를 얻을 수 있음 |
금액화하기 어려운 정보의 평가가 가능 분석시간이 짧고 이해가 쉬움 쉽게 위험 분석 수행 가능, 위험의 우선순위 파악 용이 |
| 단점 | 분석 시간, 노력, 비용이 큼 완전한 정량적인 위험 분석은 불가능 실제 자산의 가치를 정확히 반영하였다고 할 수 없음 낮은 빈도/높은 영향의 위협과 높은 빈도/낮은 영향의 위협을 효과적으로 구분이 어려움 |
평가결과가 주관적이어서 사용자에 따라 달라질 수 있음 산정된 위험의 객관적 검증이 어려움 비용효과분석이 용이하지 않음 |
| 도구 | BDSS, RiskCalk, RiskWatch, AnalyZ, RANK-IT, LRAM |
CRAMM, LAVA, RiskPac, MARION, NetRISK |
2013년 18번
정답 : 1번
■ 정보시스템과 관련된 위험관리 절차
자산평가 - 위협 평가 - 취약성 평가 - 위험 노출 가능성 분석 - 통제의 보안 및 수정
2014년 17번
정답 : 4번
연관도법은 복잡한 요인이 얽힌 문제에 대하여 그 인과관계를 명확히 함으로서 적절한 해결책을 찾는데 기여하는 품질관리 기법임
2014년 18번
정답 : 1번
리스크 관리 계획 수립 -> 리스크 식별 -> 정성적 리스크 분석 수행 -> 정량적 리스크 분석 수행 -> 리스크 대응 계획수립 -> 리스크 통제
* 관식정성대통
2014년 21번
정답 : 1번
위험노출도 = 위험가능성 * 위험충격
위험충격은 화폐가치로 정확히 측정 못하는 경우가 많음 -> 잠재비용을 반드시 고려해 넣어야 함
- 일정지연으로 인한 비용
- 추가적인 또는 비싼 자원을 사용함으로써 발생하는 비용초과액
- 시스템의 품질과 기능에 대한 절충으로 인한 명시적 또는 암묵적 비용
2014년 120번
정답 : 3번
잔여위험은 위험관리 수립 및 대응방안을 구현한 후에도 남아 있는 위험을 말함
위험관리의 궁극적인 목적은 잔여위험을 수용하능한 위험 수준(DoA : Degree of Assurance)으로 낮추는 것임
위험 관리 용어 개념도
2015년 6번
정답 : 3번
리스트 체크리스트는 리스크 식별단계에서 정의됨
리스크 관리계획서에 포함될 사항
| 절차/방법론 (Methodology) | 리스크관리를 수행하는데 사용할 수 있는 체계적인 접근 방법 |
| 역할과 책임(Roles and responsibilities) | 각 리스크에 대한 명확한 역할과 책임을 정의하고 담당자 배정(Risk Owner), 프로세스에 대한 R&R |
| 예산 책정(Budgeting) | 리스크 관리에 필요한 자원 할당 및 원가 산정이 필요 |
| 시기(Timing) | 주기 |
| 리스크 범주(Risk categories) | 리스크를 체계적으로 분류한 체계를 RBS(Risk Breakdown Structure) |
| 리스크 확률 및 영향 정의(Definitions of risk probability and impact) | 확률(Probability)에 관한 척도(Scale) 영향(Impact)에 관한 척도(Scale) |
| 확률-영향 매트릭스 (Probability and impact matrix) | 확률의 척도와 영향의 척도를 교차하여 표 형태로 만든 것, 교차점의 점수가 Risk score가 되며 점수가 높을수록 High 리스크가 됨 |
2015년 7번
정답 : 1번
여러가지 위험 중 나머지 위험들은 기준값에 고정시킨 상태에서 특정 위험의 변화가 프로젝트에 미치는 영향을 분석하는 기법
모든 불확실한 요소를 기준 값으로 놓고 각 프로젝트 요소의 불확실성이 검토대상 목표에 미칠 영향을 평가
토네이도 다이어그램 이용한 사례 설명
막대의 크기는 결과변수에 미치는 영향력의 크기를 나타내므로 막대길이가 클수록 우선순위가 높음
2015년 8번
정답 : 3번
예비비 사용규약의 결정은 리스크 계획 프로세스에서 실행됨
■ 리스트 통제 프로세스
리스크 대응 계획을 구현하고, 식별된 리스크를 추적하고, 잔존리스크를 감시하고, 새로운 리스크를 식별하고, 리스크 프로세스의 효과를 평가하는 프로세스
프로젝트 가정사항이 유효성이 지속되는지 여부
평가된 리스크의 변경여부 또는 철회 가능성 여부
리스크 관리 정책 및 절차가 준수되고 있는지 여부
현재 리스크 평가 결과에 따라 원가, 일정에 대한 우발사태 예비를 수정해야하는지 여부
2015년 110번
정답 : 3번
확률분포법은 확률변수에 따른 확률을 표현한 정량적 분석 방법임
2016년 106번
정답 : 4번
'많은 데이터의 입력과 복잡한 계산이 필요하다는 단점이 있다'는 정량적 위험분석임