1회 : 기업 리스크 관리의 중요성
상태바
1회 : 기업 리스크 관리의 중요성
  • 데이터넷
  • 승인 2007.07.11 00:00
  • 댓글 0
이 기사를 공유합니다

기업 리스크 관리
리스크 관리, 기업 전반 총체적 접근 ‘필수’
효율적 위험관리 대두 … 기업 생존 ‘필요충분조건’

오늘날 급변하는 비즈니스 환경에서 리스크 관리는 기업의 필수 사항 중 하나로 떠올랐다. 나아가 증가하고 있는 컴플라이언스 이슈 역시 전사적 리스크 관리의 필요성을 요구하고 있다. 하지만, 전사적 리스크 관리의 필요성에도 불구하고, 기업의 대응은 단편적이고, 부분적인 적용에 그치고 있는 것이 현실이다. 주요 자산에 대한 보호 및 IT 서비스의 지속적인 가용성과 내부 보안 통제를 통해 보안 위험을 완화하는 전사적 리스크 관리(ERM)에 대해 알아본다. <편집자>

연재순서
1회 : 기업 리스크 관리의 중요성(이번호)
2회 : IT 보안의 리스크 관리

서경구 // 한국CA 수석 컨설턴트
kyung-ku.seo@ca.com

업계 및 시장의 여러 요인으로 인해 기업의 리스크 관리(Risk Management)가 경영진 및 이사진에게 점점 더 중요한 요소가 되고 있다. 이러한 요소는 법적 요구 및 업계 차원의 요구라는 형태로 모든 기업 활동에 대한 적지 않은 감독 강화를 가져왔다. 이 외에도 향상된 가시성과 최근의 여러 기업 보안 침해 사고로 인한 재정적 영향으로 인해 어떠한 형태로든 리스크 관리는 모든 기업의 최우선 사안이 되고 있다.
전사적 리스크 관리(ERM ; Enterprise Risk Management) 프로그램에 있어 가장 중요한 요소 중 하나는 IT 보안 리스크이며, IT 보안 리스크 관리에 있어 가장 중요한 요소는 기업의 주요 자산에 대한 보호 및 IT 서비스의 지속적인 가용성이다. 기업의 자산에 대한 보호 및 서비스 연속성에 내재된 위험을 적절히 완화하고 최소화한다면, 기업에 미치는 전반적인 위험은 현저히 감소될 수 있으며, 강력한 내부 보안 통제의 적용은 IT 보안 위험의 완화는 물론 규제준수를 더욱 용이하게 할 수 있다.
이번 글에서는 기업의 리스크 관리 프로그램에 필수적인 요소를 검토하고, 리스크의 유형 및 기업의 허용한도 수준을 토대로 위험을 처리하는 방법에 대해 살펴본다. 또 IT 보안 리스크 관리의 기본적인 요소를 설명하고, IT 보안 침해 리스크를 현저히 감소시키는 데 이용할 수 있는 몇 가지 기술 솔루션에 대해서도 알아본다.

기업 리스크 관리의 중요성
전통적으로 기업의 리스크 관리는 대부분의 기업에서 기껏해야 비공식적이고 자체적인 방법으로 이뤄져왔으며, 대개 관련된 사내 다른 부서와 협조없이 독립적으로, 각 부서 또는 각 사업부가 자체적인 운영 리스크를 줄이는 방식으로 관리되고 있다. 설상가상으로 리스크 관리는 모든 운영 절차 및 의사 결정 절차의 일부로 포함돼야 하는 공식적인 규정이 아니라 대개 부수적인 문제로 취급돼 왔다.
최근 이 같은 접근 방식의 결과는 뼈저리게 분명해졌다. 많은 요소들로 인해 리스크 관리가 공식적인 규정이 되는 사고의 전환이 요구된 것. ▲기업리스크의 복잡성 및 상호 의존성의 증가 ▲법적요구의 증가 ▲글로벌화 확대 ▲파국적인 손실에 대한 가시성 증대 등이 바로 리스크 관리의 중요성을 증대시킨 요인이다.

● 리스크의 복잡성 및 상호의존성 증가 - 오늘날의 비즈니스 환경은 과거에 비해 아주 복잡해졌다. 온라인 애플리케이션 및 데이터 가용성 증가, 복잡한 협력업체 및 공급업체 관계 확장, 그리고 오늘날의 경제 변화 속도는 기업이 현재 생각해야 하는 것보다 더 많은 리스크가 존재한다는 것을 의미한다. 게다가 리스크는 그 자체만으로 끝나는 경우가 드물다. 즉, 서로 관련되는 경우가 많고, 관리하기가 어려울 뿐만 아니라 비즈니스의 한 영역에서 장애가 발생하면 다른 영역에도 커다란 파급효과가 발생하게 됐다.
● 법적 요구 증가 - 최근 발생한 기업 부정 사건에 따라 컴플라이언스는 지난 몇 년간 급격한 증가세를 보였으며, 이제 기업은 법률 및 업계에서 요구하는 때때로 명확하지 않고 복잡한 요구사항을 준수해야만 하게 됐다. 나아가 컴플라이언스는 오늘날 개인에게까지 영향을 미칠 수 있게 강화되고 있다. 이제 CEO는 자사의 컴플라이언스를 ‘개인적’으로 책임지게 됐으며, 이러한 요인은 법조문과 그 개념 모두를 따르려는 강력한 동기가 되고 있다.
● 글로벌화 확대 - 많은 기업의 지리적 확대, 그리고 규제준수를 요구하는 국제적 규정의 복잡성은 리스크가 전세계적인 차원에서 관리돼야 한다는 점을 암시한다. 예를 들어 고객 정보를 해외 자회사에 제공하는 단순한 행위도 상당한 법적 리스크를 일으킬 수 있는 것이다. 이 외에도 기업이 비용을 절감하면서 신규 비즈니스 분야로 확장하려는 추진력은 고민과 리스크를 만들어내며, 이는 신중한 관리가 필요하다.
● 파국적인 손실에 대한 가시성 증대 - 파국적인 재정 손실 및 기업 이미지 실추를 겪는 기업에 대한 이야기는 오늘날 뉴스에 넘쳐나고 있으며, 그 중 다수는 기업의 몰락으로 이어지고 있다. 월드컴(Worldcom), 엔론(Enron) 등은 모든 수준에서 리스크 관리 및 통제에 실패한 기업의 본보기라 할 수 있다. 이 명단에 끼고 싶어하는 기업은 없을 것이며, 따라서 기업 리스크 관리를 위한 새롭고 보다 엄격한 기법 및 통제가 대두되고 있다.

이러한 요소들은 기업이 공식적인 리스크 관리 프로그램과 주도권에 접근해야 하는 중요한 이유들 중 몇 가지다. 리스크 관리는 보다 잘 알려진 ROI, 비용절감과 함께 가장 중요한 비즈니스 필수요소로 떠오르고 있는 것이다.

전사적 리스크 관리
누구나 무엇이 위험하고, 여기에 포함되는 영역은 무엇인지 정도는 직관적으로 알고 있다. 그러나 ERM은 개별적이고 독립적인 위험 처리, 그 이상을 의미한다. 가트너 그룹(Gartner Group)은 위험을 ‘손실 가능성 또는 손실에 노출될 가능성’이라 정의하며, “ERM은 손실을 감소시킬 뿐만 아니라 기회를 활용하기 위한 체계적이고 공식적인 리스크 관리”라고 설명한다. 즉, 리스크 관리란 조직과 조직의 전략적 임무 수행 능력의 보호를 지향한다.
ERM의 목표는 리스크를 처리할 중앙 관료주의를 만드는 것이 아니라, 기업 전반에서 모든 형태의 리스크를 처리하기 위한 지속가능하고 효과적인 방법론을 만드는 것이다. 이는 리스크 관리가 기업의 모든 의사 결정에 포함돼서 전체 조직 차원에서 모든 구성원에 의해 이뤄지는 프로세스가 될 때에만 가능하다. 리스크 관리 프로그램은 전반적인 기업 거버넌스, 효율성 및 효과 면에서 상당한 이익이 될 수 있다.
하지만, ERM 프로그램의 가치가 널리 인식됐음에도 실제 채택은 여전히 제한적으로 나타나고 있는 것이 현실이다. 컴플라이언스위크(Compliance Week)는 비즈니스 임원 대상의 한 조사에서 기업의 91%는 ERM의 가치를 ‘긍정적으로 고려한다’고 응답했지만, 그 중 11%만이 ERM 프로그램을 완전히 구현하고 있다고 보고했다.
이처럼 제한적인 채택이 그리 놀랄 일이 아닌 것은 ERM 구현에 내재되어 있는 몇 가지 과제 때문이다. 복잡하고, 때로는 알려지지 않은 위험을 사업부 전반에서 관리하는 일은 조직에 있어 상당히 까다로운 과제가 된다. 또 복잡성과 종종 상충되는 성향을 가진 국제적인 요구사항은 규제 위험 관리를 매우 어렵게 만들고 있다. 마지막으로는 기업이 추종할 만한 지침을 제공하기 위한 업계 모범 사례에 대한 경험이나 지식이 충분하지 않다. 그 결과 많은 기업이 공식적인 ERM 프로그램의 필요성은 알지만, 수행 방법이나 그 과정에 도움을 주기 위해 어떤 기술을 채택할지 확신이 없으며, 이는 제한적 형태의 ERM 방법론 채택으로 나타나는 것이다.

위험의 분류
ERM에는 어떤 유형의 위험이 포함될까? 그 이름이 암시하듯, ERM에는 평범하지 않은 방식으로 기업에 영향을 미칠 수 있는 모든 위험이 포함돼야 한다. 대부분의 기업이 당면하고 있는 리스크를 크게 구분해보면 다음과 같다.

● 위해적인 리스크 - 화재, 홍수, 도난 등
● 재정적 리스크 - 가격, 신용, 인플레이션 등
● 전략적 리스크 - 경쟁, 기술 혁신, 규제 변경, 브랜드 이미지 손상 등
● 운영 리스크 - IT 용량, 비즈니스 운영, 보안 위협 등

이 같은 유형의 리스크는 모두 기업이 모니터링 및 관리할 중요한 것들이며, 극단적인 경우 각각의 리스크가 기업에 파국적인 사태를 불러올지도 모른다. 이 가운데 가장 예측 가능성이 높고 가장 다루기 쉬운 유형의 리스크는 운영 리스크다. 운영 리스크는 기업의 일반적인 운영과 관련되며, 따라서 내부 통제의 개선·강화에 가장 쉽게 영향을 받는다.
운영 리스크는 그 성격에 따라 내부적인 것과 외부적인 것으로 나눌 수 있으며, 내부적인 운영 리스크로는 ▲인력(인력의 손실, 전문 지식 부족, 인력 감축 등) ▲프로세스(부적절한 프로세스 통제, 합병 등) ▲기술(부적절한 시스템 보안, 시스템 신뢰성, 기술적 쇠퇴 등) 등을 예로 들 수 있다. 외부적인 운영 위험의 예에서도 ▲프로세스(법률 사항, 공급자 및 협력업체에 따른 리스크 등) ▲기술(물리적인 보안, 데이터 보관 사이트 등)과 같은 유사한 내용이 포함된다.
리스크는 어떻게 해서든 피해야만 하는 것은 아니다. 리스크를 신중하게 적절한 수준에서 수용할 때에만 비즈니스가 성장한다. 리스크 중 일부는 정상적인 비즈니스 과정의 일환으로 수용할 수 있고, 또 수용해야만 한다. 각 유형별 리스크를 처리를 위해 취할 수 있는 일반적인 접근법은 네 가지다.

● 회피 - 특정 리스크가 제거되도록 활동을 변경한다.
● 이전 - 리스크의 일부 또는 전체를 다른 주체로 이전한다(보험, 제휴관계 등).
● 완화 - 리스크 및 손실의 심각성을 낮추기에 충분한 통제 및 척도를 생성한다.
● 수용 - 리스크 및 제반 비용을 수용한다.

사용할 적절한 접근법은 리스크의 유형과 영향의 심각성에 크게 좌우된다. <그림 1>은 기업의 여러 리스크 유형을 처리하는 방법에 대해 유용한 일반 원칙을 그림으로 나타낸 것이다.
<그림 1>은 본질적으로 다양한 리스크를 간편한 박스로 분류하려는 시도다. 그러므로 단지 개념적인 얼개에 불과하며, 오늘날 여러 비즈니스 리스크의 복잡성을 모두 포함하는 것은 아니다.
각각의 활동을 간략하게 살펴보자. 리스크에 대한 회피는 어려운 일이고, 때로는 비즈니스 선택을 상당히 제한한다. 즉, 리스크를 완전히 제거하는 것은 기업의 성장에 부정적인 영향을 더 크게 미칠 수도 있다. 리스크 전이로 재정적 이익을 볼 수도 있지만, 대개 그 보상이 기업의 비즈니스 요구사항을 만족시킬 만큼 충분치 않다. 예를 들어 제조 플랜트의 손실을 재정적으로 감당할 수 있다 하더라도, 이러한 손실이 파국에 이르도록 부정적 영향을 미칠지도 모른다.
알다시피, 가장 일반적인 접근법은 리스크 완화다. 여기에는 손실 위험을 줄이기 위한 ‘통제’ 생성뿐만 아니라 현재의 위험이 항상 정확하게 분석되도록 보장하는 ‘모니터링 기능’ 생성과도 관련이 있다. 통제의 규모와 수준은 전반적인 비즈니스에 대한 리스크의 심각성에 크게 좌우된다. 리스크에 따라 지속적이고 대단히 사전 예방적인 모니터링 및 분석이 요구되기도 하고, 약간은 덜한 사전 예방적인 관리가 요구되기도 한다.
리스크 완화는 이러한 통제를 구현하는 데 도움이 되는 기술 솔루션으로 가장 쉽게 다룰 수 있는 접근법이기도 하다.

리스크 관리 프레임워크
ERM 프로그램의 목표는 기업 전체의 운영 및 의사 결정 정책에 포함되는 환경 및 인프라를 생성하는 것이다. 일반적으로 이러한 프로그램의 성공이 보장되려면 몇 가지 기본 요소가 널리 통합되고 전달돼야 한다.
<그림 2>는 이러한 모델을 그림으로 나타낸 것으로, 이러한 모델이 전반적인 ERM 프로그램에 어떻게 영향을 미치는지 단계별로 살펴본다.

1) 기업 리스크 관리 전략
첫 단계는 기업 임원진에 의해 이뤄지는 전략 단계다. 이는 수용된 기업 리스크 허용한도를 구체적인 정책으로 공식화하는 역할을 하고, 기업의 나머지 부분에서는 이를 따르게 된다. 여기에는 일반적으로 기업 리스크의 범주와 정의, 존재할지 모를 리스크의 수준 결정, 그리고 기업 전체가 허용할 수 있는 리스크 수준에 대한 지침 설정이 포함된다.
이어서 각 사업부가 수용할 수 있는 리스크 수준을 결정하고, 각 사업부별로 모두 전달해야 하며, 이 때 대상 시장 및 재정적 환경의 특성에 따라 각 사업부마다 리스크 허용한도가 다르게 제시될 수도 있다. 그 다음 작업은 각 사업부가 해당 리스크 허용한도 지침대로 당면한 구체적인 상황을 ‘운영’하는 일이다.

2) 리스크 계획 및 분석
각 지침이 임원진에 의해 생성되고 나면 운영 부서로 넘어가 일상적인 비즈니스 계획 및 결정의 지침 역할을 하게 된다. 사업부는 비즈니스가 직면한 리스크의 상세 분석과 리스크가 비즈니스에 미치는 잠재적 영향에 따라 분류를 시작하며, 분류에 따라 리스크가 <그림 1>과 같은 리스크관리 매트릭스의 사분면 중 한 곳에 배치된다.
각각의 리스크를 분석 및 분류한 이후에는 각 리스크의 처리 방식에 대한 설명을 포함하는 리스크 대응 계획을 세워야 한다. 경우에 따라, 리스크는 단지 ‘비즈니스 운영비용’일 수 있고, 리스크를 제거하기 위한 구체적인 조치 및 계획 없이 수용될 수 있지만, 이외의 대부분의 경우에는 리스크와 각 리스크의 영향을 현저히 낮추는 통제 및 모니터링 기능 생성 방법에 대한 설명을 포함하는 완화 계획을 개발해야 한다.
다음으로 리스크 완화 시의 비용/이익 분석(cost/benefit analysis)을 수행한다. 경우에 따라 완화 비용이 부정적인 영향에 비해 더 클 수 있는데, 이때에는 다른 대체 조치(리스크를 이전 또는 수용 등)가 보다 적절할 수도 있다. 그렇지만, 대부분의 경우에는 구체적인 계획에 따라 각각의 결과에서 전반적인 리스크가 통제된다는 면에서 상당한 이익이 될 수 있다.

3) 리스크 관리 및 모니터링
다음 단계에서는 실제로 통제를 생성 및 구축해서 리스크를 줄이고 통제의 성공 여부 및 효과를 모니터링 한다. 리스크의 가능성이나 영향을 줄일 수 있는 것은 모두 통제에 해당된다. 즉, 기술 솔루션이 될 수도, 절차 개선이 될 수도, 아니면 양쪽 모두와 비슷한 것이 될 수도 있다.
전체 ERM 프로세스에서 기술 채택이 가장 심도 깊은 효과를 지닐 수 있는 것이 바로 이 분야다. 예를 들어, IT 보안의 경우에는 입증된 기술 및 솔루션의 채택을 통해 특정 위협 또는 리스크가 극적으로 통제될 수 있다. 이러한 접근법은 지속 가능한 플랫폼을 생성시켜, 꾸준히 리스크 감소를 돕고, 보안을 강화할 뿐 아니라 전반적인 IT 보안 관리 비용을 절감시키는 경우가 많다. 보호되는 애플리케이션, 데이터, 시스템에 비승인 사용자가 접근 가능한 리스크는 ‘수용’으로 분류할 수 있는 것이 아니며, 이러한 리스크를 통제할 수 있는 강력한 액세스 관리 솔루션을 사용해 인적으로 가능한 만큼 리스크를 낮춰야 하는 것이다.
마찬가지로 여러 기업의 주된 리스크는 직무 분리 위반과 관계된다. 특정 인물이 정의된 업무 기능에서 필요한 것보다 더 많은 권한을 갖게 되는 상황으로, 매우 흔한 사례 중 한 가지는 실제로는 액세스 권한이 덜 필요한데도 전체 시스템에 대한 슈퍼유저 액세스 권한을 가진 사람들이 많은 것이다. 이 경우 누군가가 비즈니스 트랜잭션을 시작할 수 있을 뿐만 아니라, 해당 비즈니스 트랜잭션을 승인하는 ‘최악의 경우’가 발생할 수 있다. 이러한 상황은 부정사용의 가능성도 높으므로, 어떻게 해서든 이를 감소시켜야 한다.
이러한 내부 통제는 규제준수에서 요구하는 것과 동일하다는 점에 유념해야 한다. 관련된 규정과 관계없이 일련의 강력한 내부 보안 통제는 각 규정이 요구하는 본질이며, 내부 통제가 생성되면 리스크 관리 및 저하에 도움이 될 뿐 아니라 동시에 규제준수 요구사항 충족이 손쉽게 될 수 있다.
이 단계의 필수 요소는 각 통제의 효과를 지속적으로 모니터링하는 것이며, 여기에는 현재의 통제에 대한 모니터링 및 보고뿐만 아니라 비즈니스 환경의 변화를 기초로 리스크 및 완화 계획을 지속적으로 재평가하는 것이 포함된다. 새로운 리스크가 등장하고, 기존의 리스크가 증가 및 감소함에 따라 리스크 관리 계획과 리스크 완화 역할을 하는 통제 세트에 변경이 필요하다.
모니터링이 필요로 하는 일은 무엇일까? IT 보안인 경우에는 보안 이벤트 보고, 보안 문제 확인을 위한 자동화된 이벤트 필터링 및 상관관계, 모든 사용자가 필요한 액세스 권한 수준만 갖도록 하는 인증, 직무 구분 위반 검색 및 정정 등이 관련될 수 있다. 또 다중 인증 시도 오류 등 특정 이벤트의 분석뿐 아니라 이벤트 동향 분석도 모니터링에 포함돼야 한다. 때로 보안 문제는 일정 기간 동안의 이벤트 동향 관찰에 의해서만 확인될 수 있는데, 이러한 유형의 모니터링에는 사람의 개입이 요구되는 경우가 종종 있지만, 효과적인 보안 이벤트 관리 솔루션을 사용하면 많은 부분 자동화가 가능하다.

4) 통제 최적화
내부 통제 및 그 효과는 지속적으로 분석이 이뤄져야 한다. 정의한 리스크 관리 전략에 변경을 일으킬 수 있는 요소는 여러 가지가 있다. 새로운 리스크의 등장, 기존 리스크의 우선순위 변경, 완화 기법의 실패 등이 그것이다. 즉, 비즈니스 상황에 따라 리스크 허용한도를 손쉽게 변경함으로써 상황이 순조로울 때는 보다 많은 리스크를 수용해야 한다.
통제 최적화란 이처럼 모니터링 활동을 이용해 각각의 리스크 관리에 사용되는 통제를 동적으로 수정할 것이란 의미에 불과하다. 리스크란 항상 다소간은 동적이기 때문에 이것은 끝없는 과정이다. ‘꼭 맞는’ 통제란 없고, 그저 ‘보다 좋게’ 만들 뿐이다.

5) 컴플라이언스 보고서
최종 단계는 일반적으로 컴플라이언스를 위한 IT 감사용 보고서 및 정보 생성과 관계된다. 여기에는 규제 감사자를 위한 구체적인 보고서뿐만 아니라 컴플라이언스 수준의 판단을 돕기 위한 내부용 보고서도 포함된다.
이 단계는 엄밀히 ERM의 일부는 아니지만, 전반적인 전사적 리스크 관리(ERM)를 위한 노력에 의해 생긴 결과로서 자연스러운 결과라는 점에 유념한다. 효과적인 컴플라이언스에서 ERM이 이토록 중요한 것은 바로 이 점 때문이다. ERM은 모든 종류의 전사적인 공격성 리스크를 관리하기 위한 프레임워크를 제공하고, 내부 통제를 생성시켜, 이러한 리스크를 교정할 뿐만 아니라 컴플라이언스 목표 달성을 입증하는 보고서 및 정보를 제공한다.

성공적인 리스크 관리의 원칙
리스크 관리에 대한 높아진 관심에도 불구하고, 현재 실천은 상대적으로 비효과적인 상태이라고 분석할 수 있다. 여러 기업에서 주로 자체적으로 결정된 우선순위 및 비즈니스 요구에 따라 각 사업부마다 독립적으로 리스크 관리가 이뤄지는 것이 주된 배경으로 자체적인 노력에 대한 중앙의 감독 또는 가시성이 부재하는 경우가 많으며, 그 결과 기업 전반에서 일관성이 결여되게 된다. 이는 각 사업부가 준수해야 하는 공통적이고 일관성 있는 리스크 관리 프레임워크가 부재하고, 그 결과 리스크 관리에 대해 상이하고 ‘고립적인’ 일련의 접근법이 나타난다는 의미다.
그렇다면, 성공적인 리스크 관리 프로그램은 어떤 속성을 지녀야 하는가. 이러한 프로그램의 보다 중요한 특성 중 일부를 제시하면 다음과 같다.

● 전사적인 ERM 프레임워크 - 전사적인 수준의 리스크 관리 우선순위 및 정책을 기반으로 기업 전반에서 리스크 관리가 일관되게 이뤄져야 한다. 이를 위한 가장 효과적인 수단은 공통적인 프레임워크를 각 사업부에서 채택하는 것으로, 공통적인 모델을 사용해 리스크에 대한 의견 교환을 할뿐만 아니라 일관성 있는 기법을 사용해 리스크를 관리할 수 있다. COSO, ERM 프레임워크는 이러한 목적으로 사용이 가능한 일반적으로 인정받은 프레임워크다.
● 지속적인 관리 및 측정 - ERM 프로그램이 얼마나 잘 가동되는지를 구체적으로 측정해 성공, 또는 결여 여부를 끊임없이 모니터링 해야 한다. 리스크 관리 활동 통제에 사용되는 ‘스위치’를 조정하기 위해 이 정보는 추후에 전사적 수준으로 통합돼야 한다.
● 리스크 관리는 전직원 업무의 일부분 - 리스크 관리 전략 및 목표에 대한 의견교환이 기업 내 어디서든 존재해야 한다. 이것이 성공하려면 ERM 프로그램이 모든 직급에서 ‘모든 직원의 업무’가 돼야 한다.
● 진행중인 ERM 프로그램에 대한 중앙 통제 및 가시성 - 사업부는 사내 지침에 따라 적절하게 리스크를 관리할 책임이 있다. 이를 위해서는 전체 기업의 리스크 관리 이니셔티브 운영을 모니터링 하는 일종의 중앙 기관이 필요하다.
리스크 관리 노력에서 가장 중요한 요소는 리스크를 수용 가능한 수준으로 관리하는 것이다. 전적으로 리스크가 존재하지 않는 인프라를 실제 목표로 삼는 것은 불가능하다. 리스크를 극히 낮은 수준으로 줄이는 것마저도 비즈니스 성장을 부적절하게 압박할 지도 모른다. 기꺼이 수용하고자하는 리스크 수준은 여러 요인에 의해 좌우되며, 그 가운데 이벤트의 잠재적인 영향, 전사적 위험 허용한도의 일반적인 수준, 비즈니스 성장에 미치는 영향, 그리고 경쟁적인 시장 환경이 포함된다.

다음 호에서는 IT 보안 리스크에서 중요한 영역과 이 같은 리스크를 효과적으로 관리할 수 있는 방법에 대해 살펴보겠다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.