1. 정보보호에서 투자 비용 대비 효율
정보보호에 있어서 투자는 필수적이다.
하지만 기업에서는 정보보호에 대한 투자를 비용으로 인식하는 경향이 있고 어떤 투자든 무한정 할 수는 없다.
그래서 투자 대비 효율을 따지게 되는데 투자 비용 대비 효율은 초기에는 증가하다가 일정 수준에 도달하면 급격하게 감소한다.
이에 따라 위험을 관리하게 되는데 위험관리 전략은 4가지가 있다.
2. Risk Management
| 구 분 | 내 용 |
| 위험 회피
(Risk Avoidance) |
위험에 노출된 부분을 사업 철수하거나 위험 자산을 처분하는 등의 회피 전략 |
| 위험 감소
(Risk Reduction) |
기술적·운영적·관리적 측면에서 예방·탐지·대응 능력 향상을 통해 위험을 통제하는 것 |
| 위험 전가
(Risk Transfer) |
제3자에게 위험을 전가하는 것으로 주로 보험을 통한 재무적 손실 방지나 교환하는 것 |
| 위험 감내(수용)
(Risk Acceptance) |
발생하는 위험을 그대로 수용하는 것 |
Table 1. 위험관리 유형
출처
[Fig 1] Gordon, L.A., and Loeb, M.P. (2002). “The Economics of Information Security Investment”, ACM Transactions on Information and System Security, Vol.5 No.4, pp.438-457.
[Table 1] 권홍, 김태성, “보험을 이용한 정보보안 위험관리에 대한 소고”, 한국경영학회 통합학술발표논문집, 2009