본문 바로가기
정보보호

Quantitative Analysis(정량적 분석) 및 Qualitative Analysis(정성적 분석)

by 웹하는빡통 2020. 5. 18.

정량적 위험 분석

위험 분석 프로세스의 모든 요소에 대하여 금전적 가치와 숫자값을 부여하는데 사용(객관적으로 분석)

분석 내의 각 요소(자산가치, 위협 빈도, 취약의 심각성, 피해 영향, 안전장치 비용, 안전장치 비용, 안전장치 실효성,

불확실성, 개연성 항목)는 정량화되어 공식에 입력되어 전체 및 잔여 위험을 판단.

 

장점

1. 객관적인 평가기준이 적용

2. 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘간다.

3. 위험관리 성능평가가 용이

4. 위험 평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해가 쉽다.

 

단점.

1. 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다.

2. 수작업의 어려움으로 자동화 도구를 사용할 시 신뢰도가 벤더에 의존하게 됨.

 

정량적 분석 방법의 종류.

1. 과거자료 분석법: 미래 사건의 발생 가능성을 예측하는 방법으로 과거의 자료를 통해 위험발생 가능성을 예측한다.

2. 수학공식 접근법: 위협의 발생 빈도를 계산하는 식을 이용하여 위험을 계량하는 방법이다.

3. 확률 분포법: 미지의 사건을 추정하는데 사용하는 방법 확률적 편차를 이용하여 최저, 보통, 최고의 위험 분석을 예측

4. 점수법: 위험 발생 요인에 가중치를 두어 위험을 추정하는 방법이다. 

 

정성적 위험 분석

구성요소와 손실에 대해 숫자와 화폐적 가치를 부여하는 대신에 다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다. 

정성적 위험분석 기술은 판단, 직관, 경험을 포함한다. 

 

장점

1. 계산에 대한 노력이 적게 든다.

2. 정보자산에 대한 가치를 평가할 필요가 없다. 

3. 비용/이익을 평가할 필요가 없다. 

 

단점.

1. 위험평가 과정과 측정기준이 지극히 주관적임.

2. 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고 문제에 대한 주관적인 지적만 있다. 

3.위험관리 성능을 추적할 수 없다. 

 

정성적 분석 방법의 종류

1. 델파이법: 전문적인 지식을 가진 전문가 집단이  위험을 분석 및 평가하여 다양한 위협과 취약점을 토론을 통해 분석하는 방법.

2. 시나리오법: 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정조건하의 위협에 대해 발생가능한 결과를 추정하는 방법.

3. 순위결정법: 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방법. 

4. 퍼지 행렬법: 자산, 위험, 보안체계등 위험분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법.

 

댓글