ISO 31000

 

01	ISO 31000
도메인	IT 경영 전략
키워드	리스크 관리, 8 원칙, 6 프로세스

 

ISO 31000

 

조직이 위험 관리 프레임워크를 수립, 구현, 운영, 유지 및 지속적으로 개선하는 데 도움이 되는
원칙과 지침을 제공하는 리스크 관리를 위한 국제 표준 가이드라인

 

Risk : 목표에 대한 불확실성의 영향 (effect of uncertainty on objectives)

 

Risk Managment : 위험과 관련하여 조직을 지시하고 제어하기 위한 일련의 조정된 활동

Coordinated activities to direct and control an organization with regard to risk)

 

ISO 31000 원칙, 프레임워크 및 프로세스

 

 

Principles, framework and process

- 리스크 관리 위한 8개 원칙과 6개 프로세스 소개

 

 

1. 원칙(Principles)

 

① 통합성 (Integrated)

② 체계적이고 포괄적인 접근 (Structured and Comprehensive)

③ 맞춤형 접근 (Customized)

④ 종합적인 접근 (Inclusive)

⑤ 동적인 접근 (Dynamic)

⑥ 유용한 정보 (Best Available Information)

⑦ 인간과 문화적 요소 (Human and Cultural Factors)

⑧ 지속적 개선 (Continual Improvement)

 

---

2. 프로세스 (Process)

 

① 의사소통과 협의 (Communication and Consultation)

② 범위 조직의 상황 및 기준 (Scope, context, and criteria)

③ 리스크 평가 (Risk Assessment)

  - 리스크 식별 (Identification)

  - 리스크 분석 (Analysis)

  - 리스크 평가 (Evaluation)

④ 리스크 처리 (Risk Treatment)

⑤ 모니터링 및 검토 (Monitoring and Review)

⑥ 기록 및 보고 (Recording and Reporting)

---

 

□ 위험의 구성 요소 : 자산, 위협, 취약점, 정보보호대책

 

□ 위험분석 방법론 : 기준 접근법, 비정형화된 접근법, 상세 위험분석, 복합 접근법

 

□ 위험처리 전략 : 위험 회피, 위험 전가, 위험 감소, 위험 수용

 

□ 정량적 위험분석과 정성적 위험분석

 ○ 정량적 위험분석 방법의 종류 : 과거자료 분석법, 수학공식 접근법, 확률 분포법, 점수법

 ○ 정성적 위험분석 방법의 종류 : 델파이법, 시나리오법, 순위결정법, 퍼지 행렬법

---

참고 자료

 

ISO 31000:2018(en), Risk management — Guidelines

https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en