정보보호 수업에서 리스크 평가 방법론 학습 및 실습 경험 결
정보보호 수업에서 IT 리스크 평가 방법론을 배우고 가상 시나리오에 적용하는 과제를 수행하였습니다. 자산 식별, 위협 식별, 취약점 분석, 리스크 산정 순서로 진행하였는데, 처음에는 리스크를 높음·중간·낮음으로만 나누면 된다고 생각하였으나, 기준이 없으면 사람마다 판단이 달라진다는 것을 팀 과제에서 확인하였습니다. 리스크 기준표를 먼저 정하고 나서야 결과가 일관성 있게 나왔습니다.
리스크 평가에서 판단 기준을 먼저 합의하는 단계가 중요하다는 것을 그때 배웠습니다. 기준이 없으면 같은 리스크를 보고도 사람마다 다르게 판단하게 됩니다.