위험 식별 및 위험 평가 이해
위험 식별
Microsoft 365 위험 관리는 위험 식별로 시작합니다. 위험 식별은 탐색 활동을 강조하여 모든 주요 제어 영역, 내부 및 외부 위협 및 Microsoft 365 환경의 취약성에 대한 알려진 위험의 출처를 식별합니다. Microsoft 365 Trust 팀은 Microsoft 365 서비스 팀과의 인터뷰를 통해 Microsoft 365 서비스 및 종속성과 관련된 새로운 위험을 식별합니다. SEM(서비스 팀 실무 전문가)의 전문 지식은 서비스가 성장하거나, 새로운 기능이 추가되거나, 새로운 종속성을 활용함에 따라 증분 방식으로 발생할 수 있는 위험에 대한 인사이트를 제공합니다.
SME 인터뷰 외에도 위험 식별 프로세스는 취약성 검사, 레드 팀/블루 팀 공격 시뮬레이션, 독립적인 감사 결과 및 인시던트 관리 활동을 비롯한 지속적인 모니터링의 데이터를 통합합니다. 예를 들어 레드 팀 공격 시뮬레이션이 기존 제어 구현에 취약성을 표시한 경우 해당 정보가 위험 식별 프로세스에 포함됩니다. 이전 연도 감사 결과 검토 및 컨트롤의 차이를 노출하는 결과 추세는 위험 식별에 포함되는 출처 중 하나입니다. 식별 프로세스에는 의사 결정 로그, 활성 보안 및 규정 준수 예외, 완화 작업 및 이전 위험 식별 중에 식별된 위험의 검토도 포함됩니다.
Microsoft 365 Trust 팀은 SME와의 인터뷰 및 지속적인 모니터링 데이터를 사용하여 Microsoft 365 환경에 대한 위험을 식별합니다. 이 프로세스 전체에서 Microsoft 365 Trust 팀은 서비스 팀 및 위험 소유자와 협력하여 식별된 위험의 정확성과 완전성을 확인합니다. 모든 관련 위험이 확인되면 Microsoft 365 신뢰 팀은 위험 평가를 진행합니다.
위험 평가
Microsoft 365 Trust 팀은 영향, 가능성 및 제어 결함의 ERM 위험 평가 방법을 사용하여 식별된 각 위험을 평가합니다. 영향은 데이터 기밀성 손실, 고객 신뢰 또는 규정 준수 인증과 같이 실현되는 위험의 부정적인 영향을 해결합니다. 가능성은 잠재적 위험이 실현될 확률을 식별합니다. 가능성은 향후 발생 가능성과 함께 과거 발생 빈도를 검사하여 계산됩니다. 마지막으로, 제어 결함은 식별된 위험을 완화하는 구현된 보안 컨트롤의 효과를 분석하여 계산됩니다. 이러한 메트릭은 컨트롤 완화를 고려하여 각 위험의 심각도를 나타내는 잔여 위험 점수를 계산하는 데 사용됩니다.
위험 점수를 계산한 후 Microsoft 365 Trust 팀은 위험을 심각도별로 분류합니다. 이러한 범주는 ERM 위험 평가 방법론에 부합하고 Microsoft 365가 직면한 높은 수준의 위험에 대한 통합 보기를 제공합니다. 위험은 다음 네 가지 심각도 범주 중 하나로 분류될 수 있습니다.
- 심각함: 적절한 제어가 없거나 제어가 의도한 대로 작동하지 않는 매우 높은 위험 노출 영역이며 기존 위험을 완화하기 위해 수정이 필요한 영역입니다.
- 높음: 적절한 제어가 없거나 제어가 의도한 대로 작동하지 않는 높은 위험 노출 영역이며 기존 위험을 완화하기 위해 수정이 필요한 영역입니다.
- 중간: 중간 수준의 컨트롤 결함, 부적절한 제어 또는 의도한 대로 작동하지 않는 컨트롤이 있는 중간 위험 노출 영역입니다.
- 낮은: 구현된 컨트롤 또는 정책에 사소한 결함이 있는 낮은 위험 노출 영역입니다.
Microsoft 365 Trust 팀이 식별된 모든 위험을 평가하고 분류한 후에는 각 서비스 팀의 이해 관계자와 만나 Microsoft 365 위험 상태를 정확하게 나타냈는지 확인합니다. 평가 결과는 Microsoft 365 관리에서 검토합니다.