위험 수준 결정

마지막 업데이트: 2022년 5월 19일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

위험 수준 결정

고병원성 조류 인플루엔자(Highly Pathogenic Avian Influenza) A/H5N1형에 의한 인체 감염증가에 따른 대유행(pandemic influenza)를 비롯하여 큐열, 결핵, 치쿤구니아 등 감염병이 지속적으로 발생하고 기후 변화, 병원체의 변이 다양성 등으로 병원체의 숙주 범위가 변화하며, 현대생명공학기술의 발달로 유전자변형생물체가 개발됨에 따라 다양한 감염질환의 치료예방 및 백신 개발, 신속정확한 실험실 진단법 확립, 병인지전 및 항생제 내성기전 규명 등을 위한 다각적인 연구가 활발하게 수행되고 있다. 이와 관련하여 병원체를 취급하는 실험실에서 비의도적 병원체 유출, 부주의한 실험 행위 및 잘못된 실험습관 등에 의한 병원체 감염사고는 실험자종사자 개인뿐만 아니라 지역사회의 감염질환 발생 및 유행이라는 생물학적 위해를 초래할 수 있기 때문에 연구책임자, 시험연구자 개개인은 취급하는 병원체 및 실험내용 요소를 바탕으로 위해성 평가(risk assessment)를 실시하여 예상되는 위해를 제거하거나 최소화할 수 있는 생물안전(biosafety)을 확보하여야 한다.

위해성 평가란 무엇인가?

생물학적 위해성 평가(biliogical risk assessment)란 잠재적인 인체감염 위험이 있는 병원체를 취급하는 의과학분야 실험실에서 실험과 관련된 병원체 등 위험요소(hazard)를 바탕으로 실험의 위해(risk)가 어느 정도인지를 추정하고 평가하는 과정을 말한다. 이러한 위해성 평가 결과는 해당 실험의 위해 감소 관리를 위한 연구시설의 밀폐수준, 개인보호장비, 생물안전 장비 및 안전수칙 등을 결정하는 주요 인자가 된다.

위험 수준 결정

원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성 을 의미한다. (발생 가능성 * 손실의 정도)

1) 위험의 구성 요소

위협은 취약점을 공격하여 이용하고, 취약점은 자산을 노출 시킨다. (위험 발생)

자산(Assets): 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소

위협(Threats): 자산에 손실을 초래할 수 있는 사건의 잠재적 원인이나 행위자 (환경적, 의도적, 우연적 위협이 존재)

취 약점(Vernerability) : 정보보호 대책의 미비

위험을 파악 함으로써 보안 요구사항을 파악할 수 있고 보안 요구사항을 파악하기 위해 정보보안 대책을 선정하여 구현 한다.

정보보호 대책(Safeguard): 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 대책(FW, IPS, 절차, 정책, 교육, 통제 등)

조직은 자산가치 산정 위험 수준 결정 을 통해 보호를 받을 가치가 있는 자산에 대해 정보 자산의 형태, 소유자, 관리자, 특성 등을 포함한 목록 을 만들고 자산의 가치와 중요도 를 산출하여 정보자산과 업무처리와의 관계를 알아낼 수 있다.

2) 전체 위험(Total risk)과 잔여 위험(Residual risk)

정보보호 대책을 구현하여 위험 수준 결정 위험 수준 결정 전체 위험을 수용할 수 있는 수준으로 감소시키고 구현 후 100% 안전한 시스템이나 환경은 존재하지 않기 때문에 남겨진 위험을 잔여 위험이라고 부른다.

전체 위험: 위협 * 취약점 * 자산

잔여 위험: 전체 위협 - 대책, ( 위협 * 취약점 * 자산) * 통제 격차

3) 위험 관리

조직의 위험 수준 결정 자산에 대한 위험을 감수할 수 있는 수준으로 유지 하기 위하여 자산에 대한 위험을 분석 하고 이러한 위험으로부터 보호하기 위한 비용 대비 효과적인 위험 수준 결정 보호대책을 마련하는 일련의 과정 이다. (보안 관리 활동의 핵심)

자산 식별 → 위험 분석 및 평가 → 정보보호계획 수립 → 정보보호대책 수립

2. 위험 분석

위험을 관리하기 위해 위험 분석은 가장 핵심적인 과정이다.

보호되어야 할 대상 정보 시스템과 조직의 위험을 측정 하고 측정된 위험이 허용 가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것이다.

1) 사전 위험 분석

효과적인 위험 분석을 하기 위해서 현재 구성되어 있는 네트워크 및 시스템 환경에서 적합한 위험분석 수준을 결정 하는 것이다.

사전 위험 분석이 이루어진 후 위험 분석 방법을 결정한다.

2) 위험 분석 방법
2.1) 기준 접근법 (Baseline Approach)

표준화된 보안대책의 세트를 체크리스트 형태로 제공 한다.

조직화된 위험 평가 접근법을 구현할만한 자원을 갖지 못한 작은 조직에 사용하도록 권고되는 것이 일반적이다.

위험분석을 위한 자원이 필요하지 않다.

장점: 자원과 비용 감소, 시간과 노력 감소, 반복 사용 가능

단점: 조직의 특징과 시스템이 사용되는 방법에 따라 달라질 수 있는 위험의 차이를 고려할 수 없음

2.2) 비 정형화된 접근법 (Informal Approach)위험 수준 결정

개인의 지식과 전문성을 활용하여 실용적인 위험 분석을 실시 한다. (전문가 의존)

장점: 개인의 지식과 전문성에 의존하므로 위험분석이 빠르고 비용 감소

단점: 일부 위험 수준 결정 위험이 적절하게 평가되지 않을 수 있고 취약한 상태로 방치할 가능성 존재, 정당성 결여

2.3) 상세 위험 분석 (Detailed risk analysis)

모든 정보자산에 대해 상세 위험 분석 을 하는 방법이다.

장점: 보안 위협에 대해 가장 상세하게 살펴봄, 정당화 가능

단점: 자원과 비용 증가, 시간과 노력 증가, 지연 발생 가능성

2.3.1) 상세 위험 분석 종류

자산 분석: 조직의 자산 규모 파악, 자산의 가치 및 중요도 산출, 자산과 업무처리와의 관계 파악

위협 분석: 자산에 피해를 가할 수 있는 잠재적 위협 파악 , 위협이 발생할 가능성

취약점 분석: 자산의 속성과 중요도를 바탕으로 자산이 가지고 있는 취약점 식별 및 취약점이 전체적인 위험에 미칠 수 있는 영향

대응책 분석: 네트워크 및 시스템을 새로 구축하거나 운영 중인 자산에 필요한 대응책 조사 후 기본 기능 수행 여부를 파악

위험 평가: 자산, 위협, 취약점, 대응책 분석을 통해 결과를 바탕으로 위험을 측정 하고 평가한 후 대응책을 제시

잔류 위험 평가: 위험 평가에서 대응책을 적용할 때 보안 정책에 명시되어 있는 허용 위험 수준을 만족하는지 검증

2.4) 통합된 접근법 (Combined Approach)

고위험 영역은 상세 위험 분석을 사용하고 다른 영역은 베이스라인 접근법을 사용 하는 방식이다.

중요한 자원이 투입되기 전 에 필요한 정보를 위험 수준 결정 얻기 위한 간단한 고수준 접근을 사용 한다.

장점: 상세 위험 분석, 베이스라인 접근법을 초기에 적용하여 해결 가능 (유연성)

단점: 초기 위험 평가가 정확하지 않을 경우 조직을 일정 시간 동안 취약한 상태로 방치, 잘못 선택될 가능성 존재

3. 위험 처리 전략

1) 위험 수용

현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것이다.

과도한 비용 또는 시간이 들 경우 위험을 수용하고 위험에 대한 손실을 책임져야 한다.

2) 위험 감소
2.1) 위험 결과를 낮추는 방법

위험이 발생했을 때 조직에 해가 되는 결과를 낮추는 대책이다.

백업, 프로세스 확립, 이중화, 재난 복구 계발 계획 등이 있다.

2.2) 위험 발생 가능성을 낮추는 방법

자산의 취약점이 실제로 이용될 수 있는 가능성을 낮추는 통제수단을 구현하는 것이다. (비용효과 분석 실시)

기술적 통제(방화벽, 액세스 토큰 설치), 관리적 통제(교육, 비밀번호 정책 설정)를 포함할 수 있다.위험 수준 결정

3) 위험 전가

위험에 대한 책임을 제삼자와 공유 하는 것이다.

보험, 다른 기관과 계약(보안관제) 등이 있다.

4) 위험 회피

위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다.

4. 정량적 위험분석과 정성적 위험분석

1) 정량적 위험 분석

위험 분석 프로세스의 모든 요소에 금전적 가치와 숫자 값을 부여 한다. (객관적 분석)

수학적, 과학적 인 접근 방식을 통해 도출된 값을 통해 잔여 위험을 판단한다.

자동 위험 수준 결정 위험 분석 방식: 정량적 위험 분석이 수동으로 진행된다면 매우 어려우므로 자동으로 만들어주는 분석 도구가 존재한다.

1.1) 정량적 위험 분석 단계

①자산에 가치 부여: 각각의 자산에 대한 가치를 설정

②각각의 위협에 대한 잠재적 손실 계산: 노출계수 계산, SLE(단일 예상 손실) 계산(자산가치 * 노출계수)

③위협 분석 수행: ARO(연간 발생률) 계산 (1년 동안의 시간 단위에서 특정한 위협이 발생할 수 있는 빈도를 추정하는 값)

위험 수준 결정

잠깐! 현재 Internet Explorer 8이하 버전을 이용중이십니다. 최신 브라우저(Browser) 사용을 권장드립니다!

  • 이준희 기자
  • 승인 2018.03.13 14:35
  • 댓글 0

(엔지니어링데일리) 이준희 기자 = 지난해 3건에 이어 올해에도 4건의 CM at Risk 시범사업이 공공발주를 앞두고 있다. 그러나 국내외 전문가들은 “CM at Risk가 본격적으로 도입된다 하더라도 발주처의 느린 의사결정과 서류중심 문화가 개선되지 않는다면 큰 효과가 없을 것”이라고 입을 모았다.

미국 등 해외건설시장에서는 CM at Risk를 비롯한 다양한 발주방식이 적용되는 반면, 한국 발주제도는 경직되어 있다는 지적이다. 이에 본지는 12일 세계CM의 날을 맞아 한국CM협회가 주최한 CM서울포럼를 찾아, CM at Risk 해외현황을 전해 듣고 국내 도입을 위한 과제를 진단해봤다.

국내 발주제도가 분리발주에서 벗어나지 못해, 설계과정에 시공사가 참여하지 못하다보니 시공사의 엔지니어링능력이 떨어져 설계오류, 공기지연, 공사비지연 등의 문제가 발생한다는 해석이다. 그러나 업계는 이미 민간에서 Pre-Construction, ‘프리콘’의 장점이 검증된 만큼 CM at Risk 또한 긍정적인 결과가 있을 것으로 기대하고 있다.

한태희 GS건설 팀장은 “과거에는 발주자, 설계사, 시공사 간의 협업이 부족했지만 프리콘 등 위험 수준 결정 위험 수준 결정 새로운 툴에서는 상호 대화가 많아지고 협업이 증가했다”라며, “작년 6월 수주한 CM at Risk 공공분야 시범사업 1호에는 6명이 풀타임으로 투입됐으며, 기술지원부서 40~50명과 토목, 골조, 외장, 내장 등 하청업체들도 참여했다. 설계검토를 면밀히 하고, 공사계획을 세웠다. 일단위 생산검증, 인력장비검증 등을 거쳐 공사비검증을 하고 발주처와 협의해 최대보증가격를 책정할 수 있었다”고 했다.

특히, “과거에는 설계단계에서 시공까지 고려해 원가를 내는 것이 극히 드물었지만 CM at Risk에서는 설계단계에서 시공단계에서 벌어진 일들을 배울 수 있는 기회가 있다. 기록관리를 하다 보니 시공단계의 불확실성이 낮아지고 재시공 등의 오류가 현격하게 줄어들었다”며, “CM at Risk 시범사업 설계에 참여한 엔지니어링사는 해당 프로젝트로 우수상을 받기도 했다”고 강조했다.

▼엔지니어의 사업전체를 꿰뚫는 통찰력, 발주자의 신속정확한 판단력 필요
전문가 패널들은 완벽한 제도란 지구상에 존재하지 않으며 위험 수준 결정 CM at Risk 또한 예외는 아니라는 입장을 전했다. 제도개혁과 함께 사업주체들의 지속적인 노력이 필요하다는 논리다.

로버트 베넷 미국 랍코엔지니어링 사장은 “방콕공항에서 방콕도심으로 이어지는 교통시스템사업을 CM at Risk 방식으로 수행했다. 교통체증을 피해 공항에서 도심까지 철도로 18분만에 잇는 태국정부의 핵심사업이었다. 그러나 전반적인 프로세스를 보니 다른 교통수단과 연계하는 방안이 누락된 것을 확인했다”라며, “CM at Risk는 제도만으로는 완벽할 수는 없다. 시공사와 시행기관이 프로젝트 전체 절차를 꽤 뚫어볼 수 통찰력을 갖춰야한다”고 했다.

특히, 분리발주, 대안방식, CM at Risk 등 다양한 발주방식 중 가장 합리적인 선택을 할 수 있는 “발주자의 역량을 키우는 것이 시급하다”는 지적이 뒤를 이었다.

CM at Risk에서는 발주자, 설계사, 시공사, 하청시공사 등이 한자리에서 모여 도급금액, VE 등 실시간 공개되는 모든 자료를 파악하고 공유해야 한다. 무엇보다 발주자는 순간순간마다 의사결정을 해야 하는데, 발주자의 역량이 부족하다는 것. 자신의 결정에 책임이 따르기 때문에 서류작업이 많아지고 발주처의 의사결정은 지연되는 상황이다. 같은 CM at Risk라도 공공사업이 민간보다 속도가 느리고 발주자의 역량도 뒤쳐진다는 지적이다.

이창훈 국토교통부 사무관은 “국가 자체가 가장 큰 발주처다. 발주자가 똑똑해져야한다는 의견에 동의한다. 과거에는 최저가낙찰제로 시행착오를 겪으면서 SOC건설에 집중했었다. 그러나 이제는 시설물의 내구연한이 도래하며 유지관리가 중요해졌다”며, “더 이상은 설계 시공을 분리발주하는 위험 수준 결정 것이 바람직하지 않다고 본다. 칸막이를 걷어내 견적, 적산, 공정관리 등에 필요로 한 역량을 키우기 위한 노력이 필요하다”고 언급했다.

한편, 지오바니 미글리아치오 미국 워싱턴대학교 교수는 미국에서서 최근 가장 떠오르고 있는 발주방식으로 IPD ‘통합형사업발주’를 소개했다. “IPD는 시공사뿐만 아니라 전문설계사, 조달기업 등 다양한 계약자가 계약체결시기부터 참여한다는 특징이 있다. 인력, 시스템, 비즈니스 관행 등을 하나의 프로세스로 간주하고 모든 주체가 협의해 발주자에게 결과를 제공하는 방식이다.”

6장 중요성 설정 및 감사위험 Flashcards Preview

3. 감사인의 감사실패가능성에 대한 위험성향의 상이함과 질적인 판단으로 인하여 동일한 기업에 대한 여러 감사인의 중요성금액은 다르게 설정 될 수 있다.

중요성금액을 설정 할 때 FS이용자에 대한 감사인의 가정

1. 사업과 경제활동 및 회계에 대하여 합리적인 지식을 보유하고 있으며 합리적인 주의를 기울여 FS에 담긴 정보를 연구하려는 의향이 있음

2. FS가 중요성 수준에서 작성, 표시되고 감사가 이루어지고 있다는 점을 이해함

3. 추정, 판단, 미래사건들에 대한 고려에 기초한 금액 측정에 내재하는 불확실성을 인식하고 있음

4. FS에 담긴 정보에 기초하여 합리적인 경제적 의사결정을 함

1. RMM의 식별과 평가, 식별된 왜곡표시가 감사에 미치는 영향 평가

RMM을 식별하고 평가하기 위해서 감사인은 사전에 중요성금액을 설정한다. 그러한 중요성금액을 기초로 RAP에서 식별된 여러가지 위험요인들에 대한 중요성을 판단하게 된다.

3. 미수정 왜곡표시가 있는 경우 FS에 미치는 영향평가

감사증거를 수집하고 그 결과 발견된 미수정왜곡표시에 대하여 FS에 어떠한 영향을 미치는지에 대하여 그 영향을 판단하여야하며 그 결과에 따라 감사의견 표명이 달라질수 있다.

우리는 이제까지 경험하지 못한 다양한 경험들을 하고 있다. 모든 시스템에는 경험에서 오는 시행착오가 있을 것이다. 지금까지 우리가 코로나19로부터 경험했던 것들과 개선한 내용을 바탕으로 이번 호에서는 청결과 소독관리에 있어 위험평가 프로세스에 대해 살펴보도록 하자.


도식에서는 청결과 소독관리에 있어 위험한 요소들을 파악하고 그에 적합한 단계별 청결관리에 대해 제시하고 있다. 이렇게 실행되도록 하는 것이 지금 우리에게 필요한 핵심사항일 것이다. 이를 설정하게 위해 우리는 먼저 위험평가에 대한 단계를 알아야 한다. 세균과 바이러스로부터 위험을 평가하는 순서는 5단계로 진행된다.

1단계: 위험을 식별하는 단계

우리가 사용하고 있는 다양한 표면을 SARS-CoV-2, 기타 세균과 바이러스가 오염시키고 있는데 위험 수준 결정 이를 제거하기 위한 환경소독(청소와 소독)에 다양한 소독제들을 사용한다. 하지만 이때 또 다른 문제가 나올 가능성이 있다는 것에서 출발하는 것이 1단계다.

즉 위험을 식별하는 단계에서는 다음과 같은 순서로 진행하면 된다.

① 다양한 세균과 바이러스는 모든 표면을 오염시킬 수 있다.

② 이러한 것을 제거하기 위해 청소와 소독에 다양한 화학물질을사용한다.

③ 오염된 표면은 사람의 건강에 해가 된다.

④ 제거하기 위한 화학물질과 소독제들은 더 많은 사람들에게 해가 될 수도 있다.

⑤ 작업 영역(사이트 평가) 및 프로세스를 살펴본다. 장비(사용 지침), 화학 물질(안전 데이터 시트)을 문서화하고 검토한다. 정부의 각종지침과 법규를 확인하고 보건 안전전문가와 상의하며 지침서를 검토한다. 사용자들의 건물사용시간에 따른 양을 살펴보고 어떤 지역을 자주 사용하는지 혹은 점유하고 있는지 확인한다.

2단계: 위험의 요소를 식별한다.

예를 들어 오염된 표면을 만진 사람이 감염될 수 있는 가능성은 얼마나 높을까 생각해보고 더 나아가 소독제를 분무함으로써 담당 직원이 화학 물질을 흡입할 가능성은 얼마나 될지 생각해 보는 것이다. 다른 측면으로 출과 관련해 발생하는 심각한 경우 그 결과에 대해서도 생각해 봐야 한다. 예를 들어 코로나19는 사람들에게 위험하고 치명적인 질병이다. 만약 감염자가 사용한 모든 표면들(에스컬레이터나 입구 문/손잡이: High Toch)은 사람들이 반복적으로 만지는 동안 쉽게 오염될 수 있고 이러한 것들은 다른 사람들에게 감염돼 확산된다. 결론적으로 우리는 위험한 요소를 식별하기 위해 각자의 건물과 작업자의 특성을 고려, 위험요소를 측정해야 한다.

① Who: 누구에게 위험한 요소가 있는가?(예: 고객 또는 직원)

② Where: 어떤 장소에 위험한 요소가 존재하는가?(표면 또는 장소)

이 단계에서 위험한 표면들의 지도를 완성시킬 수도 있다. 이러한 지도는 향후 청결과 소독매뉴얼 작성에 기본이 되는 아주 중요한 단계가 된다.


확인된 위험인자 중에서 심각한 위험 VS 가능성이 낮은 위험으로 우리는 구분할 수 있을 것이다. 예를 들자면 에스컬레이터에는 불특정 다수가 자주 만지는 표면으로 오염될 확률이 높고 더 나아가 심각한 결과를 초래할 가능성이 있다. 다른 한편으로는 한 사람이 사용하는 사무실 책상은 오염될 수 있더라도 다른 동료에게 질병을 퍼뜨릴 확률은 낮다. 따라서 청소 및 소독은 덜 자주 수행될 수 있을 것이다.

우리가 위험에 우선순위를 지정하는 이유는 무엇일까? 필자가 앞에서 예를 들어 설명했듯이 우선순위를 정하는 것은 파악된 위험한 표면들의 청소와 소독의 횟수를 정하기 위해서다. 또한 우리가 위험 순위를 지정하는 것은 위험도가 높은 것을 먼저 제어할 위험 수준 결정 수 있기 때문이다. 위험 순위를 지정하면 최적의 프로세스를 결정하는데 많은 도움이 된다. 다음의 사항을 순서대로 이해해 보자.


이 단계에는 1~3단계가 마무리된 후 실질적인 현장에 적용되는 것과 모든 행정적 업무가 포함된다. 이때 기술적인 측면과 특히 올바른 개인 안전 보호구의 제공 등 다양한 접근방식이 있을 수 있다. 특히 다양한 도구와 시스템을 살펴볼 필요가 있는데 다음과 같은 사항들이 포함된다.

이 단계는 지속적으로 우리의 건물이 고객과 모든 사람들에게 안전하게 사용될 수 있다는 믿음을 주는 단계로 앞으로도 발생할 수 있는 세균과 바이러스의 공격으로부터 새롭게 준비된 청결과 소독시스템을 확립하는데 중요한 부분이다. 또한 이러한 사항들은 우리의 노력에 물질적인 영향을 미칠 수 있기 때문에 전염병이 존재하는 동안 더 새롭게 변경된 세부 사항에 대해 평가를 검토하는 것이 필수적이다. 중요한 것은 지속적인 시스템을 바탕으로 실질적으로 현장에 적용함으로써 우리의 노력의 결과를 모니터링해 원하는 결과를 제공했는지 확인하는 것이다. 다음 사항을 검토해 적용하면 좋은 결과가 있을 것이다.


0 개 댓글

답장을 남겨주세요