플래닝 포커 템플릿
보안 검토 우선순위 설정
위험도에 따라 보안 문제의 우선순위를 설정하여 인시던트로 발전하기 전에 대응하세요
planning poker를 risk deck와 함께 사용하여 팀원들이 보안 문제의 심각성을 공통으로 합의할 수 있어요. security engineers와 developers가 함께 투표하면 구현 세부 사항이 취약점에 어떻게 영향을 미치는지 드러나고, business representatives는 침해의 영향력을 평가할 수 있어요. 동시에 결과를 공개하면 고참 엔지니어들이 초기 평가로 그룹을 편향시키는 것을 방지할 수 있어요.
덱 유형
risk
기간
45분
Team 규모
3~8명
추정 집중점
악용 가능성과 비즈니스 영향
단계
- 01최근 감사나 침투 테스트에서 발견된 보안 문제 목록
- 02각 발견 사항 요약: 공격 벡터, 영향받은 데이터, 기존 제어 수단
- 03위험 수준 투표 — 낮음, 중간, 높음, 또는 심각
- 04가능성과 영향도를 논의하여 분할을 발견하고 해결하세요
- 05각 문제에 소유자와 수정 목표일을 지정하세요
- 06다음 약속을 잡아 수정 사항을 확인하세요
사용 시기
보안 심사, 침투 테스트, 또는 주요 아키텍처 변경 후에 실행하세요. 엔지니어링 팀과 보안 대표 모두와 함께 진행해야 합니다 — 한 팀이 단독으로 우선 순위를 정하게 두지 마세요.