关于风险评估
作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。主要任务包括:
识别构成风险的各种因素
评估风险发生的可能性和造成的影响,并最终评估风险水平或大小
确定组织承受风险的能力
确定风险消减和控制的策略、目标和优先顺序
推荐风险消减对策以供实施
风险分析方式
1、定量风险评估:试图从数字上对安全风险及其构成因素进行分析评估的一种方法。
2、定性风险评估:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理者要素的大小或高低程度定性分级。
定量和定性的区别
1、定量分析:使用风险计算来预测经济损失的程序以及每种威胁发生的可能性。
2、定性分析:并不使用计算,而是更多地以观点和场景为基础,使用评级的方式来评定风险的关键性级别。
定量分析概念
1、暴露因子(Exposure Factor,EF):特定威胁对特定资产造成损失的百分比,或者说损失的程度。
2、单一损失期望(Single Loss Expectancy,SLE):或者称为SOC(Single Occurrence Costs),即特定威胁单次发生可能造成的潜在损失量。
3、年度发生率(Annualized Rate of Occurrence,ARO):即威胁在一年内评估会发生的次数。
4、年度损失期望(Annualized Loss Expectancy,ALE):或者称作EAC(Estimated Annual Cost),表示特定资产在一年内遭受损失的预期值。
定量分析过程
1、识别资产并为资产赋值。
2、评估威胁和弱点,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间)。
3、计算特定威胁发生的次数(频率),即ARO。
计算资产的SLE:SLE=Asset Value * EF(单一损失期望=净资产值*暴露因子)
计算资产的ALE:ALE=SLE*ARO (年度期望值=单一损失期望*年度发生率)
定量分析过程实例
1、某个数据仓库资产值为15万美金,发生火灾后,该数据仓库大约有25%的价值遭到破坏,那么SLE就是37500美元{资产值(15万)*暴露因子(25%)=37500}
2、如果数据仓库火灾可能造成37500美元损失,发生火灾的频率ARO为0.1(表示10年发生一次),那么ALE值就是3750美元(37500*0.1=3750)
如何处理风险
一般公司知道自己的公司有风险,处理风险的基本方式有下列四种:转移,规避,缓解,接受。
关于风险性评估
1、定性分析方法目前采用最为广泛。它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准的惯例,为风险管理诸要素的大小或高低程度定性分级,例如“高”“中”“低”三级。
2、定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。
3、定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差,使分析结果失准。
4、与定量分析相比,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。
