國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
信息安全除了要進行風險評估操作,還需對風險因素進行風險衡量,通過分析了解該風險因素是否關(guān)鍵。目前,對于風險衡量的方法有多種,包括層次分析法、Delphi技術(shù)法、風險暴露計算模型、沃爾評分法以及風險價值法等等。以下著重對常用的風險衡量方法進行描述。
(1)風險層次分析法:主要是對和決策相關(guān)的元素釆取層次分解的方法,是一種權(quán)重決策的分析法。通過分解層次再對其進行定量和定性分析的決策方法。該方法對處理復(fù)雜的決策問題十分有效,適合解決難以直接準確計算決策結(jié)果的問題。但是該方法過程的比較和結(jié)果的計算都比較粗糙,不使用于處理精度高的問題。
(2)Delphi技術(shù)法:該法主要是借鑒信息安全風險衡量專家的想法和意見,采用匿名的方式向研究信息安全風險的學者和專家征詢相關(guān)的意見,然后對這些意見通過匯總、處理、分析以及歸納,客觀的綜合這些經(jīng)驗來處理難以用技術(shù)方法進行定量分折的原因,并對其作出合理的評估計算。該法比較簡單,但是由于是借鑒多位專家學者的經(jīng)驗,具有一定的主觀意識,因此對結(jié)果估算的值有偏差。且該法需要花費很長時間、浪費人力物力。
(3)風險暴露計算模型:傳統(tǒng)的風險暴露計算模型如下圖所示。
風險類別 | 風險因素 | 得分 |
企業(yè)成長 | 績效壓力 | 1-5 |
企業(yè)擴展速度 | 1-5 | |
無經(jīng)驗的員工 | 1-5 | |
企業(yè)文化
| 因承擔創(chuàng)新風險所產(chǎn)生的報酬 | 1-5 |
高層主管對壞消息的抗拒 | 1-5 | |
企業(yè)內(nèi)部競爭程度 | 1-5 | |
企業(yè)信息管理 | 交易的復(fù)雜性與變化速度 | 1-5 |
績效衡量診斷的缺失 | 1-5 | |
企業(yè)決策權(quán)的分散積度 | 1-5 | |
合計:分 | ||
說明:9-20分 安全區(qū);21-34分 警告;35一45分 危險區(qū) | ||
該法的提出是針對企業(yè)內(nèi)部風險的問題設(shè)計出的評估機制。該風險暴露計算模型主要是將風險劃分成三類, 分別為企業(yè)成長、企業(yè)文化以及企業(yè)信息管理類別。其中,每個類別對應(yīng)三個五分的因素,將三個類別的風險因素衡量的分數(shù)進行總計,然后針對這些分數(shù)的情況對企業(yè)的風險進行分析衡量,得分越高表示風險越大。該方法在企業(yè)問題的綜合評價方面應(yīng)用廣泛,但是要求對風險的認識要深入且能掌握風險的影響范圍。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信