还剩4页未读,继续阅读
文本内容:
风险评估方法在风险评估的识别、分析和评价过程中,需要采用适当且有效的评估方法和评估工具定性评估方法和定量评估方法,专家系统和过程式算法,基本评估方法、特别评估方法、具体评估方法和综合评估方法等风险识别方法识别风险的途径包括核对表基于阅历和纪录的推断、流程图、集体争论、系统分析、状况分析和系统工程方法所使用的方法将取决于所评审的活动的性质和风险的类型风险分析方法风险分析依据对各要素的指标量化以及计算方法不同分为定性分析、半定量分析和定量分析的风险分析方法,或者是这些分析的组合定性分析方法定性分析方法是被广泛使用的一种风险分析方法,也是消失在大部分标准中的一种方法它对风险产生的可能性和风险产生的后果基于低/中扃”这种表达方式,而不是精确的可能性和损失量)该方法通常只关注威逼大事所带来的损失(Loss,而忽视大事发生的概率(Probability1多数定性风险分析方法依据组织面临的威逼、脆弱点以及掌握措施等元素来打算平安风险等级在定性评估时并不使用具体的数据,而是指定期望值,如设定每种风险的影响值和概率值为高、中、低有时单纯使用期望值,并不能明显区分风险值之间的差别可以考虑为定性数据指定数值例如,设高的值为3,中的值为2,低的值为1但是要留0意的是,这里考虑的只是风险的相对等级,并不能说明该风险究竟有多大所以,不要给予相对等级太多的意义,否则将会导致错误的决策定性分析常用于初始的筛选活动,以鉴定出需要更具体分析的风险;风险的程度不能证明要进行更充分的分析所需的时间和努力是合算的场合;数据不足以进行定量分析的场合半定量分析在半定量分析中,上述的那些定性数值范围均为已知值每项说明所指定的数字并不肯定与后果或可能性的实际大小程度具有精确的关系假如用来进行优先化系统与选择用来对数字赋值和组合的系统是相匹配的,则可将这些数字采纳一系列公式中的任何一个公式加以组合目的是为了得到比通常在定性分析中所得到的更为具体的优先化,但并非要提出任何在定量分析中所试图的到的风险的实际值使用半定量分析时必需当心,由于所选择的数字未必能正确地反映会导致不全都结果的相关性半定量分析可能不能恰当地区分各种风险,尤其是当结果或可能性处于极端状态时有时,将可能性考虑成是由两个要素组成的较为恰当,通常称为暴露频率和概率暴露频率是风险来源存在的程度,,而概率是随着该风险源的存在而产生的后果的机会在这两个要素之间的关系并非完全独立的状况下,即暴露频率与概率之间的关系亲密时,就必需谨慎定量分析定量风险分析方法关注的是资产的价值和威逼的量化数据定量分析方法采用两个基本的元素威逼大事发生的概率和可能造成的损失把这两个元素简洁相乘的结果称为ALE AnnualLoss Expectancy或EAC EstimatedAnnual Cost
[2]o理论上可以依据ALE计算威逼大事的风险等级,并且做出相应的决策文献⑴提出了一种定量风险评估方法该方法首先评估特定资产的价值V,把信息系统分解成各个组件可能更加有利于整个系统的定价,一般按功能单元进行分解;然后依据客观数据计算威逼的频率P;最终计算威逼影响系数p,由于对于每一个风险,并不是全部的资产所患病的危害程度都是一样的,程度的范围可能从无危害到彻底危害即完全破坏依据上述三个参数,计算ALE:ALE=Vx Px|j但是这种方法存在一个问题,就是数据的不行靠和不精确对于某些类型的平安威逼,存在可用的信息例如,可以依据频率数据估量人们所处区域的自然灾难发生的可能性如洪水和地震1也可以用大事发生的频率估量一些系统问题的概率,例如系统崩溃和感染病毒但是,对于一些其他类型的威逼来说,不存在频率数据,影响和概率很难是精确的此外,掌握和对策措施可以减小威逼大事发生的可能性,而这些威逼大事之间又是相互关联的这将使定量评估过程特别耗时和困难鉴于以上难点,可以转用客观概率和主观概率相结合的方法应用于没有直接依据的情形,[]可能只能考虑一些间接信息、有依据的猜想、直觉或者其他主观因素,称为主观概率3应用主观概率估量由人为攻击产生的威逼需要考虑一些附加的威逼属性,如动机、手段和机会等因此,真正使用此类方法来评估是很有难度的实践中常用方法在风险管理的前期预备阶段,组织已经依据平安目标确定了自己的平安战略,其中就包括对风险评估战略的考虑所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应当连续的操作过程和方式风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务影响风险评估进展的某些因素,包括评估时间、力度、绽开幅度和深度,都应与组织的环境和平安要求相符合组织应当针对不同的状况来选择恰当的风险评估方法目前,实际工作中常常使用的风险评估方法包括基线评估、具体评估和组合评估三种基线评估假如组织的商业运作不是很简单,并且组织对信息处理和网络的依靠程度不是很高,或者组织信息系统多采纳普遍且标准化的模式,基线风险评估Baseline RiskAssessment就可以直接而简洁地实现基本的平安水平,并且满意组织及其商业环境的全部要求采纳基线风险评估,组织依据自己的实际状况所在行业、业务环境与性质等,对信息系统进行平安基线检查(拿现有的平安措施与平安基线规定的措施进行比较,找出其中的差距),得出基本的平安需求,通过选择并实施标准的平安措施来消减和掌握风险所谓的平安基线,是在诸多标准法律规范中规定的一组平安掌握措施或者惯例,这些措施和惯例适用于特定环境下的全部系统,可以满意基本的平安需求,能使系统达到肯定的平安防护水平组织可以依据以下资源来选择平安基线国际标准和我国标准,例如BS7799-
1、ISO13335-4;行业标准或推举,例如德国联邦平安局IT基线爱护手册;来自其他有类似商务目标和规模的组织的惯例当然,假如环境和商务目标较为典型,组织也可以自行建立基线基线评估的优点是需要的资源少,周期短,操作简洁,对于环境相像且平安需求相当的诸多组织,基线评估明显是最经济有效的风险评估途径当然,基线评估也有其难以避开的缺点,比如基线水平的凹凸难以设定,假如过高,可能导致资源铺张和限制过度,假如过低,可能难以达到充分的平安,此外,在管理平安相关的变化方面,基线评估比较困难基线评估的目标是建立一套满意信息平安基本目标的最小的对策集合,它可以在全组织范围内实行,假如有特别需要,应当在此基础上,对特定系统进行更具体的评估具体评估具体风险评估要求对资产进行具体识别和评价,对可能引起风险的威逼和弱点水平进行评估,依据风险评估的结果来识别和选择平安措施这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采纳的平安掌握措施是恰当的具体评估的优点在于组织可以通过具体的风险评估而对信息平安风险有一个精确的熟悉,并且精确定义出组织目前的平安水平和平安需求;具体评估的结果可用来管理平安变化当然,具体的风险评估可能是特别耗费资源的过程,包括时间、精力和技术,因此,组织应当认真设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界组合评估基线风险评估耗费资源少、周期短、操作简洁,但不够精确,适合一般环境的评估;具体风险评估精确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估基于此,实践当中,组织多是采纳二者结合的组合评估方式为了打算选择哪种风险评估途径,组织首先对全部的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应当划入具体风险评估的范围,而其他系统则可以通过基线风险评估直接选择平安措施这种评估途径将基线和具体风险评估的优势结合起来,既节约了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注当然,组合评估也有缺点假如初步的高级风险评估不够精确,某些原来需要具体评估的系统或许会被忽视,最终导致结果失准。