信息安全风险度量和计算

基于积分卡的风险计算模型林明峰1风险计分卡从四个维度逻辑关系表明了风险评价的过程企业风险（ERM）企业角度目标衡量指标目标值“为使股东满意，我们应该达到什么样的风险管理目标?”战略风险1战略风险2战略风险3安全管理风险(Compliance)合规角度目标衡量指标目标值“为达到我们的日常管理要求，我们是否完成所有日常安全工作?”日常管理安全运行风险（incident

Management

)运维角度目标衡量指标目标值行动方案“有哪些安全事件，影响到我们的安全运行结果?”安全事件发生率解决速度严重程度技术与配置分析(漏洞,配置)技术角度目标衡量指标目标值Initiatives“现有漏洞和安全配置是否都修复了?”漏洞1漏洞2漏洞3公司风险的整体目标驱动成果2风险计分卡确保了组织战略的层层传递Top-downDesign自上而下的规划SBU风险计分卡部门与业务系统风险计分卡公司总部风险计分卡Bottom-upexecution自下而上的执行设备风险计分卡横向协同横向协同横向协同3风险管理组织结构（Secure

CMDB）业务条线IT运维条线安全事件系统漏洞企业风险管理风险4风险管理风险值计算结构152漏洞事故运作企业1521521521525555企业管理风险（ERM）6一、风险评估的三个基本概念（一）固有风险和剩余风险固有风险：管理当局未采取任何措施的情况下所面临的风险。剩余风险：管理当局采取应对措施后所残余的风险。（二）可能性和影响风险评估主要对风险进行两方面的分析：可能性和影响可能性：风险可能发生的程度或发生的概率影响：风险发生后对企业造成的损失或带来的负面影响。（三）计量尺度顺序计量、间隔计量、比例计量（四）注册风险库注册可能出现的风险项目和类型2、定性分析法直接用文字描述风险发生的可能性以及风险对目标的影响程度，有较强的主观性。步骤：（1）确定潜在事项发生的可能性（2）确定风险影响等级，确定风险等级（3）根据（1）、（2）编制风险矩阵企业管理风险采用的方式公司对风险发生可能性和对目标的影响程度定性评估及其相互对应关系表风险发生的可能性文字描述1极不可能不太可能可能较大可能极有可能文字描述2一般情况下不会发生极少情况下才会发生某些情况下发生较多情况下发生常常发生文字描述3今后10年内发生的可能少于1次今后5-10年内可能发生1次今后2-5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次对目标的影响程度文字描述1极轻微的轻微的中等的重大的灾难性的文字描述2极低低中等高极高文字描述3安全运营基本不受影响轻度影响中度影响严重影响重大影响财务损失较低轻微的中等重大的极大企业声誉负面消息在企业内部流传，企业声誉未受损负面消息在当地局部流传，对企业声誉造成轻微危害负面消息在某区域流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉在成重大损害负面消息流传至世界各地，政府或监管机构进行调查，引起公众广泛关注，对企业声誉造成无法弥补的损害某公司风险定性评价结果表风险事项编号①②③④⑤⑥⑦⑧⑨风险发生的可能性低高中等低中等极高低高极低对目标的影响极低低中等中等低高极高极高高对风险发生可能性的高低和风险对目标的影响程度进行定性评价后，依据评价结果绘制风险坐标图。例如某公司对9项风险事项进行了定性评价，评价结果和风险坐标图如下所示：某公司风险坐标图11说明(以固有风险绘制):1–

人力资源风险2–

财务风险3–

竞争风险4–

产品开发风险5–

客户信用风险6–

系统故障风险7–

外汇风险8–

欺诈风险9–

政治风险10–

投资风险11–

采购风险影响程度极低低中等高极高极高高中等低极低1810734621159可能性风险发生可能性的高低、风险发生后对目标的影响程度作为两个维度绘制在一个平面上（即绘制成直角坐标系）。12极高高中等低极低极低低中等高极高

影响程度

可能性285B区域C区域A区域B区域承担A区域中的各项风险且不再增加控制措施严格控制B区域中的各项风险且专门补充制定各项控制措施确保规避和转移C区域中的各项风险且优先安排实施各项防范措施341769风险坐标图中各项控制措施风险坐标图法风险坐标图法是在统计分析和经验判断的基础上把风险发生的可能性的高低、风险发生后对目标影响程度的大小作为两个维度绘制在同一直角坐标系内。1、风险发生可能性及对目标影响的定性分析2、针对一个单一资产的风险值计算过程：

所有C区的高风险值累加后的平均值：例如：风险