信息安全风险衡量方法

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2018-04-18 15:25:08

信息安全除了要进行风险评估操作，还需对风险因素进行风险衡量，通过分析了解该风险因素是否关键。目前，对于风险衡量的方法有多种，包括层次分析法、Delphi技术法、风险暴露计算模型、沃尔评分法以及风险价值法等等。以下着重对常用的风险衡量方法进行描述。

(1)风险层次分析法：主要是对和决策相关的元素釆取层次分解的方法，是一种权重决策的分析法。通过分解层次再对其进行定量和定性分析的决策方法。该方法对处理复杂的决策问题十分有效，适合解决难以直接准确计算决策结果的问题。但是该方法过程的比较和结果的计算都比较粗糙，不使用于处理精度高的问题。

(2)Delphi技术法：该法主要是借鉴信息安全风险衡量专家的想法和意见，采用匿名的方式向研究信息安全风险的学者和专家征询相关的意见，然后对这些意见通过汇总、处理、分析以及归纳，客观的综合这些经验来处理难以用技术方法进行定量分折的原因，并对其作出合理的评估计算。该法比较简单，但是由于是借鉴多位专家学者的经验，具有一定的主观意识，因此对结果估算的值有偏差。且该法需要花费很长时间、浪费人力物力。

(3)风险暴露计算模型：传统的风险暴露计算模型如下图所示。

风险类别	风险因素	得分
企业成长	绩效压力	1-5
	企业扩展速度	1-5
	无经验的员工	1-5
企业文化	因承担创新风险所产生的报酬	1-5
	高层主管对坏消息的抗拒	1-5
	企业内部竞争程度	1-5
企业信息管理	交易的复杂性与变化速度	1-5
	绩效衡量诊断的缺失	1-5
	企业决策权的分散积度	1-5
合计：分
说明：9-20分安全区；21-34分警告；35一45分危险区

该法的提出是针对企业内部风险的问题设计出的评估机制。该风险暴露计算模型主要是将风险划分成三类，分别为企业成长、企业文化以及企业信息管理类别。其中，每个类别对应三个五分的因素，将三个类别的风险因素衡量的分数进行总计，然后针对这些分数的情况对企业的风险进行分析衡量，得分越高表示风险越大。该方法在企业问题的综合评价方面应用广泛，但是要求对风险的认识要深入且能掌握风险的影响范围。

返回上一级