【摘要】:在该方法中,风险的大小由威胁产生的可能性、威胁对资产的影响程度以及已采用的控制措施三个方面来确定,即对控制措施的采用做了单独考虑。在考虑这些影响时,是在假定不存在控制措施情况下的影响,并将上述各值相加后填入表中。最后分析是否采用了能够减小威胁的控制措施,包括从内部建立的和从外部保障的控制措施,并确定其有效性、对其进行赋值。在此基础上根据公式求出总值,即为风险值。
4.5.4 风险综合评价
在该方法中,风险的大小由威胁产生的可能性、威胁对资产的影响程度以及已采用的控制措施三个方面来确定,即对控制措施的采用做了单独考虑。
在该方法中,做好对威胁类型的识别是很重要的。通常首先需要建立一个威胁列表。该方法从资产识别开始,接着识别威胁以及威胁产生的可能性,然后对威胁造成的影响进行分析。
此处对威胁的影响进行了分类考虑,例如,对人员的影响、对财产的影响、对业务的影响等。在考虑这些影响时,是在假定不存在控制措施情况下的影响,并将上述各值相加后填入表中。例如,可以将威胁的可能性分为5级:1~5,威胁的影响也分为5级:1~5。在威胁的可能性和威胁的影响确定后,即可计算总的影响值,表4-18中采用了简单加法。在具体评估中,可以由用户根据具体情况来确定计算方法。
最后分析是否采用了能够减小威胁的控制措施,包括从内部建立的和从外部保障的控制措施,并确定其有效性、对其进行赋值。例如,在表4-18中,将控制措施的有效性从小到大分为了5个等级:1~5。在此基础上根据公式求出总值,即为风险值。
表4-18 风险评估表
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
