簡易風險評估標準-pi矩陣

《簡易風險評估標準-pi矩陣》由會員上傳分享，免費在線閱讀，更多相關內(nèi)容在行業(yè)資料-天天文庫。

1、簡易風險評估標準-PI矩陣鑒于風險評估存在各種不同的標準，并沒有統(tǒng)一的標準，有的標準用乘法，有的標準用加法，其公式均比較復雜，實踐中難以操作，但各種風險評估所采用的理論依據(jù)則是相通的，參見下圖：??圖風險評估依據(jù)在各種標準中，威脅（病毒、木馬、蠕蟲、天災、人禍等）出現(xiàn)的頻率、脆弱性（漏洞、弱點等）的嚴重程度，并不能準確的量化，很大程度上來自評估人的經(jīng)驗和主觀感受，據(jù)此得出的可能性（即概率P）和損失（即影響I）同樣存在準確度不高的問題。在實際評估中，安全事件發(fā)生的可能性也是可以直接根據(jù)經(jīng)驗和主觀感受得出的，所以本文刪繁就簡，直接基于概率（Probability）-影響（Impact）（簡稱PI

2、矩陣），提出一種簡易的風險評估定級模型。為簡化計算，只考慮單一風險的情況，如果涉及到定級，則統(tǒng)一劃分為三級以便分析。復合風險（含串行風險、并行風險以及它們的組合）可以在單一風險評估之后再行評估。公式：風險（R）=概率（P）×影響（I），其中概念（P）取值范圍為0～1，影響（I）按照資產(chǎn)價值取值，取值范圍為0～資產(chǎn)價值。則風險（R）的取值范圍為0～資產(chǎn)價值。這里我們假設某組織的全部資產(chǎn)價值為1000萬，最大的風險是損失全部資產(chǎn)，如果采取平均分級（三級）的辦法，那么最小一級的上限也有333萬，這仍是一個比較大的數(shù)字，明顯不符合人們對低損失的心理預期；如果按照指數(shù)級數(shù)進行分級，分別用10萬以內(nèi)代表

3、低損失，10～100萬代表中等損失，100～1000萬代表高損失，更接近人們的心理感覺。用公式表達，風險評估定量評估標準為：低風險：PI<10萬中風險：10萬

4、定級的話，將上圖分為3×3=9塊，每一塊用其中所占面積最大的顏色代表，則風險評估定性評估標準為：圖定性風險評估定級標準???風險評估定級方法已定，剩下的問題就是如何確定風險的兩個要素（P和I）了。我們對風險評估依據(jù)進行進一步的簡化：???關于威脅出現(xiàn)的頻率，對安全事件今后發(fā)生的可能性影響較小，而漏洞的嚴重程度則對發(fā)生概率產(chǎn)生直接的影響；安全事件一旦發(fā)生，損失的就是受影響的資產(chǎn)其價值，此時漏洞的嚴重程度已經(jīng)不重要了。因此，簡化如下：?圖簡化的風險評估依據(jù)???概率（P）和影響（I）都已確定，對于定性分析風險等級，則只需要查表即可（見上圖定性風險評估定級標準）。