计算安全事件发生后造成的损失
2018-04-03 14:27:17 | 来源:中培企业IT培训网
2)计算安全事件发生后造成的损失
根据资产价值及脆弱性严重程度,计算安全事件一旦发生后造成的损失,即: 安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(la,Va)。
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性; 不同安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果,对发生可禽旨性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。
3)计算风险值
根据计算出的安全事件的可能性以及安全事件造成的损失,计算风险值,即:风险值=R(安全事件的可能性,安全事件造成的损失):R(L(T,V),F(Ia, Va))。
评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;
相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。
在实际的风险评估活动中,具体的风险计算方法,应该是对以上风险相关要素的某种具体运算,目前,常用的风险计算方法是矩阵法和相乘法。在实际应用中,可以将矩阵法和相乘法结合使用。
矩阵法:主要适用于由两个要素值确定一个要素值的情形。首先需要确定二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。
相乘法:主要用于两个或多个要素值确定一个要素值的情形。即z:f(x,y),函数f 的值z可以采用相乘法取得。