《表1 安全事件发生可能性示例图》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《浅谈中小型企业信息安全风险管理实践方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

中小型企业风险评估环节中最难处理的是风险的计算模型，现行我国各大测评机构用的风险计算模型是根据国标GB/T20984信息安全风险评估规范而制定的，使用对表法或乘积法，采用风险值=R（安全事件的可能性，安全事件造成的影响）=R（L(T，V），F（Ia，Va）)的公式，并将威胁可能性、脆弱性的严重程度、资产价值的分级划分为5级进行不同的赋值和计算。介于中小型企业在上文中提到的专业能力不足的实际情况，而风险偏好又是一个需要组织所有者达成共识的参数。在中小型企业的风险评估计算时，采用ISO31000的基础模型将整个赋值活动放在“安全事件的可能性”与“安全事件造成的损失上”，并简化赋值为“高”、“中”、“低”（如表1、表2）。