《表1 安全事件发生可能性示例图》
中小型企业风险评估环节中最难处理的是风险的计算模型,现行我国各大测评机构用的风险计算模型是根据国标GB/T20984信息安全风险评估规范而制定的,使用对表法或乘积法,采用风险值=R(安全事件的可能性,安全事件造成的影响)=R(L(T,V),F(Ia,Va))的公式,并将威胁可能性、脆弱性的严重程度、资产价值的分级划分为5级进行不同的赋值和计算。介于中小型企业在上文中提到的专业能力不足的实际情况,而风险偏好又是一个需要组织所有者达成共识的参数。在中小型企业的风险评估计算时,采用ISO31000的基础模型将整个赋值活动放在“安全事件的可能性”与“安全事件造成的损失上”,并简化赋值为“高”、“中”、“低”(如表1、表2)。
图表编号 | XD00164999700 严禁用于非法目的 |
---|---|
绘制时间 | 2020.03.25 |
作者 | 徐亮彧 |
绘制单位 | 上海练川信息安全技术事务所 |
更多格式 | 高清、无水印(增值服务) |