如何建立风险评估机制
2024-05-15
1. 如何建立风险评估机制
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 项目投资风险评估报告是分析确定风险的过程,在国际投资领域中,为减少投资人的投资失误和风险,每一次投资活动都必须建立一套科学的,适应自己的投资活动特征的理论和方法。项目投资风险评估报告是利用丰富的资料和数据,定性和定量相结合,对投资项目的风险进行全面的分析评价,采取相应的措施去减少、化解、规避风险的途径。 项目投资风险评估报告是在全面系统分析目标企业和项目的基础上,按照国际通行的投资风险评估方法,站在第三方角度客观公正地对企业、项目的投资风险进行分析。投资风险评估报告包含了投资决策所关心的全部内容,如企业详细介绍、项目详细介绍、产品和服务模式、市场分析、融资需求、运作计划、竞争分析、财务分析等内容,并在此基础上,以第三方角度,客观公正地对投资风险进行评估。 温馨提示:以上信息仅供参考,不代表任何投资建议。 应答时间:2021-09-08,最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多?快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html
2. 风险评估是什么?
银行风险评估是指,在银行中风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。
3. 为什么要加强风险评估
我国网络银行面临的风险与对策 论文 [摘 要] 文章从技术上、操作上、社会环境等方面阐述了网络银行的风险及其相应的防范措施。 [关键词] 网络银行;风险;防范 我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。 一、 我国网络银行面临的风险 1.系统风险 (1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。 (2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。 在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。 (3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。 (4)数据传输风险。数据传输过程中被窃取、修改等风险。 2.操作风险 网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点: (1)网络银行操作风险意识淡薄。 (2)组织机构职责不清。 (3)内控制度不健全或执行不力。 (4)没有适合的网络银行稽核审计部门。 3.信用风险 网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。 4.信息不对称风险 信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。 5.法律风险 我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。 二、 我国网络银行风险防范对策 1.系统风险的防范 (1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。 (2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。 (3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。 对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。 (4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。 加强应用系统开发过程的审计,应用系统运行过程中的实时审计。 (5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。 (6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。 2.操作风险的防范 操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。 建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。 来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。 3.信用风险的防范 建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。 4.信息不对称风险的防范 建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。 5.法律风险的防范 应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。 建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。 帮
4. 风险评估指的是什么?
我行个人投资风险承受能力评估是指根据客户本人填写的《招商银行个人投资风险承受能力评估表》(简称评估表,对客户的风险承受能力进行评估,以协助客户选择合适的金融产品。购买理财产品前必须进行风险承受能力评估。 客户的风险承受能力评级分五级,从低到高分别为A1(保守型)、A2(谨慎型)、A3(稳健型)、A4(进取型)、A5(激进型),与之对应的产品风险等级为R1(低风险产品)、R2(中低风险产品)、R3(中风险产品)、R4(中高风险产品)、R5(高风险产品)。 我行销售理财产品,应当遵行风险匹配原则,只能向客户销售风险评级等于或低于其风险承受能力评级的理财产品。 (应答时间:2022年4月30日,最新业务变动请以招行官网公布为准。)
5. 风险评估是指什么
我行个人投资风险承受能力评估是指根据客户本人填写的《招商银行个人投资风险承受能力评估表》(简称评估表,对客户的风险承受能力进行评估,以协助客户选择合适的金融产品。购买理财产品前必须进行风险承受能力评估。 客户的风险承受能力评级分五级,从低到高分别为A1(保守型)、A2(谨慎型)、A3(稳健型)、A4(进取型)、A5(激进型),与之对应的产品风险等级为R1(低风险产品)、R2(中低风险产品)、R3(中风险产品)、R4(中高风险产品)、R5(高风险产品)。 我行销售理财产品,应当遵行风险匹配原则,只能向客户销售风险评级等于或低于其风险承受能力评级的理财产品。 (应答时间:2022年4月30日,最新业务变动请以招行官网公布为准。)
6. 什么是风险评估?
我行个人投资风险承受能力评估是指根据客户本人填写的《招商银行个人投资风险承受能力评估表》(简称评估表,对客户的风险承受能力进行评估,以协助客户选择合适的金融产品。购买理财产品前必须进行风险承受能力评估。 客户的风险承受能力评级分五级,从低到高分别为A1(保守型)、A2(谨慎型)、A3(稳健型)、A4(进取型)、A5(激进型),与之对应的产品风险等级为R1(低风险产品)、R2(中低风险产品)、R3(中风险产品)、R4(中高风险产品)、R5(高风险产品)。 我行销售理财产品,应当遵行风险匹配原则,只能向客户销售风险评级等于或低于其风险承受能力评级的理财产品。 (应答时间:2022年4月30日,最新业务变动请以招行官网公布为准。)
7. 风险评估的作用是什么?
风险评估的主要任务包括: 1、识别评估对象面临的各种风险。 2、评估风险概率和可能带来的负面影响。 3、确定组织承受风险的能力。 4、确定风险消减和控制的优先等级。 5、推荐风险消减对策。 在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 扩展资料: 在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。 风险评估的主要任务包括: 1、识别评估对象面临的各种风险 2、评估风险概率和可能带来的负面影响 3、确定组织承受风险的能力 4、确定风险消减和控制的优先等级 5、推荐风险消减对策 参考资料:百度百科-风险评估
8. 什么是风险评估?
问题1:什么是风险评估? 问题2:风险评估是什么意思? 说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括: 识别组织面临的各种风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度? 解决以上问题的过程,就是风险评估的过程。 进行风险评估时,有几个对应关系必须考虑: 每项资产可能面临多种威胁 威胁源(威胁代理)可能不止一个 每种威胁可能利用一个或多个弱点 风险评估的三种可行途径 在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。 基线评估 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。 采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线: ·; 国际标准和国家标准,例如BS 7799-1、ISO 13335-4; ·; 行业标准或推荐,例如德国联邦安全局IT 基线保护手册; ·; 来自其他有类似商务目标和规模的组织的惯例。 当然,如果环境和商务目标较为典型,组织也可以自行建立基线。 基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。当然,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。 基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合,它可以在全组织范围内实行,如果有特殊需要,应该在此基础上,对特定系统进行更详细的评估。 详细评估 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。 详细评估的优点在于: ·; 组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织目前的安全水平和安全需求; ·; 详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。 组合评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于次实践当中,组织多是采用二者结合的组合评估方式。 为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。 这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。 风险评估的常用方法 在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。 基于知识的分析方法 在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。 基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。 基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括: ·; 会议讨论; ·; 对当前的信息安全策略和相关文档进行复查; ·; 制作问卷,进行调查; ·; 对相关人员进行访谈; ·; 进行实地考察。 为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种,Cobra 就是典型的一种。 基于模型的分析方法 2001 年1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面,通过CORAS 风险评估,组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。 与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操作的效率;等等。 定量分析 进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。 定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。 简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。 定量风险分析中有几个重要的概念: ·;暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百分比,或者说损失的程度。 ·;单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。 ·;年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内估计会发生的频率。 ·; 年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作EAC(EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。 考察定量分析的过程,从中就能看到这几个概念之间的关系: (1) 首先,识别资产并为资产赋值; (2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间); (3) 计算特定威胁发生的频率,即ARO; (4) 计算资产的SLE: SLE = Asset Value ×; EF (5) 计算资产的ALE: ALE = SLE ×; ARO 这里举个例子:假定某公司投资500,000 美元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5 年会发生一次火灾,于是我们得出了ARO 为0.20 的结果。基于以上数据,该公司网络运营中心的ALE 将是45,000 美元。 我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性(可以用ARO 表示),另一个就是威胁事件可能引起的损失(用EF 来表示)。 理论上讲,通过定量分析可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前的信息安全风险分析,采用定量分析或者纯定量分析方法的已经比较少了。 定性分析 定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。 定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。 与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观; 此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
最新文章
热门文章
推荐阅读