如何为风险影响分析确定资产的净价值

安全
本文介绍了确定企业信息和资产的价值的方法,解释了什么是曝光系数。并总结了为风险影响分析确定资产的净价值的方法。

问:在安全风险分析过程中,“资产估价(asset valuation)”与“影响分析(impact analysis)”之间的区别是什么?

答:“资产”是指对于一个企业具有某种价值、必须受到保护的任何一种资源、产品、工艺、系统,或者任何其他的东西。资产可以是物理/有形的物品,比如设备或者计算机,还可以是无形的东西,比如说信息或者知识产权等。

资产包含了各种重要的元素或者因素,从而具有某些“价值”,值得企业花费成本对其进行保护。当进行安全风险分析时,不管是进行定性分析(其结果是基于资产对于企业的具体价值而形成的主观价值),还是进行定量分析(其结果是基于资产成本而形成的价值),你都需要确定资产对于企业的净价值(net value)。这个评估过程具有多种形式,由Ronald L. Krutz和Russell Dean Vines撰写的《CISSP Prep Guide》一书,指出了用来确定资产价值的三个基本要素:

◆企业购买、许可、开发以及支持物理或者信息资产的最初成本和后续成本。

◆该资产对于企业生产运行、研发以及核心业务可行性的价值。

◆由外部市场确定的该资产价值以及知识产权(比如商业秘密、专利、版权等等)的评估价值。  Shon Harris在她的《CISSP All-In-One Certificate Exam Guide》一书中指出,除了上面列出的内容以外,确定信息和资产的价值时还需要考虑下面的一些内容:

◆对于竞争对手来说该资产的价值。

◆该资产丢失后的补偿成本。

◆该资产丢失带来的运行以及生产成本。

◆该资产泄漏带来的法律问题。  

这两份参考意见都表明:一项资产的价值不仅仅是单纯购买该资产的现金那么简单。

真正的安全风险分析过程应该包括以下几个阶段(这也是Shon Harris的观点):

a、确定信息和资产的价值。  

b、估计潜在的风险损失。  

c、进行一次威胁分析。  

d、推断每个风险可能带来的全部损失。  

e、选择补救措施来减少每个风险带来的损失。  

f、减少、确定或者接受风险。

采用了这种模型,我们来看文章开头那个问题, “影响分析”这个词的意思是怎样计算威胁对各种资产带来的金融影响。

因此,你基本上可以使用上面列出的经典风险影响分析方法,其中包括使用曝光系数(exposure factor)、年发生率以及单一损失预期计算等。

我们已经讨论了怎样确定资产的价值,现在我们来讨论下什么是曝光系数。

曝光系数是指为了确定威胁而导致的资产损失百分比。举个例子,如果一次飓风袭击了我的价值十亿美元的仓库并引起50%的破坏,那么曝光系数就是50%。

年发生率是指人们估计的具体某个威胁在一年内发生的可能性。继续上面的例子,让我们假设一年中20%的时间是飓风季节。那么,年发生率就是20%。

下一步是计算单一预期损失。在这里,单一预期损失等于曝光系数乘以资产价值。那么,对于仓库来说,单一预期损失为:10亿美元x 0.5 =5亿美元。

然后就是计算我公司每年的年预期损失(或者金融影响评估);年预期损失=单一预期损失x年发生率。那么在这种情况下:单一预期损失(5亿美元)x年利率(0.2)=1亿美元。这是一个庞大的数字,它可能不切合实际,只是我们举的例子而已。然而这个数值能够帮助安全职业人员确定预算,并在选择风险减轻措施以减少潜在的损失时进行成本—利润分析。

在这个例子中,当你决定要花钱进行风险减轻的时候,你可以考虑使用一亿美元(单一预期损失的价值),如果你花费超过了一亿美元,那么就是在浪费金钱。

总之,资产价值是整个风险影响分析过程的基础部分,有助于企业了解某个具体威胁可能给企业带来的金融影响。

【编辑推荐】

  1. 基于风险的审计方法:风险评估
  2. 基于风险的审计方法:模拟案例研究
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2023-04-23 14:40:22

智能运维物联网人工智能

2011-08-16 09:13:33

2014-04-11 11:18:23

2022-12-15 10:24:25

2021-07-05 14:04:52

数据中心规模网络

2021-06-09 10:25:37

人工智能AI自动化

2022-06-01 09:25:16

嵌套生命周期智能技术工业资产

2016-11-10 20:49:04

2018-01-20 16:34:45

数据数据分析数据采集

2023-01-03 14:39:03

5G电信企业

2021-08-31 11:22:27

数据泄露SaaS信息安全

2010-05-14 09:58:14

2022-09-13 14:52:09

云迁移数据资产数据中心

2022-07-19 15:13:13

加密货币安全数字资产

2016-10-13 16:02:04

2020-06-27 21:18:09

物联网人工智能技术

2021-09-09 10:16:28

智能家居互联网带宽宽带网络

2020-12-10 14:32:23

预测分析人工智能AI

2021-09-01 09:44:40

安全风险数字化转型网络安全

2022-07-14 10:00:21

数据价值
点赞
收藏

51CTO技术栈公众号