问:在安全风险分析过程中,“资产估价(asset valuation)”与“影响分析(impact analysis)”之间的区别是什么?
答:“资产”是指对于一个企业具有某种价值、必须受到保护的任何一种资源、产品、工艺、系统,或者任何其他的东西。资产可以是物理/有形的物品,比如设备或者计算机,还可以是无形的东西,比如说信息或者知识产权等。
资产包含了各种重要的元素或者因素,从而具有某些“价值”,值得企业花费成本对其进行保护。当进行安全风险分析时,不管是进行定性分析(其结果是基于资产对于企业的具体价值而形成的主观价值),还是进行定量分析(其结果是基于资产成本而形成的价值),你都需要确定资产对于企业的净价值(net value)。这个评估过程具有多种形式,由Ronald L. Krutz和Russell Dean Vines撰写的《CISSP Prep Guide》一书,指出了用来确定资产价值的三个基本要素:
◆企业购买、许可、开发以及支持物理或者信息资产的最初成本和后续成本。
◆该资产对于企业生产运行、研发以及核心业务可行性的价值。
◆由外部市场确定的该资产价值以及知识产权(比如商业秘密、专利、版权等等)的评估价值。 Shon Harris在她的《CISSP All-In-One Certificate Exam Guide》一书中指出,除了上面列出的内容以外,确定信息和资产的价值时还需要考虑下面的一些内容:
◆对于竞争对手来说该资产的价值。
◆该资产丢失后的补偿成本。
◆该资产丢失带来的运行以及生产成本。
◆该资产泄漏带来的法律问题。
这两份参考意见都表明:一项资产的价值不仅仅是单纯购买该资产的现金那么简单。
真正的安全风险分析过程应该包括以下几个阶段(这也是Shon Harris的观点):
a、确定信息和资产的价值。
b、估计潜在的风险损失。
c、进行一次威胁分析。
d、推断每个风险可能带来的全部损失。
e、选择补救措施来减少每个风险带来的损失。
f、减少、确定或者接受风险。
采用了这种模型,我们来看文章开头那个问题, “影响分析”这个词的意思是怎样计算威胁对各种资产带来的金融影响。
因此,你基本上可以使用上面列出的经典风险影响分析方法,其中包括使用曝光系数(exposure factor)、年发生率以及单一损失预期计算等。
我们已经讨论了怎样确定资产的价值,现在我们来讨论下什么是曝光系数。
曝光系数是指为了确定威胁而导致的资产损失百分比。举个例子,如果一次飓风袭击了我的价值十亿美元的仓库并引起50%的破坏,那么曝光系数就是50%。
年发生率是指人们估计的具体某个威胁在一年内发生的可能性。继续上面的例子,让我们假设一年中20%的时间是飓风季节。那么,年发生率就是20%。
下一步是计算单一预期损失。在这里,单一预期损失等于曝光系数乘以资产价值。那么,对于仓库来说,单一预期损失为:10亿美元x 0.5 =5亿美元。
然后就是计算我公司每年的年预期损失(或者金融影响评估);年预期损失=单一预期损失x年发生率。那么在这种情况下:单一预期损失(5亿美元)x年利率(0.2)=1亿美元。这是一个庞大的数字,它可能不切合实际,只是我们举的例子而已。然而这个数值能够帮助安全职业人员确定预算,并在选择风险减轻措施以减少潜在的损失时进行成本—利润分析。
在这个例子中,当你决定要花钱进行风险减轻的时候,你可以考虑使用一亿美元(单一预期损失的价值),如果你花费超过了一亿美元,那么就是在浪费金钱。
总之,资产价值是整个风险影响分析过程的基础部分,有助于企业了解某个具体威胁可能给企业带来的金融影响。
【编辑推荐】