CISP学习笔记2:风险管理1

时间:2022-12-02 11:58:18


CISP学习笔记2:风险管理1

 

CISP学习笔记2:风险管理1


最常用的公式是单一损失期望(single loss expectancy,SLE) 和年度损失期


望(annual loss expectancy,ALE)。


SLE是为某个事件赋予的货币价值,表示特定威胁发生时公司潜在损失的金额:


资产价值*暴露因子=SLE


暴露因子(Exposure Factor,EF)表示某种特殊资产被已发生的风险损坏所造


成损失的百分比。例如,如果某个数据仓库的资产价值为150000美元,发生火


灾后,该数据仓库大约有25% 的价值遭到破坏,那么SLE 就是37500 美元。


资产价值(150000)* 暴露因子(25%)=37500


这个结果告诉我们,如果该公司发生火灾,可能损失37500 美元。但由于按年


度制定和使用安全预算,所以需要知道年发生比率是多少。这是需要用到ALD


公式,即:


SLE*年发生比率=ALE


年发生比率(ARO)表示一年时间内发生特定威胁的预计频率。该值的范围可


以是从0.0 (不发生)到1.0 (一年一次)乃至大于1 的数字(一年若干次)之


间的任何值。例如,如果数据库发生火灾并造成损坏的概率是十年一次,那么


ARO值是0.1。


因此,如果公司的数据仓库设施发生火灾可能造成37500 美元的损失,发生火


灾的频率即ARO值为0.1 (表示10 年发生一次),那么ALE 值就是3750 美元


(37500 * 0.1 = 3750)


 


 


 


风险转移: 如果公司觉得总风险或剩余风险太大,无法承担,那么可以购买保



险,也就是将风险转移给保险公司。



风险规避: 如果公司决定终止引入风险的活动,那么这种行为称为风险规避。



例如,如果某公司允许员工使用即时通信(IM)工具,那么可能带来与这种技



术相关的许多风险。因为没有足够多的业务需求要求继续使用即时通信服务,



所以该公司可能会决定不允许用户进行任何IM活动。停止IM服务就是风险规避



的示例。



风险缓解: 就是风险被降低至可接受的级别,从而可以继续开展业务。安装防



火墙、进行培训以及部署入侵/检测保护系统,这些都是典型的风险缓解方式。



接受风险: 这意味着公司理解自己所面临的风险级别以及风险带来的潜在损失,



并且决定在不采取任何对策的情况下接受风险。在成本/收益率表明采取对策的



成本超出潜在的损失价值时,许多公司都会接受风险。



剩余风险与总风险不同,总风险指的是公司在不实现任何防护措施的情况下所



面临的风险。如果成本/收益分析的结果表明最好不采取任何动作,那么组织就



可能选择接受总风险。例如,如果某公司的Web 服务器发生问题的可能性很小,



而提供更高级别的保护所需的成本将会超过该风险造成的潜在损失,那么该公



司就会选择不实现防护措施,从而承担了总风险。