信息安全領(lǐng)域內(nèi)的風(fēng)險(xiǎn)損失價(jià)值估算-創(chuàng)新互聯(lián)

最近一直在跟很多IT的兄弟談信息安全的問(wèn)題，討論的內(nèi)容有很多，技術(shù)的、管理的、發(fā)展方向的，但有一件事大家都很明確：針對(duì)國(guó)內(nèi)的企業(yè)現(xiàn)狀，信息安全在各個(gè)企業(yè)中得到的重視程度都不夠。

創(chuàng)新互聯(lián)建站從2013年創(chuàng)立，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站制作、成都做網(wǎng)站網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元嘉黎做網(wǎng)站,已為上家服務(wù),為嘉黎各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18980820575

要加強(qiáng)信息安全，無(wú)論是管理手段，技術(shù)手段或者物理手段，僅靠IT人去推動(dòng)都會(huì)顯的十分困難，連CISSP指南里都說(shuō)過(guò)，信息安全一定要執(zhí)行層面的領(lǐng)導(dǎo)親自關(guān)注并帶頭推動(dòng)，才能有較好的效果。

那么如何勸說(shuō)領(lǐng)導(dǎo)對(duì)信息安全加大投入并關(guān)注，有兩種方法是最有效的，一種是合規(guī)性，如果信息安全不合規(guī)，會(huì)引申出一系列的問(wèn)題，在中國(guó)通常是主管部門(mén)的安全審計(jì)不合格，企業(yè)管理層會(huì)負(fù)上領(lǐng)導(dǎo)責(zé)任，這種情況下，推動(dòng)安全系統(tǒng)的投入比較好辦一點(diǎn)。還有就是經(jīng)歷過(guò)痛苦的，由于信息安全管理不善，造成了數(shù)據(jù)資產(chǎn)的損失，直接帶來(lái)經(jīng)濟(jì)上的損失或者無(wú)形資產(chǎn)上的損失，領(lǐng)導(dǎo)終于下了狠話要把安全抓上來(lái)，這個(gè)屬于亡羊補(bǔ)牢的。

在國(guó)際上有很多比較成熟的法規(guī)要求企業(yè)在經(jīng)營(yíng)活動(dòng)當(dāng)中，對(duì)信息安全和個(gè)人隱私提供必要的保護(hù)，如著名的HIPA法案，PCI DSS等。中國(guó)也有這方面的一些規(guī)范，但目前執(zhí)行力度不是很?chē)?yán)也沒(méi)有強(qiáng)制的要求，除了軍工、政府、機(jī)要等行政上有要求的，商業(yè)企業(yè)的信息安全管理普遍較弱，在這些企業(yè)里，要提高管理層對(duì)信息安全的認(rèn)識(shí)還有一種方法可以使用，就是把風(fēng)險(xiǎn)量化了，用金錢(qián)價(jià)值來(lái)衡量數(shù)據(jù)資產(chǎn)損壞或丟失帶來(lái)?yè)p失。當(dāng)領(lǐng)導(dǎo)對(duì)抽象的數(shù)據(jù)風(fēng)險(xiǎn)，IT風(fēng)險(xiǎn)不太容易理解的時(shí)候，這也不失為一個(gè)較好的方法。

將IT風(fēng)險(xiǎn)量化并不是一件很難的事，目前有較好的價(jià)值估算模型可以使用，難就難在量化的過(guò)程當(dāng)中，對(duì)事件發(fā)生概率的估計(jì)和事件造成損失的比率的定量性估算，這些關(guān)鍵點(diǎn)需要有實(shí)際工作經(jīng)驗(yàn)的老手進(jìn)行合理的評(píng)估并給出。

以下舉例說(shuō)明風(fēng)險(xiǎn)損失的價(jià)值估算

以某CRM系統(tǒng)為例，某公司的客戶信息，價(jià)格信息產(chǎn)品信息等，全部存于公司的CRM系統(tǒng)當(dāng)中，公司這些資訊的價(jià)值為100萬(wàn)元。

如果系統(tǒng)受到***，數(shù)據(jù)造成泄漏或損壞，那么信息損失為80萬(wàn)元，重建并恢復(fù)需10萬(wàn)元，那么單一可預(yù)見(jiàn)損失（Single Loss Expectancy）

SLE=80萬(wàn)+10萬(wàn)=90萬(wàn)元，也就是說(shuō)，一旦信息安全問(wèn)題發(fā)生在CRM上，可預(yù)見(jiàn)的損失額為90萬(wàn)元，針對(duì)總價(jià)值100萬(wàn)元，那么這一事件的風(fēng)險(xiǎn)因子就是90/100=0.9（Exposure Factor）

然而對(duì)系統(tǒng)的***并不是每時(shí)每刻都在發(fā)生，即便CRM系統(tǒng)目前處于弱保護(hù)狀態(tài)中，有經(jīng)驗(yàn)的IT管理人員評(píng)估大約每三年才會(huì)有一次較強(qiáng)***并造成上述的損失。那么該風(fēng)險(xiǎn)的年度發(fā)生率ARO（Annualized Rate of Occurrence）就是1/3,約為33.33%。

針對(duì)該風(fēng)險(xiǎn)，年度可預(yù)見(jiàn)損失ALE (Annual Loss Expectancy)=SLE*ARO=90萬(wàn)*33.33%，約為30萬(wàn)元。

好了，有了上述的基本概念，那么我們?nèi)绻弦惶装踩雷o(hù)系統(tǒng)，比如說(shuō)是應(yīng)用級(jí)的防火墻，設(shè)備設(shè)計(jì)壽命5年，共花費(fèi)采購(gòu)費(fèi)用20萬(wàn)和5年的維護(hù)費(fèi)用5萬(wàn)共計(jì)25萬(wàn)元，每年的花費(fèi)為25/5=5萬(wàn)元，每年花費(fèi)5萬(wàn)元，預(yù)期減少風(fēng)險(xiǎn)30萬(wàn)元，該防火墻對(duì)公司的價(jià)值貢獻(xiàn)為25萬(wàn)元。

以上僅是一簡(jiǎn)單的計(jì)算舉例，將風(fēng)險(xiǎn)概念量化并評(píng)估的計(jì)算過(guò)程，雖然簡(jiǎn)單但可以提供將抽象概念價(jià)值化的手段。在其它的風(fēng)險(xiǎn)評(píng)估模型中，也有定性的分析方法，比如將風(fēng)險(xiǎn)評(píng)估為紅色、黑色等級(jí)別，或者標(biāo)示為高危、一般等等分析的方法，比如著名的Delphi技術(shù)法。

參考資料《CISSP All in one exam guide》

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞名稱(chēng)：信息安全領(lǐng)域內(nèi)的風(fēng)險(xiǎn)損失價(jià)值估算-創(chuàng)新互聯(lián)
鏈接URL：http://m.kartarina.com/article4/cddjoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、ChatGPT、商城網(wǎng)站、面包屑導(dǎo)航、微信小程序、網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)