如何为风险影响分析确定资产的净价值

日期: 2010-08-29 作者:Ernest Hayden翻译:Sean 来源:TechTarget中国 英文

问:在安全风险分析过程中,“资产估价(asset valuation)”与“影响分析(impact analysis)”之间的区别是什么?   答:“资产”是指对于一个企业具有某种价值、必须受到保护的任何一种资源、产品、工艺、系统,或者任何其他的东西。资产可以是物理/有形的物品,比如设备或者计算机,还可以是无形的东西,比如说信息或者知识产权等。   资产包含了各种重要的元素或者因素,从而具有某些“价值”,值得企业花费成本对其进行保护。当进行安全风险分析时,不管是进行定性分析(其结果是基于资产对于企业的具体价值而形成的主观价值),还是进行定量分析(其结果是基于资产成本而形成的价值),你都需要确定……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:在安全风险分析过程中,“资产估价(asset valuation)”与“影响分析(impact analysis)”之间的区别是什么?

  :“资产”是指对于一个企业具有某种价值、必须受到保护的任何一种资源、产品、工艺、系统,或者任何其他的东西。资产可以是物理/有形的物品,比如设备或者计算机,还可以是无形的东西,比如说信息或者知识产权等。

  资产包含了各种重要的元素或者因素,从而具有某些“价值”,值得企业花费成本对其进行保护。当进行安全风险分析时,不管是进行定性分析(其结果是基于资产对于企业的具体价值而形成的主观价值),还是进行定量分析(其结果是基于资产成本而形成的价值),你都需要确定资产对于企业的净价值(net value)。这个评估过程具有多种形式,由Ronald L. Krutz和Russell Dean Vines撰写的《CISSP Prep Guide》一书,指出了用来确定资产价值的三个基本要素:

  • 企业购买、许可、开发以及支持物理或者信息资产的最初成本和后续成本。
  • 该资产对于企业生产运行、研发以及核心业务可行性的价值。
  • 由外部市场确定的该资产价值以及知识产权(比如商业秘密、专利、版权等等)的评估价值。

  Shon Harris在她的《CISSP All-In-One Certificate Exam Guide》一书中指出,除了上面列出的内容以外,确定信息和资产的价值时还需要考虑下面的一些内容:

  • 对于竞争对手来说该资产的价值。
  • 该资产丢失后的补偿成本。
  • 该资产丢失带来的运行以及生产成本。
  • 该资产泄漏带来的法律问题。

  这两份参考意见都表明:一项资产的价值不仅仅是单纯购买该资产的现金那么简单。

  真正的安全风险分析过程应该包括以下几个阶段(这也是Shon Harris的观点):

  a、确定信息和资产的价值。
  b、估计潜在的风险损失。
  c、进行一次威胁分析。
  d、推断每个风险可能带来的全部损失。
  e、选择补救措施来减少每个风险带来的损失。
  f、减少、确定或者接受风险。

  采用了这种模型,我们来看文章开头那个问题, “影响分析”这个词的意思是怎样计算威胁对各种资产带来的金融影响。

  因此,你基本上可以使用上面列出的经典风险影响分析方法,其中包括使用曝光系数(exposure factor)、年发生率以及单一损失预期计算等。

  我们已经讨论了怎样确定资产的价值,现在我们来讨论下什么是曝光系数。

  曝光系数是指为了确定威胁而导致的资产损失百分比。举个例子,如果一次飓风袭击了我的价值十亿美元的仓库并引起50%的破坏,那么曝光系数就是50%。

  年发生率是指人们估计的具体某个威胁在一年内发生的可能性。继续上面的例子,让我们假设一年中20%的时间是飓风季节。那么,年发生率就是20%。

  下一步是计算单一预期损失。在这里,单一预期损失等于曝光系数乘以资产价值。那么,对于仓库来说,单一预期损失为:10亿美元x 0.5 =5亿美元。

  然后就是计算我公司每年的年预期损失(或者金融影响评估);年预期损失=单一预期损失x年发生率。那么在这种情况下:单一预期损失(5亿美元)x年利率(0.2)=1亿美元。这是一个庞大的数字,它可能不切合实际,只是我们举的例子而已。然而这个数值能够帮助安全职业人员确定预算,并在选择风险减轻措施以减少潜在的损失时进行成本—利润分析。

  在这个例子中,当你决定要花钱进行风险减轻的时候,你可以考虑使用一亿美元(单一预期损失的价值),如果你花费超过了一亿美元,那么就是在浪费金钱。

  总之,资产价值是整个风险影响分析过程的基础部分,有助于企业了解某个具体威胁可能给企业带来的金融影响。