1、風(fēng)險評價. 1 認識風(fēng)險 2 風(fēng)險管理體系 3 風(fēng)險評價方法 4 風(fēng)險評價的實施過程 課程內(nèi)容.1 認識風(fēng)險 1.1 參考資料 1.2 風(fēng)險評價的需求 1.3 風(fēng)險的定義 1.4 風(fēng)險的要素 課程內(nèi)容.2 風(fēng)險管理體系課程內(nèi)容 2.1 風(fēng)險管理的概念 2.2 風(fēng)險管理體系引見 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68 .3 風(fēng)險評價的方法課程內(nèi)容 3.1 風(fēng)險評價方法概述 3.2 定量的風(fēng)險評價 3.3 定性的風(fēng)險評價 3.4 基于要素的風(fēng)險評價 3.5 定性風(fēng)險評價與定量評價的比較 .4 OCTAVE風(fēng)險評價的實施過程課程內(nèi)

2、容.課程練習(xí)練習(xí)1 識別風(fēng)險練習(xí)2 定性的風(fēng)險評價練習(xí)3 基于要素的風(fēng)險評價.練習(xí)一 識別風(fēng)險請列舉五個信息平安的風(fēng)險的例子，并按下面的要求進展描畫。要求：按照資產(chǎn)資產(chǎn)所面臨的要挾能夠被要挾利用的脆弱點的順序來描畫每一個風(fēng)險。. 1. 對練習(xí)一中所識別的風(fēng)險進展定性分析。 2. 要求： 1列出后果和能夠性的定性描畫級別 2根據(jù)風(fēng)險分析矩陣評價風(fēng)險的級別 3給出各級別風(fēng)險的處置措施練習(xí)二 定性的風(fēng)險評價.背景：業(yè)務(wù)部門中有極的買賣及客戶資料這些資料放在公司共用的主機內(nèi)，并且運用簡單的用戶名和密碼系統(tǒng)管理業(yè)務(wù)部門的業(yè)務(wù)員外出時可利用筆記本電腦經(jīng)由國際互聯(lián)網(wǎng)到公司主機中存取該資料請分組討論要挾脆弱性

3、風(fēng)險等級如何？ 練習(xí)三 基于要素的風(fēng)險評價.本卷須知 積極參與，活潑氣氛 守時 挪動設(shè)置到靜音形狀 緊急情況下有次序疏散. 1.1 參考資料 1.2 風(fēng)險評價的需求 1.3 風(fēng)險的定義 1.4 風(fēng)險的要素 1 認識風(fēng)險.1.1 重要參考資料ISO 13335 17799 15408 BS 7799-2BSI PD3000AS/NZS 4360 OCTAVEGAO/AIMD 98-68.1.2 風(fēng)險評價的目的組織為什么要進展風(fēng)險評價？. 組織實現(xiàn)信息平安的必要的、重要的步驟風(fēng)險評價的目的1.2 風(fēng)險評價的目的 了解組織的平安現(xiàn)狀 分析組織的平安需求 建立信息平安管理體系的要求 制定平安戰(zhàn)略和實施

4、安防措施的根據(jù).1.3 風(fēng)險的定義普通字典的解釋：風(fēng)險：蒙受損害或損失的能夠性。.AS/NZS 4360：澳大利亞/新西蘭國家規(guī)范：風(fēng)險：對目的產(chǎn)生影響的某種事件發(fā)生的時機。它可以用后果和能夠性來衡量。Risk: the chance of something happening that will have on impact upon objectives. It is measured in terms of consequences and likelihood. 1.3 風(fēng)險的定義.后果 Consequence 以定性或定量方式表示的一個事件的結(jié)果，可以是損害、損傷、失利或獲利。能夠

5、性 Likelihood 用作對幾率或頻率的定性描畫。幾率 Probability 以事件或結(jié)果與能夠發(fā)惹事件或結(jié)果的總數(shù)之比來度量事件或結(jié)果的能夠性。用數(shù)字0或者1來表達。頻率 Frequency 以規(guī)定時間內(nèi)所發(fā)生的次數(shù)來表達的事件發(fā)生率的度量。1.3 風(fēng)險的定義與風(fēng)險有關(guān)的名詞： .ISO/IEC TR 13335-1:1996 平安風(fēng)險：是指一種特定的要挾利用一種或一組脆弱性呵斥組織的資產(chǎn)損失或損害的能夠性。Risk: the potential that a given threat will exploit vulnerabilities of an asset or group

6、of assets to cause loss or damage to the assets. 1.3 風(fēng)險的定義.在信息平安領(lǐng)域，什么是風(fēng)險？1.3 風(fēng)險的定義.信息平安的定義ISO17799： Information security is characterized here as the preservation of:ConfidentialityIntegrityAvailability信息平安的三個特征： 嚴密性：確保只需被授權(quán)的人才可以訪問信息； 完好性：確保信息和信息處置方法的準確性和完好性； 可用性：確保在需求時，被授權(quán)的用戶可以訪問信息和相關(guān) 的資產(chǎn)。 1.3 風(fēng)險的定

7、義.信息平安風(fēng)險 信息平安風(fēng)險是指信息資產(chǎn)的嚴密性、完好性和可用性遭到破壞的能夠性。 信息平安風(fēng)險只思索那些對組織有負面影響的事件。1.3 風(fēng)險的定義.風(fēng)險的四個要素： 資產(chǎn)及其價值 要挾 脆弱性 現(xiàn)有的和方案的控制措施1.4 風(fēng)險的要素.資產(chǎn)是任何對組織有價值的東西信息也是一種資產(chǎn)，對組織具有價值1.4 風(fēng)險的要素資產(chǎn).1.4 風(fēng)險的要素資產(chǎn)的分類 電子信息資產(chǎn) 紙介資產(chǎn) 軟件資產(chǎn) 物理資產(chǎn) 人員 效力性資產(chǎn) 公司籠統(tǒng)和聲譽.要挾要挾是能夠?qū)е滦畔⑵桨彩鹿屎徒M織信息資產(chǎn)損失的活動要挾是利用脆弱性來呵斥后果1.4 風(fēng)險的要素.要挾舉例：黑客入侵和攻擊病毒和其他惡意程序軟硬件缺點人為誤操作自然災(zāi)

8、禍如：地震、火災(zāi)、爆炸等盜竊網(wǎng)絡(luò)監(jiān)聽供電缺點后門未授權(quán)訪問1.4 風(fēng)險的要素.脆弱性是與信息資產(chǎn)有關(guān)的弱點或平安隱患。脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被要挾加以利用來對信息資產(chǎn)呵斥危害。1.4 風(fēng)險的要素.脆弱性舉例：系統(tǒng)破綻程序Bug專業(yè)人員缺乏不良習(xí)慣系統(tǒng)沒有進展平安配置物理環(huán)境不平安短少審計缺乏平安認識后門1.4 風(fēng)險的要素.風(fēng)險要素之間的相互關(guān)系：1.4 風(fēng)險的要素.要挾視圖：1.4 風(fēng)險的要素.脆弱性視圖：1.4 風(fēng)險的要素.影響視圖：1.4 風(fēng)險的要素.練習(xí)一 識別風(fēng)險請列舉五個信息平安的風(fēng)險的例子，并按下面的要求進展描畫。要求：按照資產(chǎn)資產(chǎn)所面臨的

9、要挾能夠被要挾利用的脆弱點的順序來描畫每一個風(fēng)險。.2 風(fēng)險管理體系 2.1 風(fēng)險管理的概念 2.2 風(fēng)險管理體系引見 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.1 GAO/AIMD 98-68 .是指對潛在的時機和不利影響進展有效管理的文化、程序和構(gòu)造。風(fēng)險管理是由多個定義明確的步驟所組成的一個反復(fù)過程，這些步驟以較深化的洞察風(fēng)險及其影響為更好的決策提供支持。風(fēng)險管理：2.1 風(fēng)險管理的概念.風(fēng)險管理可運用于一個組織或機構(gòu)的多個層次。它既可用于戰(zhàn)略層次又可用于運作層次。它可用于詳細工程，以便協(xié)助做出詳細決議，或?qū)μ囟ㄕJ可的風(fēng)險領(lǐng)域加以管理。可接受的風(fēng)險水準可

10、以隨著每次循環(huán)得到提高，從而使風(fēng)險管理逐漸到達更高要求。 風(fēng)險管理的運用時機2.1 風(fēng)險管理的概念.2.2 風(fēng)險管理體系引見 2.2.1 ISO17799：信息平安管理體系 2.2.2 AS/NZS4360：風(fēng)險管理規(guī)范 2.2.1 GAO/AIMD 98-68：信息平安管理實施指南 .ISO17799信息平安管理體系2.2.1 ISO17799是協(xié)助組織以“風(fēng)險管理為根底建立 “信息平安管理體系的國際規(guī)范。.信息平安管理體系建立步驟BS7799-2制定信息平安方針方針文檔定義ISMS范圍進展風(fēng)險評價實施風(fēng)險管理選擇控制目的措施預(yù)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISM

11、S范圍評價報告文件文件文件文件文件文件文檔化文檔化聲明文件2.2.1 ISO17799.1、建立環(huán)境2、識別風(fēng)險3、分析風(fēng)險4、評價和評價風(fēng)險5、處置風(fēng)險AS/NZS4360:建立風(fēng)險管理系統(tǒng)的步驟2.2.2 AS/NZS 4360監(jiān)控和審查信息交流和咨詢Australian / New Zealand Standard for Risk Management .AS/NZS4360：風(fēng)險管理流程2.2.2 AS/NZS 4360.1、建立環(huán)境 建立在風(fēng)險過程中將出現(xiàn)的戰(zhàn)略、組織和風(fēng)險管理的背景。應(yīng)建立對風(fēng)險進展評價的準那么，并規(guī)定分析的構(gòu)造。2.2.2 AS/NZS 4360.2、鑒別風(fēng)險

12、鑒定出會出現(xiàn)什么風(fēng)險，為什么會出現(xiàn)和如何出現(xiàn)，作為進一步分析的根底。2.2.2 AS/NZS 4360.3、風(fēng)險分析 確定現(xiàn)有的控制，并根據(jù)在這些控制的環(huán)境中的后果和能夠性對風(fēng)險進展分析。這種分析應(yīng)思索到潛在后果的范圍和這些后果發(fā)生的能夠性有多大。可將后果和能夠性結(jié)合起來得到一個估計的風(fēng)險程度。2.2.2 AS/NZS 4360.4、評價風(fēng)險 將估計的風(fēng)險程度與預(yù)先建立的規(guī)范進展比較。這樣可將風(fēng)險安等級陳列，以便鑒別管理的優(yōu)先順序。假設(shè)所建立的風(fēng)險程度很低，此時的風(fēng)險可以列入可接受的范疇，而不需作處置。2.2.2 AS/NZS 4360.5、處置風(fēng)險 接受并監(jiān)控低優(yōu)先順序的風(fēng)險。對于其他風(fēng)險，

13、那么建立并實施一個特定管理方案，其中包括思索到資金的提供。2.2.2 AS/NZS 4360.6、監(jiān)控和檢查 對于風(fēng)險管理系統(tǒng)的運作情形以及能夠影響其運轉(zhuǎn)的那 些變化進展監(jiān)控和檢查。2.2.2 AS/NZS 4360.7、信息交流和咨詢 在風(fēng)險管理過程的每個階段以及整個過程中，適時與內(nèi)部和外部的風(fēng)險承當者Stakeholder進展信息交流和咨詢。2.2.2 AS/NZS 4360.Learning From Leading Organizations based on the best practices of of organizations noted for superior infor

14、mation security. 2.2.3 GAO/AIMD 98-68EXECUTIVE GUIDE: Information Security Management.Risk Management Cycle風(fēng)險管理循環(huán)建立中心管理焦點識別風(fēng)險和確定平安需求平安認識和知識培訓(xùn)實施適宜的平安戰(zhàn)略和控制措施監(jiān)視并審查平安戰(zhàn)略和措施三的有效性2.2.3 GAO/AIMD 98-68.GAO/AIMD 98-68識別風(fēng)險和確定平安需求建立中心管理焦點實施適宜的平安戰(zhàn)略和控制措施平安認識和知識培訓(xùn)監(jiān)視并審查平安戰(zhàn)略和措施的有效性2.2.3 GAO/AIMD 98-68.1、評價風(fēng)險和確定需求識別信

15、息資產(chǎn)按業(yè)務(wù)需求制定評價流程獲得管理者和業(yè)務(wù)經(jīng)理的支持基于繼續(xù)改良的方式進展風(fēng)險管理2.2.3 GAO/AIMD 98-68.2、建立中心管理焦點建立中心小組執(zhí)行關(guān)鍵活動建立中心小組和高級管理者直接聯(lián)絡(luò)的渠道設(shè)立專項資金并配備相關(guān)人力資源培育員工的職業(yè)素質(zhì)和技術(shù)才干2.2.3 GAO/AIMD 98-68.3、實施適宜的戰(zhàn)略和相關(guān)措施將戰(zhàn)略與業(yè)務(wù)需求相對應(yīng)區(qū)分戰(zhàn)略和指南經(jīng)過中心組支持戰(zhàn)略的實現(xiàn)2.2.3 GAO/AIMD 98-68.4、加強平安認識繼續(xù)培訓(xùn)用戶的平安認識和相關(guān)戰(zhàn)略采取集中培訓(xùn)和友好界面技術(shù)2.2.3 GAO/AIMD 98-68.5、監(jiān)控和評價戰(zhàn)略、措施的有效性監(jiān)控影響風(fēng)險的

16、要素和措施的有效性運用實施結(jié)果來制定后續(xù)措施的制定及管理者的支持關(guān)注新的監(jiān)控工具和技術(shù)2.2.3 GAO/AIMD 98-68.3 風(fēng)險評價方法 3.1 風(fēng)險評價方法概述 3.2 定量的風(fēng)險評價 3.3 定性的風(fēng)險評價 3.4 基于要素的風(fēng)險評價 3.5 定性風(fēng)險評價與定量評價的比較 .定義： 組織確認本人所擁有的資產(chǎn)，分析資產(chǎn)所面對的要挾、所具有的脆弱性、損害發(fā)生的能夠性、損害的程度等，并最終得出資產(chǎn)所面臨的風(fēng)險等級的過程。3.1 風(fēng)險評價方法概述.資產(chǎn)識別確定要挾Threat)識別脆弱性Vulnerability)實施控制方法原那么：不論運用哪一種風(fēng)險評價的方法或工具，其內(nèi)容 都應(yīng)包括以下

17、四個要素：3.1 風(fēng)險評價方法概述.資產(chǎn)價值能夠脅迫資產(chǎn)的要挾和其發(fā)生的能夠性因脆弱點被要挾利用而呵斥沖擊的容易度目前或方案中能夠降低脆弱點、要挾和沖擊嚴重性的維護措施換句話說，風(fēng)險是以下事項的作用：3.1 風(fēng)險評價方法概述.要思索影響和能夠性在決議所需控制方法時，對既有控制方法的評價是必需的控制方法只能將風(fēng)險降低到可接受的程度百分之百的平安，并不是平安管理的目的。3.1 風(fēng)險評價方法概述留意.定量分析定性分析綜合方法3.1 風(fēng)險評價方法概述風(fēng)險評價的途徑：.定量分析：對后果和能夠性進展分析采用量化的數(shù)值描畫后果估計出能夠損失的金額和能夠性概率或頻率分析的有效性取決于所用的數(shù)值準確度和完好性。

18、3.1 風(fēng)險評價方法概述.定性分析適用于：初始的挑選活動，以鑒定出需求更仔細分析的風(fēng)險風(fēng)險程度和經(jīng)濟上的思索數(shù)據(jù)缺乏以進展定量分析的情況定性分析：對后果和能夠性進展分析采用文字方式或表達性的數(shù)值范圍描畫風(fēng)險的影響程度和能夠性的大小如高、中、低等分析的有效性取決于所用的數(shù)值準確度和完好性。3.1 風(fēng)險評價方法概述.半定量分析：在半定量分析中，上述的那些定性數(shù)值范圍均為知值。每項闡明所指的數(shù)字并不一定與后果或能夠性的實踐大小程度具有準確的關(guān)系。半定量分析的目的是為了得到比通常在定性分析中所得到的更為詳細的風(fēng)險程度，但并非要提出任何在定量分析中所得到的風(fēng)險實踐值。3.1 風(fēng)險評價方法概述.風(fēng)險分析方

19、法許多方法都會運用表格并結(jié)合客觀和閱歷判別目前并沒有運用所謂正確或錯誤的方法重要的是選擇運用一個適宜本組織的方法同一組織內(nèi)，也可以根據(jù)不同等級的風(fēng)險，運用不同的風(fēng)險分析方法對信息平安的評價很難量化3.1 風(fēng)險評價方法概述.當部分的公司資產(chǎn)已具有量化的價值利用財務(wù)的手法算出風(fēng)險呵斥的財務(wù)損失再根據(jù)損失的大小決議風(fēng)險等級定量的風(fēng)險分析3.2 定量的風(fēng)險分析.SLAsingle-time loss Algorithm) 當一個風(fēng)險發(fā)生時會對資產(chǎn)價值呵斥多大的財務(wù)損失ALE Annualized loss Exposure) 年度風(fēng)險損失后果定量分析3.2 定量的風(fēng)險分析.年度化損失運算表頻率不可能

20、0.0300年一次 1/300 0.00333200年一次 1/200 0.003100年一次 1/100 0.0150年一次 1/50 0.0225年一次 1/25 0.045年一次 1/5 0.203.2 定量的風(fēng)險分析.2年一次 1/2 0.51年一次 1/1 1.01年二次 1/0.5 2.01個月一次 12/1 12.01星期一次 52/1 52.01天一次 365/1 365.03.2 定量的風(fēng)險分析年度化損失運算表頻率續(xù).簡易的定量計算公式： 資產(chǎn)價值v)乘以能夠性L可以得出 ALE 年度風(fēng)險損失，即： ALE = V L3.2 定量的風(fēng)險分析.定性的風(fēng)險分析從風(fēng)險發(fā)生能夠性及呵

21、斥的后果來思索風(fēng)險的等級對于后果和能夠性采用定性度量并在最后階段歸納出不同等級風(fēng)險的方法3.3 定性的風(fēng)險分析.后果或影響的定性量度例如等級描述 詳細情形 1可以忽略無傷害，低財務(wù)損失 2 較小立即受控制，中等財務(wù)損失 3 中等 受控，高財務(wù)損失 4 較大大傷害，失去生產(chǎn)能力有較大財務(wù)損失 5災(zāi)難性持續(xù)能力中斷，巨大財務(wù)損失3.3 定性的風(fēng)險分析.能夠性的定性量度例如等級描述 詳細情形 A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生 B很可能在大多數(shù)情況下很可能會發(fā)生 C可能在某個時間可能會發(fā)生 D不太可能在某個時間能夠發(fā)生 E罕見僅在例外的情況下可能發(fā)生3.3 定性的風(fēng)險分析.風(fēng)險分析矩陣風(fēng)險程度 可能性

22、后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見）LLMHH E：極度風(fēng)險 H：高風(fēng)險 M：中等風(fēng)險 L: 低風(fēng)險3.3 定性的風(fēng)險分析.E：極度風(fēng)險-要求立刻采取措施H：高風(fēng)險-需求高級管理部門的留意M：中等風(fēng)險-必需規(guī)定管理責(zé)任L: 低風(fēng)險-用日常程序處置風(fēng)險的處置措施例如3.3 定性的風(fēng)險分析. 1. 對練習(xí)一中所識別的風(fēng)險進展定性分析。 2. 要求： 1列出后果和能夠性的定性描畫級別 2根據(jù)風(fēng)險分析矩陣評價風(fēng)險的級別 3給出各級別風(fēng)險的處置措施練習(xí)二 定性的風(fēng)險評價.風(fēng)險的函數(shù)表達：R

23、= f a, v, t R：風(fēng)險 a：資產(chǎn)的價值 v：資產(chǎn)本身的脆弱性 t：資產(chǎn)所面臨的要挾3.4 基于要素的風(fēng)險分析.1.資產(chǎn)的價值 運用ISO17799中對信息平安的定義來衡量資產(chǎn)價值：ConfidentialityIntegrityAvailability3.4 基于要素的風(fēng)險分析.1.資產(chǎn)的價值保密性（C）價值分類詳細說明 1公開資訊非敏感的資訊，公用的資訊處理設(shè)施和系統(tǒng)資源 2內(nèi)部使用非敏感但僅限公司內(nèi)部使用的資訊（非公開） 3限定使用受控的資訊，需有業(yè)務(wù)需求方得以授權(quán)使用 4秘密敏感的資訊，資訊處理設(shè)施和系統(tǒng)資源只給必知者 5極機密敏感資訊，資訊處理設(shè)施和系統(tǒng)資源僅適用及少數(shù)必知者

24、。3.4 基于要素的風(fēng)險分析.完整性（I）價值分類詳細說明 1非常低未經(jīng)授權(quán)的破壞或修改不會對資訊系統(tǒng)造成重大影響且或?qū)I(yè)務(wù)沖擊可忽略 2 低未經(jīng)授權(quán)的破壞或修改不會對資訊系統(tǒng)造成重大影響且或?qū)I(yè)務(wù)沖擊輕微 3 中等未經(jīng)授權(quán)的破壞或修改已對資訊系統(tǒng)造成影響且或?qū)I(yè)務(wù)有明顯沖擊 4 高未經(jīng)授權(quán)的破壞或修改對資訊系統(tǒng)有重大影響且或?qū)I(yè)務(wù)嚴重 5非常高未經(jīng)授權(quán)的破壞或修改對資訊系統(tǒng)有重大影響且可能導(dǎo)致嚴重的業(yè)務(wù)中斷。1.資產(chǎn)的價值3.4 基于要素的風(fēng)險分析.可用性（A）價值分類詳細說明1非常低合法使用者對信息系統(tǒng)及資源的存取可用度在正常上班時間至少達到25%以上。2低合法使用者對信息系統(tǒng)及資源的存取

25、可用度在正常上班時間至少達到50%以上。3中等合法使用者對信息系統(tǒng)及資源的存取可用度在正常上班時間至少達到100%以上。4高合法使用者對信息系統(tǒng)及資源的存取可用度達到每天95%以上。5非常高合法使用者對信息系統(tǒng)及資源的存取可用度達到每天99.9%以上。1.資產(chǎn)的價值3.4 基于要素的風(fēng)險分析.資產(chǎn)的價值資產(chǎn)的維護是信息平安和風(fēng)險管理的首要目的。每個資產(chǎn)都應(yīng)該被識別與評價以提供適當維護。資產(chǎn)的擁有者與運用者須清楚識別。應(yīng)清點資產(chǎn)并建立資產(chǎn)清單3.4 基于要素的風(fēng)險分析.識別資產(chǎn)的脆弱性 資產(chǎn)本身的平安問題是什么？ 這個資產(chǎn)短少什么平安措施？分析脆弱程度 這個脆弱性被利用的程度有多高？ 相對的防護

26、措施有效性？定義脆弱性的計量 可利用“低， “中， “高來表示。2.脆弱性分析3.4 基于要素的風(fēng)險分析.識別資產(chǎn)的要挾鑒別要挾的目的什么資產(chǎn)會被要挾？為什么會呵斥這要挾？找出要挾的相關(guān)性它有影響嗎？重要或嚴重嗎？有沒有被它利用的脆弱點？鑒別要挾的能夠性利用“不能夠，“能夠，“非常能夠來表示3.要挾分析3.4 基于要素的風(fēng)險分析.風(fēng)險計算：項 目要挾等級低中高脆弱性等級低中高低中高低中高資產(chǎn)價值001212323311232343452234345456334545656744565676783.4 基于要素的風(fēng)險分析.背景：業(yè)務(wù)部門中有極的買賣及客戶資料這些資料放在公司共用的主機內(nèi)，并且運用

27、簡單的用戶名和密碼系統(tǒng)管理業(yè)務(wù)部門的業(yè)務(wù)員外出時可利用筆記本電腦經(jīng)由國際互聯(lián)網(wǎng)到公司主機中存取該資料請分組討論要挾脆弱性風(fēng)險等級如何？ 練習(xí)三 基于要素的風(fēng)險分析.定性風(fēng)險分析的優(yōu)點 1. 簡易的計算方式 2. 不用準確算出資產(chǎn)價值 3. 不需得到量化的要挾發(fā)生率 4. 非技術(shù)或非平安背景的員工也能隨便參與 5. 流程和報告方式比較有彈性定性風(fēng)險分析的缺陷 1. 本質(zhì)上是非常客觀的 2. 對關(guān)鍵資產(chǎn)的財務(wù)價值評價參考性較低 3. 缺乏對風(fēng)險降低的本錢分析3.5 定性分析與定量分析的比較.定量風(fēng)險分析的優(yōu)點 1. 大體來說其結(jié)果都是建立在獨立客觀的程序或量化目的上 2. 大部分的任務(wù)集中在制定資

28、產(chǎn)價值和減緩能夠風(fēng)險 3. 主要目的是做本錢效益的審核定量風(fēng)險分析的缺陷 1. 風(fēng)險計算方法復(fù)雜 2. 需求自動化工具及相當?shù)母字R 3. 投入大 4. 個人難以執(zhí)行 5. 很難中途改動方向 6. 不會有范圍之外的結(jié)果3.5 定性分析與定量分析的比較.定性風(fēng)險分析是一切風(fēng)險分析的方法中，最容易也是最常被運用的方法。可是也是最客觀的。其結(jié)果高度依存于RMT風(fēng)險管理小組的專業(yè)才干。需求一套系統(tǒng)化的執(zhí)行步驟，來協(xié)助RMT的執(zhí)行成果更接近預(yù)期的效果。定性風(fēng)險分析3.5 定性分析與定量分析的比較.4 OCTAVE風(fēng)險評價實施過程OCTAVEThe Operationally Critical Threat, Asset, and Vulnerability Evaluation 美國Carnegie Mellon大學(xué)軟件工程研討所開發(fā) 用于信息平安的評價 采用定性的評價方法.4 OCTAVE風(fēng)險評價實施過程OCTAVE的三個階段 階段一：建立基于資產(chǎn)的要挾概要文件對組織層面進展評價識別出重要的信息資產(chǎn)、這些資產(chǎn)所受的要挾、它們的平安需求、組織目前的資產(chǎn)維護措施、以及組織的脆弱性。階段二：識別根底設(shè)備的脆弱性評價信息根底設(shè)備檢查IT根底設(shè)備關(guān)鍵組件，識別技