简易风险评估标准-pi矩阵

《简易风险评估标准-pi矩阵》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、简易风险评估标准-PI矩阵鉴于风险评估存在各种不同的标准，并没有统一的标准，有的标准用乘法，有的标准用加法，其公式均比较复杂，实践中难以操作，但各种风险评估所采用的理论依据则是相通的，参见下图：  图风险评估依据在各种标准中，威胁（病毒、木马、蠕虫、天灾、人祸等）出现的频率、脆弱性（漏洞、弱点等）的严重程度，并不能准确的量化，很大程度上来自评估人的经验和主观感受，据此得出的可能性（即概率P）和损失（即影响I）同样存在准确度不高的问题。在实际评估中，安全事件发生的可能性也是可以直接根据经验和主观感受得出的，所以本文删繁就简，直接基于概率（Probability）-影响（Impact）（简称PI

2、矩阵），提出一种简易的风险评估定级模型。为简化计算，只考虑单一风险的情况，如果涉及到定级，则统一划分为三级以便分析。复合风险（含串行风险、并行风险以及它们的组合）可以在单一风险评估之后再行评估。公式：风险（R）=概率（P）×影响（I），其中概念（P）取值范围为0～1，影响（I）按照资产价值取值，取值范围为0～资产价值。则风险（R）的取值范围为0～资产价值。这里我们假设某组织的全部资产价值为1000万，最大的风险是损失全部资产，如果采取平均分级（三级）的办法，那么最小一级的上限也有333万，这仍是一个比较大的数字，明显不符合人们对低损失的心理预期；如果按照指数级数进行分级，分别用10万以内代表

3、低损失，10～100万代表中等损失，100～1000万代表高损失，更接近人们的心理感觉。用公式表达，风险评估定量评估标准为：低风险：PI<10万中风险：10万

4、定级的话，将上图分为3×3=9块，每一块用其中所占面积最大的颜色代表，则风险评估定性评估标准为：图定性风险评估定级标准   风险评估定级方法已定，剩下的问题就是如何确定风险的两个要素（P和I）了。我们对风险评估依据进行进一步的简化：   关于威胁出现的频率，对安全事件今后发生的可能性影响较小，而漏洞的严重程度则对发生概率产生直接的影响；安全事件一旦发生，损失的就是受影响的资产其价值，此时漏洞的严重程度已经不重要了。因此，简化如下： 图简化的风险评估依据   概率（P）和影响（I）都已确定，对于定性分析风险等级，则只需要查表即可（见上图定性风险评估定级标准）。