信息安全风险度量和计算.pptxVIP

基于积分卡的风险计算模型;2;3;;风险管理风险值计算结构;6;一、风险评估的三个基本概念 （一）固有风险和剩余风险 固有风险：管理当局未采取任何措施的情况下所面临的风险。 剩余风险：管理当局采取应对措施后所残余的风险。 （二）可能性和影响 风险评估主要对风险进行两方面的分析：可能性和影响 可能性：风险可能发生的程度或发生的概率 影响：风险发生后对企业造成的损失或带来的负面影响。 （三）计量尺度 顺序计量、间隔计量、比例计量 （四）注册风险库 注册可能出现的风险项目和类型 ;2、定性分析法 直接用文字描述风险发生的可能性以及风险对目标的影响程度，有较强的主观性。 步骤： （1）确定潜在事项发生的可能性 （2）确定风险影响等级，确定风险等级 （3）根据（1）、（2）编制风险矩阵 ;公司对风险发生可能性和对目标的影响程度定性评估及其相互对应关系表;某公司风险定性评价结果表;11;12;风险坐标图法 风险坐标图法是在统计分析和经验判断的基础上把风险发生的可能性的高低、风险发生后对目标影响程度的大小作为两个维度绘制在同一直角坐标系内。 1、风险发生可能性及对目标影响的定性分析 2、针对一个单一资产的风险值计算过程： 所有C区的高风险值 累加后的 平均值： 例如： 风险1 = 4* 4 =16 风险2 = 4* 5 =20 那么单个资产值 (16+20)/2 =18 ;14;15;16;安全事故风险评价;18;;漏洞风险值的计算过程;21;Use CVSS equations – Base Score;Use CVSS equations – Temporal Score