基于安全投资回报率模型(ROSI)风险处置决策方法研究.docVIP

基于安全投资回报率模型(ROSI)风险处置决策方法研究 　　[摘 要] 基于已有的投资回报率（ROI）计算公式，提出了可以用于风险处置过程中决策支持的安全投资回报率模型（ROSI），并详细讨论了该模型中变量的数据来源，结果表明，该模型对组织安全资产投资决策可以提供良好的支持。 　　[关键词] 风险评估；风险处置；投资回报率；安全投资回报率 　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 031 　　[中图分类号] G934 [文献标识码] A [文章编号] 1673 - 0194（2014）12- 0050- 03 　　0 引 言 　　信息安全风险评估是信息安全管理中的重要环节，评估采用系统化的流程，从识别资产开始，到识别威胁、脆弱性及现有的控制措施，从而估算风险发生的可能性和影响级别，最后得到风险值的大小，其结果实际上是一个相对的等级列表（rank）[1-5]，随后的信息安全风险处置过程，则是根据这个相对的风险等级列表选择减缓、接受、规避或转移等选项[6]。 　　但对组织的决策者而言，仅仅根据风险的相对大小列表，实际上只能决定资源调配的优先级，并不能对某个具体风险是否进行处理这类决策有所帮助[7]。例如，信息安全风险评估的结果显示，没有IDS（入侵检测系统）使核心业务系统的风险值为70（满分为100，70划入中风险区域）。这可能告诉决策者应该着手处理这个风险，但不是最重要的。以组织目前的规模，购买IDS 的价格可能为30万元，那么这30万元的支出是否值得，就必须进行系统分析并确定风险造成的损失到底有多大，需要确定实际的财务价值，而不仅仅是用高、中或低的模糊序列概念来定义。 　　公司的决策者在选择购买技术设备后用于服务的时候，通常会以投资回报率、现金净流量等方法衡量技术设备购买支出的必要性，此时技术人员应该提供信息安全投资影响企业收益的安全度量数据。如果解决方法的支出大于风险处置的支出时，信息安全应对方法是没有实施必要的，选择风险接受可能就是最优的风险处置决策。本文借鉴传统的投资回报率模型（Return On Investment， ROI），提出了安全投资回报率（Return On Security Investment， ROSI）计量模型，并对各个输入变量的计算方法做详细的讨论，为组织信息安全决策者及信息安全服务商提供了更为直观的决策依据。 　　1 安全投资回报率（ROSI）模型 　　目前，公司决策者在评估选择投资战略的时候大多采用ROI（投资回报率）模型判断公司资金支出获得的收益回报率，见式（1）。ROI模型首先要判断资金支出后的获得预期收入金额，其次就是确定需要的投资成本，在不考虑资金的时间价值前提下，最终确定投资回报的收益率。 　　ROI=■×100%（1） 　　ROI模型在引进新技术及新技术升级换代方面同样具有应用价值，但是信息安全的预期收益并不像其他收益能够清晰地体现在财务数据的增长上，信息安全技术和服务的目的是避免信息安全事件发生的可能性，具体到财务数据上表现为避免公司财务损失可能性，而不是表现为财务数据的增长[8-9]。因此，信息安全的投资收益回报率的预期收益应该表现为风险预期损失与信息安全风险降低预期比率的乘积，信息安全投资收益回报率可以表述为式（2）。 　　ROSI=■×100%（2） 　　案例：某组织的某资产价值为100 000元，一场意外火灾可能损坏其价值的25%，那么火灾的单一风险预期损失为25 000元。按照经验统计这种火灾一般每5年发生一次，那么年发生次数即为1/5，年预期损失为元。 　　公司可以购买干粉灭火器和火警预警器来降低火灾的发生概率或损害程度。假设购买成本为6 000元，寿命为3年，不需要额外的维护费用。那么年度安全控制支出本为2 000元（6 000/3）。 　　实施控制后，火灾的损坏程度将为5%，而发生的次数降为1/10次，那么单一风险预期损失将降低为5 000元（100 000*5%），年预期损失为元。 　　在不考虑关联风险的情况下，其安全投资回报率计算如下： 　　ROSI=■=125% 　　从125%的安全投资回报率来看，这个安全控制措施是可以实施的。但是在ROSI的计算过程中存在以下问题： 　　（1）风险预期损失数据如何获取？目前风险预期损失数据并没有统一的标准，保险索赔、学术研究以及一些独立数据调查公司会零星地发布信息安全事件损失的报告，但大多仅仅汇报信息安全事件事后统计的损失平均值[10]，对发生概率则多只有定性的判断，因此，组织需要计算风险预期损失。 　　（2）安全控制支出如何获取？虽然安全控制会集中的表现为产品或服务采购，合同额明确，但是安全控制一般不会只针对单一产品的单一风险，不能直接对应到风险预期