简易风险评估标准-PI矩阵.doc

简易风险评估标准-PI 矩阵鉴于风险评估存在各种不同的标准,并没有统一的标准,有的标准用乘法,有的标准用加法,其公式均比较复杂,实践中难以操作,但各种风险评估所采用的理论依据则是相通的,参见下图: 图风险评估依据在各种标准中,威胁(病毒、木马、蠕虫、天灾、人祸等)出现的频率、脆弱性(漏洞、弱点等)的严重程度,并不能准确的量化,很大程度上来自评估人的经验和主观感受,据此得出的可能性(即概率 P)和损失(即影响 I)同样存在准确度不高的问题。在实际评估中,安全事件发生的可能性也是可以直接根据经验和主观感受得出的,所以本文删繁就简,直接基于概率( Probability )-影响(Impact )(简称 PI矩阵),提出一种简易的风险评估定级模型。为简化计算, 只考虑单一风险的情况,如果涉及到定级,则统一划分为三级以便分析。复合风险(含串行风险、并行风险以及它们的组合)可以在单一风险评估之后再行评估。公式: 风险( R)=概率( P)×影响( I), 其中概念(P)取值范围为 0~1,影响(I)按照资产价值取值,取值范围为 0~ 资产价值。则风险( R)的取值范围为 0~资产价值。这里我们假设某组织的全部资产价值为 1000 万,最大的风险是损失全部资产, 如果采取平均分级(三级)的办法,那么最小一级的上限也有 333 万,这仍是一个比较大的数字,明显不符合人们对低损失的心理预期;如果按照指数级数进行分级,分别用 10万以内代表低损失,10~100 万代表中等损失,100 ~1000 万代表高损失,更接近人们的心理感觉。用公式表达,风险评估定量评估标准为: 低风险: PI<10 万中风险: 10万<PI<100 万高风险: 100 万<PI<1000 万此标准针对不同的组织,应根据其资产规模进行相应的调整。按照概率( P)为横坐标,影响( I)为纵坐标,绘出曲线图如下: 图PI矩阵其中红线代表 PI=100 ,蓝线代表 PI=10 ,把不同的区域涂上色,即: 图PI矩阵-风险分布图中,红