如何為風險影響分析確定資產的凈價值
問:在安全風險分析過程中,“資產估價(asset valuation)”與“影響分析(impact analysis)”之間的區別是什么?
答:“資產”是指對于一個企業具有某種價值、必須受到保護的任何一種資源、產品、工藝、系統,或者任何其他的東西。資產可以是物理/有形的物品,比如設備或者計算機,還可以是無形的東西,比如說信息或者知識產權等。
資產包含了各種重要的元素或者因素,從而具有某些“價值”,值得企業花費成本對其進行保護。當進行安全風險分析時,不管是進行定性分析(其結果是基于資產對于企業的具體價值而形成的主觀價值),還是進行定量分析(其結果是基于資產成本而形成的價值),你都需要確定資產對于企業的凈價值(net value)。這個評估過程具有多種形式,由Ronald L. Krutz和Russell Dean Vines撰寫的《CISSP Prep Guide》一書,指出了用來確定資產價值的三個基本要素:
◆企業購買、許可、開發以及支持物理或者信息資產的最初成本和后續成本。
◆該資產對于企業生產運行、研發以及核心業務可行性的價值。
◆由外部市場確定的該資產價值以及知識產權(比如商業秘密、專利、版權等等)的評估價值。 Shon Harris在她的《CISSP All-In-One Certificate Exam Guide》一書中指出,除了上面列出的內容以外,確定信息和資產的價值時還需要考慮下面的一些內容:
◆對于競爭對手來說該資產的價值。
◆該資產丟失后的補償成本。
◆該資產丟失帶來的運行以及生產成本。
◆該資產泄漏帶來的法律問題。
這兩份參考意見都表明:一項資產的價值不僅僅是單純購買該資產的現金那么簡單。
真正的安全風險分析過程應該包括以下幾個階段(這也是Shon Harris的觀點):
a、確定信息和資產的價值。
b、估計潛在的風險損失。
c、進行一次威脅分析。
d、推斷每個風險可能帶來的全部損失。
e、選擇補救措施來減少每個風險帶來的損失。
f、減少、確定或者接受風險。
采用了這種模型,我們來看文章開頭那個問題, “影響分析”這個詞的意思是怎樣計算威脅對各種資產帶來的金融影響。
因此,你基本上可以使用上面列出的經典風險影響分析方法,其中包括使用曝光系數(exposure factor)、年發生率以及單一損失預期計算等。
我們已經討論了怎樣確定資產的價值,現在我們來討論下什么是曝光系數。
曝光系數是指為了確定威脅而導致的資產損失百分比。舉個例子,如果一次颶風襲擊了我的價值十億美元的倉庫并引起50%的破壞,那么曝光系數就是50%。
年發生率是指人們估計的具體某個威脅在一年內發生的可能性。繼續上面的例子,讓我們假設一年中20%的時間是颶風季節。那么,年發生率就是20%。
下一步是計算單一預期損失。在這里,單一預期損失等于曝光系數乘以資產價值。那么,對于倉庫來說,單一預期損失為:10億美元x 0.5 =5億美元。
然后就是計算我公司每年的年預期損失(或者金融影響評估);年預期損失=單一預期損失x年發生率。那么在這種情況下:單一預期損失(5億美元)x年利率(0.2)=1億美元。這是一個龐大的數字,它可能不切合實際,只是我們舉的例子而已。然而這個數值能夠幫助安全職業人員確定預算,并在選擇風險減輕措施以減少潛在的損失時進行成本—利潤分析。
在這個例子中,當你決定要花錢進行風險減輕的時候,你可以考慮使用一億美元(單一預期損失的價值),如果你花費超過了一億美元,那么就是在浪費金錢。
總之,資產價值是整個風險影響分析過程的基礎部分,有助于企業了解某個具體威脅可能給企業帶來的金融影響。
【編輯推薦】
