国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全安全管理 應用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應用安全 數(shù)據(jù)安全 云安全
當前位置: 主頁 > 信息安全 > 安全管理 >

信息化風險的評估模型構(gòu)建

時間:2013-09-02 10:08來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
信息化風險的評估模型構(gòu)建 風險的評估是在辨認出風險的根本上。經(jīng)由過程系統(tǒng)的評估編制和評估指標,肯定風險產(chǎn)生的概率和可能損掉的金額。只有顛末風險評估后,才能肯定企業(yè)所面對的
Tags安全管理(325)信息化風險(1)評估模型(1)  

  信息化風險的評估模型構(gòu)建

  風險的評估是在辨認出風險的根本上。經(jīng)由過程系統(tǒng)的評估編制和評估指標,肯定風險產(chǎn)生的概率和可能損掉的金額。只有顛末風險評估后,才能肯定企業(yè)所面對的重大年夜風險,并針對重大年夜風險采納響應的應對辦法。按照對企業(yè)信息化風險的分類,本文采取層次闡發(fā)法成立企業(yè)信息化風險評估模型,信息化風險的總方針層如圖1所示。

\

  圖1 信息化風險總方針層

  1.信息化風險身分的辨認

  (1)信息系統(tǒng)風險身分辨認。

  對一般企業(yè)而言,信息系統(tǒng)的構(gòu)建凡是是外聘專業(yè)的系統(tǒng)設(shè)計團隊來進行。那么對信息系統(tǒng)內(nèi)部缺點的風險程度的評估,外部身分可以評估系統(tǒng)設(shè)計團隊成員的專業(yè)勝任能力、成功經(jīng)驗、特長范疇和對企業(yè)營業(yè)流程和財務(wù)流程的理解程度,團隊與企業(yè)之間的溝通結(jié)果,系統(tǒng)設(shè)計進度放置;內(nèi)部身分可以評估系統(tǒng)的犯錯頻率,例外陳述,和犯錯后的點竄質(zhì)量與效力。而信息系統(tǒng)的安然性則經(jīng)由過程利用的防病毒軟件的廠商諾言,數(shù)據(jù)信息備份環(huán)境,信息系統(tǒng)災害恢復能力,信息傳輸加密環(huán)境進行評估。

  (2)節(jié)制人員風險身分辨認。

  把持人員風險身分的辨認,節(jié)制人員風險中的人員弊端,不管是把持人員弊端仍是治理人員弊端,可以經(jīng)由過程培訓的次數(shù),培訓測驗成績,連絡(luò)人員的學歷程度,人員的信息安然意識,把持人員或治理人員的弊端頻率等指標進行評估。而治理軌制的有效性,可用針對信息化的內(nèi)部節(jié)制范圍合理性,內(nèi)部節(jié)制流程完全性,背規(guī)把持或利用信息的環(huán)境,內(nèi)控的犯錯頻率等指標進行評估。

  (3)信息計謀風險身分辨認。

  信息計謀風險不管是信息化掉敗仍是信息孤島或反復扶植,都是因為治理層的信息計謀打算不合理,是以評估信息計謀風險可以將信息化掉敗和信息孤島或反復扶植歸并為一個標題問題進行。評估計謀風險可以經(jīng)由過程信息化計謀方針,治理人員本身風險熟諳,可行性闡發(fā)陳述,信息化項目進度打算,資金預算,資金監(jiān)控,信息化結(jié)果評估來完成。

  2.信息化風險身分的評估

  在對信息化風險進行評估時,可以借用德爾菲法對層次闡發(fā)法中的各影響身分權(quán)重進行打分,對不合層次的子標題問題權(quán)重進行打分,并綜合兩項打分成果計較各身分相對總標題問題X的總權(quán)重,并在獲得權(quán)重的根本上評估各影響身分的得分,乘以權(quán)重數(shù),計較企業(yè)信息化風險得分(見圖2)。

\

  圖2信息化風險評估圖

  (1)對各身分權(quán)重的打分。

  在本文中所對各身分權(quán)重打分時,需要對所懷孕分進行兩兩比較,將比較的成果按首要性大年夜小,用表1的得分情勢予以量化,量化值越大年夜,申明前一個身分比擬后一個身分越首要。

  將兩兩比較成果用鑒定矩陣Y列出,便于計較各身分相對權(quán)重,此中uij暗示第i個身分相對第J個身分的首要性得分。

\

  表1 身分權(quán)重分值表

  (2)對同層次各子標題問題權(quán)重的打分。

  對不合層次各子標題問題權(quán)重的打分編制與對各身分權(quán)重的打分編制不異,可以直接進行,只不外將兩兩身分之間打分替代成對同層次兩兩子標題問題之間打分。

  (3)總權(quán)重的計較。

  在本文中所應用層次闡發(fā)法闡發(fā)信息化風險時,凡處于統(tǒng)一層次的所有子標題問題或子題面前目今屬身分,全數(shù)是不相干的,是以可以直接用最底層影響身分的本身權(quán)重乘以該身分所對應上一層次子標題問題標權(quán)重。舉例:假定為評估信息化風險X,按照德爾菲法對各層次標題問題進行評分,按照層次闡發(fā)法分派權(quán)重(見圖3)。那么對“數(shù)據(jù)備份”這一身分在企業(yè)信息化風險中所占比重為30%×60%×20%=3.6%。

\

  圖3 性息化風險評分系統(tǒng)

  (4)各影響身分得分及總得分的計較。

  遵循德爾菲法,參評專家遵循其本身經(jīng)驗、企業(yè)的近況和行業(yè)的近況綜合考慮,將影響企業(yè)信息化風險的各身分予以評價,評價與對應分值如表2所示。

\

  表2 身分評價分值

  將各身分得分乘以各身分占企業(yè)信息化風險的總權(quán)重再相加,計較出企業(yè)信息化風險的最終得分如圖3所示。

  構(gòu)建企業(yè)信息化風險評估模型,從而為企業(yè)對本身信息化風險進步履態(tài)監(jiān)測供給借鑒。

------分隔線----------------------------

推薦內(nèi)容