CISP学习指南：风险评估与计算 - Decoding Digital Anomalies

风险评估是风险管理的核心环节，通过定性和定量方法识别、分析和评价风险。

三、风险评估

3.1 风险评估方法

📝风险评估方法的正确理解

风险评估的三种方法： 风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析。 1. 定性风险分析

使用描述性术语（高/中/低）
依赖分析者的经验和直觉
基于业界的标准和惯例
具有主观性（但不是随意性）
有系统的方法和框架 2. 定量风险分析
使用具体数值
基于数据和计算
计算风险评估与成本效益
收集各个组成部分的具体数字值
更具客观性 3. 半定量风险分析
综合使用定性和定量技术
对风险要素进行赋值
实现度量数值化
如：高=3，中=2，低=1 风险评估方法对比：

graph LR A["风险评估方法"] B["定性风险分析"] C["定量风险分析"] D["半定量风险分析"] A --> B A --> C A --> D B --> B1["描述性术语"] B --> B2["高/中/低"] B --> B3["主观性"] C --> C1["具体数值"] C --> C2["ALE计算"] C --> C3["客观性"] D --> D1["结合两者"] D --> D2["量化定性结果"] D --> D3["平衡性"] style B fill:#e3f2fd,stroke:#1976d2 style C fill:#e8f5e9,stroke:#388e3d style D fill:#fff3e0,stroke:#f57c00

三种方法详细对比：

特征	定性风险分析	定量风险分析	半定量风险分析
结果表达	描述性（高/中/低）	数值（如20万元/年）	数值化的等级（如3/2/1）
数据要求	低	高	中
精确度	低	高	中
成本	低	高	中
时间	短	长	中
专业要求	中	高	中
主观性	高（但不是随意）	低	中
客观性	低	高	中
适用场景	快速评估、初步评估	投资决策、详细分析	综合评估
依据	经验、直觉、标准	数据、计算、统计	结合两者
优点	快速、简单、成本低	精确、客观、可量化	平衡、实用
缺点	主观、不精确	耗时、成本高、数据要求高	仍有一定主观性

⚠️主观性 vs 随意性

定性风险分析的特征： 定性风险分析具有主观性，但这与随意性有本质区别： 主观性的含义：

✅ 依赖专家判断和经验
✅ 基于专业知识和行业标准
✅ 遵循系统化的方法论
✅ 结果可以重复和验证 随意性的含义：
❌ 没有规则和标准
❌ 任意决定，缺乏依据
❌ 不可重复
❌ 无系统方法 定性分析的系统化特征：
📋 遵循标准方法（如ISO 27005）
👥 依靠专家团队
📊 使用风险矩阵
🔄 可重复的过程
✅ 有明确的评估标准 定性风险分析的系统方法：

定性风险分析的标准流程：
├── 1. 准备阶段
│   ├── 确定评估范围
│   ├── 组建专家团队
│   ├── 制定评估标准
│   └── 准备评估工具
├── 2. 识别阶段
│   ├── 识别资产
│   ├── 识别威胁
│   └── 识别脆弱性
├── 3. 分析阶段
│   ├── 评估可能性（高/中/低）
│   ├── 评估影响（高/中/低）
│   └── 使用风险矩阵
├── 4. 评价阶段
│   ├── 确定风险等级
│   ├── 风险排序
│   └── 识别不可接受风险
└── 5. 报告阶段
    ├── 编写评估报告
    ├── 提出处置建议
    └── 管理层审批

定性分析的评估标准示例：

可能性等级	描述	判断依据
高	几乎肯定发生	过去一年内发生过多次
中	可能发生	过去几年内发生过
低	不太可能发生	很少发生或从未发生
影响等级	描述	判断依据
---------	------	----------
高	严重影响	业务中断超过24小时，损失>100万
中	中等影响	业务中断4-24小时，损失10-100万
低	轻微影响	业务中断<4小时，损失<10万
定性分析的风险矩阵：
可能性/影响	低	中
-----------	----	----
高	中风险	高风险
中	低风险	中风险
低	极低风险	低风险
半定量风险分析示例：

半定量分析的赋值方法：
可能性赋值：
├── 高：3分
├── 中：2分
└── 低：1分
影响赋值：
├── 高：3分
├── 中：2分
└── 低：1分
风险值计算：
风险值 = 可能性分值 × 影响分值
示例：
├── 威胁A：可能性=高(3) × 影响=中(2) = 6
├── 威胁B：可能性=中(2) × 影响=高(3) = 6
└── 威胁C：可能性=低(1) × 影响=低(1) = 1
风险等级划分：
├── 7-9分：高风险
├── 4-6分：中风险
└── 1-3分：低风险

三种方法的选择建议：

💡方法选择指南

何时使用定性分析：

快速评估需求
初步风险识别
数据不足
预算有限
时间紧迫 何时使用定量分析：
投资决策
成本效益分析
详细风险评估
有充足数据
需要精确结果 何时使用半定量分析：
综合评估
需要量化但数据有限
平衡精确度和成本
便于比较和排序
实际应用中最常用 最佳实践：结合使用

综合风险评估方法：
├── 第一阶段：定性评估
│   ├── 快速识别主要风险
│   ├── 确定评估范围
│   ├── 初步优先级排序
│   └── 决定是否需要定量评估
├── 第二阶段：半定量评估
│   ├── 对定性结果量化
│   ├── 便于比较和排序
│   ├── 支持决策
│   └── 识别高风险项
├── 第三阶段：定量评估（针对高风险）
│   ├── 收集详细数据
│   ├── 计算ALE
│   ├── 投资决策分析
│   └── 制定详细计划
└── 第四阶段：持续监控
    ├── 跟踪实际损失
    ├── 更新评估参数
    ├── 调整安全措施
    └── 重新评估

3.2 风险评估流程

风险评估的三个步骤：

graph LR A["风险识别"] --> B["风险分析"] B --> C["风险评价"] A --> A1["识别资产"] A --> A2["识别威胁"] A --> A3["识别脆弱性"] B --> B1["分析可能性"] B --> B2["分析影响"] C --> C1["确定风险等级"] C --> C2["风险排序"] style A fill:#e3f2fd,stroke:#1976d2 style B fill:#fff3e0,stroke:#f57c00 style C fill:#e8f5e9,stroke:#388e3d

3.2 风险识别

风险识别的核心任务：

📝风险识别三要素

风险识别需要识别：

资产（Asset）
- 需要保护的信息资产
- 资产的价值
- 资产的重要性
威胁（Threat）
- 可能对资产造成损害的因素
- 威胁的来源
- 威胁的类型
脆弱性（Vulnerability）
- 资产存在的弱点
- 可能被威胁利用的缺陷
- 安全控制的不足 资产识别和赋值： | 资产类型 | 示例 | 价值评估因素 | |---------|------|------------| | 数据资产 | 客户数据、财务数据 | 机密性、完整性、可用性 | | 软件资产 | 应用系统、数据库 | 业务重要性、替代成本 | | 硬件资产 | 服务器、网络设备 | 采购成本、业务影响 | | 服务资产 | 网络服务、云服务 | 业务依赖度、中断影响 | | 人员资产 | 关键人员、技术专家 | 知识价值、替代难度 | 威胁识别和赋值：

📝威胁识别的工作内容

威胁识别的关键活动： 在风险管理工作中，当系统管理员依据已有的资产列表，逐个分析可能危害这些资产的主体、动机、途径等多种因素，并评估这些因素出现并造成损失的可能性大小，并为其赋值时，这属于威胁识别并赋值阶段的工作。 为什么是威胁识别： ✅ 分析威胁的主体、动机、途径

识别谁可能实施威胁
分析威胁的动机
确定威胁的途径 ✅ 评估威胁发生的可能性
分析威胁出现的概率
评估造成损失的可能性 ✅ 为威胁赋值
根据可能性和影响赋值
形成威胁列表 与其他阶段的区别：
资产识别：识别需要保护的资产（已完成）
脆弱性识别：识别资产自身的弱点
安全措施确认：识别已有的防护手段 威胁识别的关键要素： | 要素 | 说明 | 示例 | |------|------|------| | 威胁主体 | 谁可能实施威胁 | 黑客、内部人员、竞争对手 | | 威胁动机 | 为什么要实施威胁 | 经济利益、政治目的、个人怨恨 | | 威胁途径 | 通过什么方式实施 | 网络政击、物理接触、社会工程 | | 威胁可能性 | 威胁发生的概率 | 高/中/低 | | 威胁影响 | 造成损失的严重程度 | 严重/中等/轻微 | 威胁分析流程：

威胁识别和赋值流程：
├── 1. 获取资产列表
│   └── 依据已有的资产列表
├── 2. 识别威胁
│   ├── 分析威胁主体（谁）
│   ├── 分析威胁动机（为什么）
│   └── 分析威胁途径（怎么做）
├── 3. 评估可能性
│   ├── 分析威胁发生的概率
│   └── 考虑各种影响因素
├── 4. 评估影响
│   ├── 分析造成损失的严重程度
│   └── 考虑对业务的影响
└── 5. 威胁赋值
    ├── 根据可能性和影响赋值
    └── 形成威胁列表

威胁分类：

威胁分类：
├── 自然威胁
│   ├── 地震、洪水
│   ├── 火灾
│   └── 极端天气
├── 人为威胁
│   ├── 恶意攻击
│   ├── 误操作
│   └── 内部威胁
├── 技术威胁
│   ├── 硬件故障
│   ├── 软件缺陷
│   └── 网络故障
└── 环境威胁
    ├── 电力中断
    ├── 温度异常
    └── 湿度异常

脆弱性识别：

🔓 技术脆弱性：系统漏洞、配置错误
📋 管理脆弱性：制度缺失、流程不完善
🏢 物理脆弱性：环境控制不足
👥 人员脆弱性：安全意识不足、技能缺乏

3.3 风险分析

风险分析的核心：

📝📊 风险计算公式

风险 = 资产价值 × 威胁可能性 × 脆弱性严重程度 或 风险 = 可能性 × 影响 风险矩阵示例：

可能性/影响	低	中	高
高	中风险	高风险	极高风险
中	低风险	中风险	高风险
低	极低风险	低风险	中风险

3.4 风险评价

风险评价的目标：

📊 确定风险等级
🎯 识别不可接受的风险
📋 为风险处置提供依据
🔄 支持风险决策 风险等级划分： | 风险等级 | 描述 | 处置优先级 | 建议措施 | |---------|------|-----------|---------| | 极高 | 必须立即处理 | 最高 | 立即采取措施 | | 高 | 需要尽快处理 | 高 | 制定处置计划 | | 中 | 需要关注 | 中 | 定期评估 | | 低 | 可以接受 | 低 | 持续监控 |

四、定量风险评估

4.1 定量风险评估概述

定量风险评估使用数值来表示风险，可以更精确地计算风险大小和损失预期。 定量风险评估的关键指标：

graph TB A["定量风险评估指标"] B["资产价值 AV"] C["暴露系数 EF"] D["单次损失期望 SLE"] E["年度发生率 ARO"] F["年度预期损失 ALE"] A --> B A --> C B --> D C --> D D --> E E --> F B --> B1["Asset Value 资产总价值"] C --> C1["Exposure Factor 损失比例"] D --> D1["Single Loss Expectancy SLE = AV × EF"] E --> E1["Annualized Rate of Occurrence 每年发生次数"] F --> F1["Annualized Loss Expectancy ALE = SLE × ARO"] style B fill:#e3f2fd,stroke:#1976d2 style C fill:#fff3e0,stroke:#f57c00 style D fill:#e8f5e9,stroke:#388e3d style E fill:#f3e5f5,stroke:#7b1fa2 style F fill:#ffebee,stroke:#c62828

4.2 定量风险评估计算公式

核心公式：

📝定量风险评估公式

基本公式： 📊 单次损失期望（SLE）

SLE = AV × EF

AV（Asset Value）：资产价值
EF（Exposure Factor）：暴露系数（损失比例）
SLE（Single Loss Expectancy）：单次损失期望 📈 年度预期损失（ALE）

ALE = SLE × ARO

SLE：单次损失期望
ARO（Annualized Rate of Occurrence）：年度发生率
ALE（Annualized Loss Expectancy）：年度预期损失 完整公式：

ALE = AV × EF × ARO

4.3 实际计算示例

案例：机房火灾风险计算

📝机房火灾风险计算示例

已知条件：

机房总价值（AV）：400万元人民币
暴露系数（EF）：25%（火灾导致25%的资产损失）
年度发生率（ARO）：0.2（平均5年发生一次） 计算步骤： 步骤1：计算单次损失期望（SLE）

SLE = AV × EF
SLE = 400万元 × 25%
SLE = 400万元 × 0.25
SLE = 100万元

步骤2：计算年度预期损失（ALE）

ALE = SLE × ARO
ALE = 100万元 × 0.2
ALE = 20万元

结论：年度预期损失（ALE）= 20万元人民币 计算过程图示：

{ "title": { "text": "机房火灾风险计算过程" }, "tooltip": { "trigger": "axis", "axisPointer": { "type": "shadow" } }, "xAxis": { "type": "category", "data": ["资产价值(AV)", "单次损失(SLE)", "年度损失(ALE)"] }, "yAxis": { "type": "value", "name": "金额（万元）" }, "series": [{ "type": "bar", "data": [ {"value": 400, "itemStyle": {"color": "#2196f3"}}, {"value": 100, "itemStyle": {"color": "#ff9800"}}, {"value": 20, "itemStyle": {"color": "#f44336"}} ], "label": { "show": true, "position": "top", "formatter": "{c}万元" } }] }

4.4 定量评估的应用

定量评估的价值：

应用场景	说明	示例
投资决策	计算安全投资回报率	安全措施成本 vs ALE降低
优先级排序	根据ALE确定处理优先级	高ALE风险优先处理
保险决策	确定保险金额	根据ALE购买保险
预算规划	制定安全预算	预算应覆盖主要ALE
效果评估	评估安全措施效果	对比实施前后ALE
安全投资决策示例：

场景：是否部署防火墙系统
当前风险：
- 资产价值（AV）：1000万元
- 暴露系数（EF）：30%
- 年度发生率（ARO）：0.5
- 当前ALE = 1000 × 0.3 × 0.5 = 150万元
部署防火墙后：
- 暴露系数降低到（EF）：10%
- 年度发生率降低到（ARO）：0.1
- 新ALE = 1000 × 0.1 × 0.1 = 10万元
投资分析：
- ALE降低：150 - 10 = 140万元/年
- 防火墙成本：50万元（一次性）+ 10万元/年（维护）
- 第一年净收益：140 - 50 - 10 = 80万元
- 投资回报期：< 1年
- 结论：值得投资

4.5 定量评估的局限性

定量评估的挑战：

⚠️定量评估的局限性

数据获取困难：

📊 历史数据不足
🔮 未来预测不确定
💰 资产价值难以量化
📉 暴露系数估算困难 计算复杂性：
🧮 需要大量数据
⏱️ 耗时较长
💡 需要专业知识
🔄 需要持续更新 结果的不确定性：
⚠️ 基于假设和估算
📈 可能存在偏差
🎯 不能完全准确
🔄 需要定期校准

4.6 风险值计算方法

在风险评估中，需要为每个资产计算风险值。风险值的计算基于资产、威胁和脆弱性的组合。

📝风险值计算的原理

风险值计算方法： 在风险评估中，使用相乘法计算风险值时，需要为每个威胁-脆弱性组合计算一个风险值。 计算原则： 📊 每个组合独立计算

一个威胁可以利用多个脆弱性
每个组合代表一个独立的风险场景
需要分别评估和计算 示例计算： 假设资产A1面临：
威胁T1可利用脆弱性V1和V2
威胁T2可利用脆弱性V3、V4和V5 则需要计算的风险值：
T1 × V1 → 风险值1
T1 × V2 → 风险值2
T2 × V3 → 风险值3
T2 × V4 → 风险值4
T2 × V5 → 风险值5 总计：5个风险值 详细计算示例： | 资产 | 威胁 | 脆弱性 | 风险值编号 | 计算公式 | |------|------|--------|-----------|----------| | A1 | T1 | V1 | 风险值1 | A1 × T1 × V1 | | A1 | T1 | V2 | 风险值2 | A1 × T1 × V2 | | A1 | T2 | V3 | 风险值3 | A1 × T2 × V3 | | A1 | T2 | V4 | 风险值4 | A1 × T2 × V4 | | A1 | T2 | V5 | 风险值5 | A1 × T2 × V5 |

五、总结

✅关键要点

风险评估方法：

定性分析：使用描述性术语，具有主观性但不是随意性
定量分析：使用具体数值，更客观但成本高
半定量分析：结合两者优势 风险评估流程：
风险识别：识别资产、威胁、脆弱性
风险分析：评估可能性和影响
风险评价：确定风险等级和优先级 风险值计算：
每个威胁-脆弱性组合计算一个风险值
风险值 = 资产价值 × 威胁可能性 × 脆弱性严重程度

💡相关内容

更多相关知识点：

风险管理基础和背景建立 → 风险管理基础与背景建立
风险处置策略、残余风险和监控 → 风险处置与监控

💡实践建议

根据实际情况选择合适的评估方法
结合定性和定量方法
建立系统化的评估流程
定期更新风险评估结果