如何为风险影响分析确定资产的净价值

问：在安全风险分析过程中，“资产估价（asset valuation）”与“影响分析（impact analysis）”之间的区别是什么？

答：“资产”是指对于一个企业具有某种价值、必须受到保护的任何一种资源、产品、工艺、系统，或者任何其他的东西。资产可以是物理/有形的物品，比如设备或者计算机，还可以是无形的东西，比如说信息或者知识产权等。

资产包含了各种重要的元素或者因素，从而具有某些“价值”，值得企业花费成本对其进行保护。当进行安全风险分析时，不管是进行定性分析（其结果是基于资产对于企业的具体价值而形成的主观价值），还是进行定量分析（其结果是基于资产成本而形成的价值），你都需要确定资产对于企业的净价值（net value）。这个评估过程具有多种形式，由Ronald L. Krutz和Russell Dean Vines撰写的《CISSP Prep Guide》一书，指出了用来确定资产价值的三个基本要素：

◆企业购买、许可、开发以及支持物理或者信息资产的最初成本和后续成本。

◆该资产对于企业生产运行、研发以及核心业务可行性的价值。

◆由外部市场确定的该资产价值以及知识产权（比如商业秘密、专利、版权等等）的评估价值。　　Shon Harris在她的《CISSP All-In-One Certificate Exam Guide》一书中指出，除了上面列出的内容以外，确定信息和资产的价值时还需要考虑下面的一些内容：

◆对于竞争对手来说该资产的价值。

◆该资产丢失后的补偿成本。

◆该资产丢失带来的运行以及生产成本。

◆该资产泄漏带来的法律问题。　　

这两份参考意见都表明：一项资产的价值不仅仅是单纯购买该资产的现金那么简单。

真正的安全风险分析过程应该包括以下几个阶段（这也是Shon Harris的观点）：

a、确定信息和资产的价值。　　

b、估计潜在的风险损失。　　

c、进行一次威胁分析。　　

d、推断每个风险可能带来的全部损失。　　

e、选择补救措施来减少每个风险带来的损失。　　

f、减少、确定或者接受风险。

采用了这种模型，我们来看文章开头那个问题， “影响分析”这个词的意思是怎样计算威胁对各种资产带来的金融影响。

因此，你基本上可以使用上面列出的经典风险影响分析方法，其中包括使用曝光系数（exposure factor）、年发生率以及单一损失预期计算等。

我们已经讨论了怎样确定资产的价值，现在我们来讨论下什么是曝光系数。

曝光系数是指为了确定威胁而导致的资产损失百分比。举个例子，如果一次飓风袭击了我的价值十亿美元的仓库并引起50%的破坏，那么曝光系数就是50%。

年发生率是指人们估计的具体某个威胁在一年内发生的可能性。继续上面的例子，让我们假设一年中20%的时间是飓风季节。那么，年发生率就是20%。

下一步是计算单一预期损失。在这里，单一预期损失等于曝光系数乘以资产价值。那么，对于仓库来说，单一预期损失为：10亿美元x 0.5 =5亿美元。

然后就是计算我公司每年的年预期损失（或者金融影响评估）；年预期损失=单一预期损失x年发生率。那么在这种情况下：单一预期损失（5亿美元）x年利率（0.2）=1亿美元。这是一个庞大的数字，它可能不切合实际，只是我们举的例子而已。然而这个数值能够帮助安全职业人员确定预算，并在选择风险减轻措施以减少潜在的损失时进行成本—利润分析。

在这个例子中，当你决定要花钱进行风险减轻的时候，你可以考虑使用一亿美元（单一预期损失的价值），如果你花费超过了一亿美元，那么就是在浪费金钱。

总之，资产价值是整个风险影响分析过程的基础部分，有助于企业了解某个具体威胁可能给企业带来的金融影响。

【编辑推荐】