SSE一CMM安全工程过程之风险过程PA02评估影响

3) PA02评估影响

评估影响的目的是识别对该系统有关的影响，并对发生影响的可能性进行评估。评估影响要遵循成本和效益的平衡的原则。另外必须考虑意外事件发生的频度。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。对影响的评估是评估风险和选择安全措施的要素。

由于影响要经历变化，必须定期进行监视。 本过程区域基本实施有6项：

◇BP.02.0l对运行、业务或任务指令进行识别、分析和优先级排列

◇BP.02.02识别系统资产

◇BP.02.03选择用于评估影响的度量标准

◇BP.02.04标识度量标准以及（若需要）度量标准转换因子之间的关系

◇BP.02.05识别影响

◇BP02.06监控影响中发生的变化

在BP.02.01项中，对运行、业务或任务指令进行识别、分析和优先级排列，也需要考虑对业务战略的影响，因为这些因素会增加和降低组织可能遭受的影响。同时，它们也可能会影响在其它基本实施和过程区域中对风险的顺序。因此，当在测试潜在影响时要对这些影响因素加以考虑和分解。例如，在对资产价值进行评估时，资产的价值不能仅根据自身的价袼来进行评判，对于具有相同价格的路由器，处在骨干路由关键节点位置和处在局域网内部的某个位置，它们的价值是不同的，这里就加人了路由器所处位置对业务影响的因素。一般的，价值可以跟运行意义、密级、敏感性或与系统利用和计划运行有关。有些资产是无形的或隐含的，它可根据合适的安全需求进行定义。如资产可定义为用户清单的保密性、协作办公通信的可用性或资费信息的完整性。对它们价值的评估可以理解为对系统运行、人类生活、运行费用以及其它因素的影响，或在运行环境中可控功能受到损害、修改或不可用。

在BP.02.03项中，许多度量标准可用来测量事件的影响。例如：预算财务成本；依靠专家经验划分严重程度等级，如从1到10；从预定义清单中有选择地使用形容词，例如低、 中、高等。针对不同的系统，需要预先确定哪种度量标准适合于此系统。

在BP.02.04项中，需要注意的是，不同度量标准之间的关系需要建立起来，以保证在整个影响评估中对所有风险均保持一致性方法。在某些情况下，需要把各种度量标准方法组合起来，产生单一的统一结果。举例说，若某风险是陨石推毁一栋房屋，那么潜在的影响便是要花费800000元重建这栋房屋。另一种影响可能是6个月后再重建房屋。如果每月预算2000 元的租房费用，那么这两种影响可以组合起来。其总影响便是812000元。