资产价值
在《小白学安全之安全之心》一章中,我们提到了一个十分重要的概念:
风险= 资产 * 威胁 * 脆弱性
这里的资产指的是资产价值(Value),资产的实际价值是由它对整个组织的重要性来决定的。价值不是价格(Price),价格只是在为资产确定价值时的一个维度。
这个概念应该比较好理解,举例来说,一张写着可口可乐配方的草纸的价值,要远大于北京一栋别墅的价值。
在进行风险评估的时候,通常要先明白我们要保护的是什么,以及它的价值是什么。一般性的原则是:
当资产的价值是1元的时候,企业最大的损失就是1元,是不应该花2元去保护这个资产的。
资产识别与赋值
资产包括有型资产(计算机硬件、办公楼、钱财等)和无形资产(声誉、数据、知识产权等)。
在资产赋值的时候,有型的资产可能识别不全,而无形的资产的价值又会随着时间而变化。所以,很难有一个定量的分析,更多的时候是掺有一点主观意识的定性分析。
目前一般采用对资产的CIA(机密性、完整性、可用性)三性进行打分的方法,安全属性等级包括:很高、高、中等、低、很低五种级别,通常会有这一个一个表格:
资产赋值 | 标识 | 机密性 | 完整性 | 可用性 |
---|---|---|---|---|
5 | 很高 | |||
4 | 高 | |||
3 | 中等 | |||
2 | 低 | |||
1 | 很低 |
可以看到,赋值是可以很主观的,所以要尽量做到客观与统一标准,更多的时候是形成资产间的价值对比。
计算资产价值也没有固定的公式,一般使用算数平均法或对数平均法。算数平均法综合考虑CIA,简单易用。对数平均法对CIA分配不同的权重,更容易突出某一特定因素的影响。
总而言之
做信息安全,要先知道我们保护的是什么(资产),为什么要保护它(价值),投入多少去保护它(保护成本)。一般情况下我们也不做赔本的生意(保护成本< 资产价值)。
未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 小白学安全第九篇之资产价值