問(wèn)：在安全風(fēng)險(xiǎn)分析過(guò)程中，“資產(chǎn)估價(jià)（asset valuation）”與“影響分析（impact analysis）”之間的區(qū)別是什么？

答：“資產(chǎn)”是指對(duì)于一個(gè)企業(yè)具有某種價(jià)值、必須受到保護(hù)的任何一種資源、產(chǎn)品、工藝、系統(tǒng)，或者任何其他的東西。資產(chǎn)可以是物理/有形的物品，比如設(shè)備或者計(jì)算機(jī)，還可以是無(wú)形的東西，比如說(shuō)信息或者知識(shí)產(chǎn)權(quán)等。

資產(chǎn)包含了各種重要的元素或者因素，從而具有某些“價(jià)值”，值得企業(yè)花費(fèi)成本對(duì)其進(jìn)行保護(hù)。當(dāng)進(jìn)行安全風(fēng)險(xiǎn)分析時(shí)，不管是進(jìn)行定性分析（其結(jié)果是基于資產(chǎn)對(duì)于企業(yè)的具體價(jià)值而形成的主觀價(jià)值），還是進(jìn)行定量分析（其結(jié)果是基于資產(chǎn)成本而形成的價(jià)值），你都需要確定資產(chǎn)對(duì)于企業(yè)的凈價(jià)值（net value）。這個(gè)評(píng)估過(guò)程具有多種形式，由Ronald L. Krutz和Russell Dean Vines撰寫(xiě)的《CISSP Prep Guide》一書(shū)，指出了用來(lái)確定資產(chǎn)價(jià)值的三個(gè)基本要素：

◆企業(yè)購(gòu)買、許可、開(kāi)發(fā)以及支持物理或者信息資產(chǎn)的最初成本和后續(xù)成本。

◆該資產(chǎn)對(duì)于企業(yè)生產(chǎn)運(yùn)行、研發(fā)以及核心業(yè)務(wù)可行性的價(jià)值。

◆由外部市場(chǎng)確定的該資產(chǎn)價(jià)值以及知識(shí)產(chǎn)權(quán)（比如商業(yè)秘密、專利、版權(quán)等等）的評(píng)估價(jià)值?！　hon Harris在她的《CISSP All-In-One Certificate Exam Guide》一書(shū)中指出，除了上面列出的內(nèi)容以外，確定信息和資產(chǎn)的價(jià)值時(shí)還需要考慮下面的一些內(nèi)容：

◆對(duì)于競(jìng)爭(zhēng)對(duì)手來(lái)說(shuō)該資產(chǎn)的價(jià)值。

◆該資產(chǎn)丟失后的補(bǔ)償成本。

◆該資產(chǎn)丟失帶來(lái)的運(yùn)行以及生產(chǎn)成本。

◆該資產(chǎn)泄漏帶來(lái)的法律問(wèn)題?！　?/P>

這兩份參考意見(jiàn)都表明：一項(xiàng)資產(chǎn)的價(jià)值不僅僅是單純購(gòu)買該資產(chǎn)的現(xiàn)金那么簡(jiǎn)單。

真正的安全風(fēng)險(xiǎn)分析過(guò)程應(yīng)該包括以下幾個(gè)階段（這也是Shon Harris的觀點(diǎn)）：

a、確定信息和資產(chǎn)的價(jià)值?！　?/P>

b、估計(jì)潛在的風(fēng)險(xiǎn)損失?！　?/P>

c、進(jìn)行一次威脅分析?！　?/P>

d、推斷每個(gè)風(fēng)險(xiǎn)可能帶來(lái)的全部損失?！　?/P>

e、選擇補(bǔ)救措施來(lái)減少每個(gè)風(fēng)險(xiǎn)帶來(lái)的損失?！　?/P>

f、減少、確定或者接受風(fēng)險(xiǎn)。

采用了這種模型，我們來(lái)看文章開(kāi)頭那個(gè)問(wèn)題， “影響分析”這個(gè)詞的意思是怎樣計(jì)算威脅對(duì)各種資產(chǎn)帶來(lái)的金融影響。

因此，你基本上可以使用上面列出的經(jīng)典風(fēng)險(xiǎn)影響分析方法，其中包括使用曝光系數(shù)（exposure factor）、年發(fā)生率以及單一損失預(yù)期計(jì)算等。

我們已經(jīng)討論了怎樣確定資產(chǎn)的價(jià)值，現(xiàn)在我們來(lái)討論下什么是曝光系數(shù)。

曝光系數(shù)是指為了確定威脅而導(dǎo)致的資產(chǎn)損失百分比。舉個(gè)例子，如果一次颶風(fēng)襲擊了我的價(jià)值十億美元的倉(cāng)庫(kù)并引起50%的破壞，那么曝光系數(shù)就是50%。

年發(fā)生率是指人們估計(jì)的具體某個(gè)威脅在一年內(nèi)發(fā)生的可能性。繼續(xù)上面的例子，讓我們假設(shè)一年中20%的時(shí)間是颶風(fēng)季節(jié)。那么，年發(fā)生率就是20%。

下一步是計(jì)算單一預(yù)期損失。在這里，單一預(yù)期損失等于曝光系數(shù)乘以資產(chǎn)價(jià)值。那么，對(duì)于倉(cāng)庫(kù)來(lái)說(shuō)，單一預(yù)期損失為：10億美元x 0.5 =5億美元。

然后就是計(jì)算我公司每年的年預(yù)期損失（或者金融影響評(píng)估）；年預(yù)期損失=單一預(yù)期損失x年發(fā)生率。那么在這種情況下：?jiǎn)我活A(yù)期損失（5億美元）x年利率（0.2）=1億美元。這是一個(gè)龐大的數(shù)字，它可能不切合實(shí)際，只是我們舉的例子而已。然而這個(gè)數(shù)值能夠幫助安全職業(yè)人員確定預(yù)算，并在選擇風(fēng)險(xiǎn)減輕措施以減少潛在的損失時(shí)進(jìn)行成本—利潤(rùn)分析。

在這個(gè)例子中，當(dāng)你決定要花錢(qián)進(jìn)行風(fēng)險(xiǎn)減輕的時(shí)候，你可以考慮使用一億美元（單一預(yù)期損失的價(jià)值），如果你花費(fèi)超過(guò)了一億美元，那么就是在浪費(fèi)金錢(qián)。

總之，資產(chǎn)價(jià)值是整個(gè)風(fēng)險(xiǎn)影響分析過(guò)程的基礎(chǔ)部分，有助于企業(yè)了解某個(gè)具體威脅可能給企業(yè)帶來(lái)的金融影響。

【編輯推薦】

1. 基于風(fēng)險(xiǎn)的審計(jì)方法：風(fēng)險(xiǎn)評(píng)估
2. 基于風(fēng)險(xiǎn)的審計(jì)方法：模擬案例研究