R=g (P, I)〖JY〗(3-2)?

    3.3信息安全风险评价实施流程?

    信息安全风险评价的实施流程包括五个步骤，如下图所示：?

 

    在实施的过程中，首先对风险进行识别，明确描述出系统所面临的威胁。 在此过程中，需要制定一个使信息系统遭受攻击的潜在威胁列表，运用到的方法有故障树分析法、层次分解法、聚类分析法等。其次，根据被评估信息系统的实际情况确定安全风险的后果属性，并对后果属性的权重赋值。对于风险可能造成的后果，不同的信息系统侧重点不同，如有的被评估方可能重视收入的损失，而有的被评估方可能更注重关键操作能否正常进行。因此要充分考虑不同后果属性的权重。其三，对每种威胁发生的可能性和可能造成的后果值进行分析。第四，运用多属性决策原理，将风险概率、风险后果属性值、后果属性权重结合起来，得到各个风险的威胁指数。把风险发生概率和风险损失后果这两个因素综合考虑，用某一指标表示其大小，如期望值、标准差、风险度等。最后，根据历史数据、实际情况进行确定，人为经验带有的主观性通过灵敏度分析，可以得到主观判断误差对最终结果的影响程度，由此得到结果的稳定性和可靠性