信息安全除了要进行风险评估操作,还需对风险因素进行风险衡量,通过分析了解该风险因素是否关键。目前,对于风险衡量的方法有多种,包括层次分析法、Delphi技术法、风险暴露计算模型、沃尔评分法以及风险价值法等等。以下着重对常用的风险衡量方法进行描述。
(1)风险层次分析法:主要是对和决策相关的元素釆取层次分解的方法,是一种权重决策的分析法。通过分解层次再对其进行定量和定性分析的决策方法。该方法对处理复杂的决策问题十分有效,适合解决难以直接准确计算决策结果的问题。但是该方法过程的比较和结果的计算都比较粗糙,不使用与处理精度高的问题。
(2)Delphi技术法:该法主要是借鉴信息安全风险衡量专家的想法和意见,采用匿名的方式向研究信息安全风险的学者和专家征询相关的意见,然后对这些意见通过汇总、处理、分析以及归纳,客观的综合这些经验来处理难以用技术方法进行定量分折的原因,并对其作出合理的评估计算。该法比较简单,但是由于是借鉴多位专家学者的经验,具有一定的主观意识,因此对结果估算的值有偏差。且该法需要花费很长时间、浪费人力物力。
(3)风险暴露计算模型:传统的风险暴露计算模型如下图所示。
| 风险类别 | 风险因素 | 得分 |
| 企业成长 | 绩效压力 | 1-5 |
| 企业扩展速度 | 1-5 | |
| 无经验的员工 | 1-5 | |
| 企业文化 | 因承担创新风险所产生的报酬 | 1-5 |
| 高层主管对坏消息的抗拒 | 1-5 | |
| 企业内部竞争程度 | 1-5 | |
| 企业信息管理 | 交易的复染性与变化速度 | 1-5 |
| 绩效衡量诊断的缺失 | 1-5 | |
| 企业决策权的分散积度 | 1-5 | |
合计:分 | ||
说明:9-20分 安全区;21-34分 警告;35一45分 危险区 | ||
该法的提出是针对企业内部风险的问题设计出的评估机制。该风险暴露计算模型主要是将风险划分成三类,分别为企业成长、企业文化以及企业信息管理类别。其中,每个类别对应三个五分的因素,将三个类别的风险因素衡量的分数进行总计,然后针对这些分数的情况对企业的风险进行分析衡量,得分越高表示风险越大。该方法在企业问题的综合评价方面应用广泛,但是要求对风险的认识要深入且能掌握风险的影响范围。
