3) PA02评估影响
评估影响的目的是识别对该系统有关的影响,并对发生影响的可能性进行评估。评估影响要遵循成本和效益的平衡的原则。另外必须考虑意外事件发生的频度。特别重要的是,即使每一次影响引起的损失并不大,但长期积累的众多意外事件的影响总和则可造成严重损失。对影响的评估是评估风险和选择安全措施的要素。
由于影响要经历变化,必须定期进行监视。 本过程区域基本实施有6项:
◇BP.02.0l对运行、业务或任务指令进行识别、分析和优先级排列
◇BP.02.02识别系统资产
◇BP.02.03选择用于评估影响的度量标准
◇BP.02.04标识度量标准以及(若需要)度量标准转换因子之间的关系
◇BP.02.05识别影响
◇BP02.06监控影响中发生的变化
在BP.02.01项中,对运行、业务或任务指令进行识别、分析和优先级排列,也需要考虑对业务战略的影响,因为这些因素会增加和降低组织可能遭受的影响。同时,它们也可能会影响在其它基本实施和过程区域中对风险的顺序。因此,当在测试潜在影响时要对这些影响因素加以考虑和分解。例如,在对资产价值进行评估时,资产的价值不能仅根据自身的价袼来进行评判,对于具有相同价格的路由器,处在骨干路由关键节点位置和处在局域网内部的某个位置,它们的价值是不同的,这里就加人了路由器所处位置对业务影响的因素。一般的,价值可以跟运行意义、密级、敏感性或与系统利用和计划运行有关。有些资产是无形的或隐含的,它可根据合适的安全需求进行定义。如资产可定义为用户清单的保密性、协作办公通信的可用性或资费信息的完整性。对它们价值的评估可以理解为对系统运行、人类生活、运行费用以及其它因素的影响,或在运行环境中可控功能受到损害、修改或不可用。
在BP.02.03项中,许多度量标准可用来测量事件的影响。例如:预算财务成本;依靠专家经验划分严重程度等级,如从1到10;从预定义清单中有选择地使用形容词,例如低、 中、高等。针对不同的系统,需要预先确定哪种度量标准适合于此系统。
在BP.02.04项中,需要注意的是,不同度量标准之间的关系需要建立起来,以保证在整个影响评估中对所有风险均保持一致性方法。在某些情况下,需要把各种度量标准方法组合起来,产生单一的统一结果。举例说,若某风险是陨石推毁一栋房屋,那么潜在的影响便是要花费800000元重建这栋房屋。另一种影响可能是6个月后再重建房屋。如果每月预算2000 元的租房费用,那么这两种影响可以组合起来。其总影响便是812000元。