2013年11月15日 星期五

CISSP領域重要名詞釋疑 - Risk Analysis Matrix (風險分析矩陣)


風險分析矩陣使用了一個象限表示當風險發生的可能性與導致影響的後果嚴重程度。在澳洲與紐西的4360風險管理標準上描述了風險管理矩陣(詳細情況請參照網址: http://www.standards.org.au/cat.asp?catid=50&contentid=54&News=1)。

風險管理矩陣同意你執行象限風險分析,基於可能性與所導致的後果,從微乎其微(insignificant)災難性變故(catastrophic)


嚴重性
Consequences (影響程度)
發生率

Insignificant
1
Minor
2
Moderate
3
Major
4
Catastrophic
5
Likelihood ()
5. Almost
Certain
H
H
E
E
E
4. Likely
M
H
H
E
E
3. Possible
L
M
H
E
E
2. Unlikely
L
L
M
H
E
1. Rare
L
L
M
H
H

結果分數有低Low (L)、中Medium (M)、高 High (H) 和極高風險 Extreme Risk (E)

低風險可以控制在一般作業中,中度風險要求管理發出通報,高程度的風險要求主管等級通報、而極高風險要求立即性行動包含詳細的緩解方案(同時也向主管報告)。

矩陣的目標在於定義高影響發生可能與高影響層面的風險(表格的右上方區塊),並且將它們降至低發生率與低影響層面為目標(表格的右下方區塊)。