2013年11月12日 星期二

CISSP領域重要名詞釋疑 - Impact(嚴重性變數)


Impact
風險 = 威脅 × 漏洞 有些時候我們會加入叫做Impact的變數:風險 = 威脅 × 漏洞 × 嚴重程度,Impact表示損害的嚴重程度,有些時候我們會以美元表示。
風險 = 威脅 × 漏洞 × 成本(花費),因此我們也常用此公式。
影響的嚴重程度通常等於後果。

讓我們將嚴重性(Impact)用在上述的波士頓建築地震範例中。一間公司有兩棟相同的建築物在辦公區域中,且建築物幾乎相同。有一棟建築物中有著全滿的人們和設備,而另一間則是空蕩蕩的房間(等待成長)。以我們之前的算法為兩者都是8的風險,加入嚴重性變數後:

空的建築物風險:2 × 4 × 2 = 16
滿員的建築物風險:2 × 4 × 5 = 40

Exam Warning
在考試當中損失人命有著幾乎無限的嚴重性。當使用 “風險 = 威脅 × 漏洞 × 嚴重程度” 公式時,任何會造成人命損失的災害都應該給與超標的嚴重性,很多時候他們被低估了。

沒有留言: