6信息资产风险的计算和风险等级的确定

　　在完成资产识别、威胁识别、脆弱性识别后，将采用适当的计算方法来计算信息资产的风险值。目前通用的风险评估中风险值计算主要根据以下的风险分析原则执行(如图3所示)，由威胁和脆弱性来确定安全事件发生的可能性，由资产和脆弱性确定安全事件的损失，最后由安全事件发生的可能性和安全事件的损失确定风险值。在GB／T20984—2007中，提到了矩阵法和相乘法。

　　文中，对资产、威胁和脆弱性进行评估时都进行了五级划分的形式，资产的相对估值为：O A≤5；威胁的相对估值为：O T 5；脆弱性的相对估值为：OGVG5；风险值的计算公式为：R—A×TXV，资产的风险值为：0<一R 125。

和资产、威胁和脆弱性的等级对应，信捷职称论文写作发表网，对威胁也进行五级划分，等级划分如表2所示。

根据资产所面临的风险等级，参照信息安全等级的基本要求对其进行等级保护。

　　7结语

　　在对受评单位业务进行分析调研的基础上，本文提出了基于业务的信息资产识别方法。在该方法中，不论是在信息资产赋值方面，还是脆弱性分析和威胁分析以及最终的风险计算方面处处体现了等级保护的思想。该方法能够很好的了解信息系统的风险状况和安全等级，为开展等级保护提供依据，在实际的等级保护中取得了令人满意的结果。