兩項(xiàng)工具是作者自行開發(fā)�,全球獨(dú)一無二的方法論���。
風(fēng)險(xiǎn)水平重大性理論
在得到每項(xiàng)資產(chǎn)風(fēng)險(xiǎn)值之后�����,由于風(fēng)險(xiǎn)值有高有低�,在成本與效益考慮下���,企業(yè)必須決定可接受風(fēng)險(xiǎn)水平����,并針對(duì)風(fēng)險(xiǎn)值高于此風(fēng)險(xiǎn)水平的資產(chǎn)項(xiàng)目設(shè)計(jì)適當(dāng)控制措施�,所以可接受風(fēng)險(xiǎn)水平的決定在建立信息安全體系中扮演相當(dāng)生要角色,然而目前在信息安全領(lǐng)域����,不論是學(xué)術(shù)界或?qū)崉?wù)界都未能針對(duì)如何決定可接受風(fēng)險(xiǎn)水平提出合理的觀念或方法,為此作者藉用會(huì)計(jì)原則中對(duì)于會(huì)計(jì)確認(rèn)的門檻��,與或有事項(xiàng)會(huì)計(jì)處理以及東方學(xué)派的財(cái)會(huì)計(jì)理論��,構(gòu)思出全球獨(dú)一無二的“風(fēng)險(xiǎn)水平重大性理論”�,并以數(shù)學(xué)推論方式強(qiáng)化立論基礎(chǔ),作為企業(yè)決定名項(xiàng)資產(chǎn)控制方式的依據(jù)��。
1 資產(chǎn)安全事件對(duì)企業(yè)造成損失的決定方式
信息安全體系目的在于防范資產(chǎn)安全事件對(duì)企業(yè)造成的損失��,所以對(duì)于會(huì)造成愈大損失的資產(chǎn)或事件��,愈要加強(qiáng)控管��,依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)于會(huì)造成愈大損失的資產(chǎn)或事件����,愈要加強(qiáng)控管���,依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)的看法,資產(chǎn)價(jià)值愈高者����,遭受破壞時(shí)對(duì)企業(yè)造成的損失愈大,而資產(chǎn)價(jià)值之高低主要由資產(chǎn)的機(jī)密性���、真確性�、可用性決定��,另一方面�,BS7799認(rèn)為資產(chǎn)本身的弱點(diǎn),在面對(duì)的威脅愈大時(shí)���,造成損失的可能性愈高����,故資產(chǎn)安全事伯對(duì)企業(yè)造成損害的期望值��,是由資產(chǎn)的機(jī)密性�����,完整性,可用性�,弱點(diǎn)及威脅這五項(xiàng)因素所組成�。
2 一般公認(rèn)會(huì)計(jì)原則
信息安全事件對(duì)企業(yè)造成損失的期望值的會(huì)計(jì)處理,可以從兩個(gè)角度來看�����,一個(gè)是或有事項(xiàng)的處理�����,一個(gè)是會(huì)計(jì)確認(rèn)的重大性:
---或有事項(xiàng)(Contingencies)
所謂或有事項(xiàng)��,是指未來某件事的發(fā)生�,可能為企業(yè)帶來利得或損失,也就是具有不確定性��,針對(duì)或有損失部分��,會(huì)計(jì)處理主要視損失可能性以及能否合理估計(jì)而定����,只有當(dāng)或有損失很可能發(fā)生��,且金額能合理估計(jì)時(shí)���,才給、予以估計(jì)入賬�,或是在財(cái)務(wù)報(bào)表上附注揭露。
從信息安全事件的角度來看����,資產(chǎn)價(jià)值愈高,表示與企業(yè)的獲利或損失的關(guān)聯(lián)性愈強(qiáng)���,造成的損失金額也愈能合理估計(jì)���,例如就提供電信及網(wǎng)絡(luò)服務(wù)的寬帶業(yè)者而言,收入來源為客戶使用其服務(wù)的次數(shù)與時(shí)間�����,因而網(wǎng)絡(luò)聯(lián)機(jī)的價(jià)值最高的信息資產(chǎn)����,如果此項(xiàng)資產(chǎn)遭到破壞,導(dǎo)致網(wǎng)絡(luò)聯(lián)機(jī)的中斷,可以依據(jù)寬帶業(yè)者過去的營(yíng)運(yùn)數(shù)據(jù)�,從中斷長(zhǎng)短來合理估算損失金額。
其次�,信息安全事件發(fā)生概率,主要由信息資產(chǎn)本身的弱點(diǎn)與面對(duì)的威脅決定�����,因而弱點(diǎn)與威脅愈大者�����,損失的可能性就愈高�����。
--- 會(huì)計(jì)確認(rèn)的重大性門檻(Materiality)
就會(huì)計(jì)信息而言所謂重大性是指當(dāng)一項(xiàng)會(huì)計(jì)信息被遺漏或錯(cuò)誤表達(dá)時(shí)����,可能使依賴該信息的人所做的判斷受到影響或改變����。換言之,只要該信息會(huì)影響到投資人決策��,即為重大信息而應(yīng)予表達(dá)����,通常如果屬于不尋常��、不適當(dāng)�,或?qū)儆趯?dǎo)致未來情況改變的預(yù)兆�����,皆為重要事項(xiàng)����,從信息安全角度來看,如果企業(yè)缺乏適當(dāng)控制措施來預(yù)防資產(chǎn)安全事件造成的損害�,代表企業(yè)經(jīng)營(yíng)環(huán)境風(fēng)險(xiǎn)比較高,如此將會(huì)降低投資人對(duì)其股票價(jià)值的評(píng)價(jià)�,因而資產(chǎn)安全事件可能造成的損害就應(yīng)予揭露,而且從內(nèi)部控制角度來看�,也就予適當(dāng)?shù)目刂啤?BR>
前而已說明,信息資產(chǎn)遭破壞對(duì)企業(yè)造成損失的高低��,是由資產(chǎn)的機(jī)密性���、真確性�����、可用性決定�,而破壞發(fā)生的概率,則是由資產(chǎn)本身的弱點(diǎn)����,與面對(duì)的威脅決定,因而從重大性角度來看��,資產(chǎn)安全事件對(duì)企業(yè)造成損失的重大性���,可以用資產(chǎn)價(jià)值的重大性以及弱點(diǎn)與威脅的重大性代表。
3 信息資產(chǎn)風(fēng)險(xiǎn)重大性的決定
在引進(jìn)會(huì)計(jì)原則后�����,信息資產(chǎn)風(fēng)險(xiǎn)重大性可拆成三個(gè)部分來決定:
---第一部分是信息資產(chǎn)的機(jī)密性��、完整性����、可用性、弱點(diǎn)�����、與威脅五個(gè)項(xiàng)目權(quán)值的決定。此部分是使用作者設(shè)計(jì)的“信息資產(chǎn)價(jià)值評(píng)估表Informa
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦�����!快來測(cè)測(cè)你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
