FAIR(信息风险因子分析)
FAIR(信息风险因子分析) 是什么?
FAIR(信息风险因子分析)一项开放的国际标准,通过将风险分解为损失事件频率与损失量级等因子,在财务维度上量化信息风险与网络风险。
FAIR 由 FAIR Institute 维护并经 The Open Group(O-RA、O-RT)标准化,是最被广泛采用的网络风险量化模型。它将风险分解为损失事件频率(威胁事件频率 × 脆弱性)与损失量级(主要损失和次级损失),并通过经过校准的范围估计若干子因子。FAIR-U 等工具及商业平台通常以蒙特卡洛模拟生成损失分布,包括 ALE 和损失超越曲线。FAIR 被广泛用于安全投资排序、董事会与监管沟通、风险偏好设定以及网络保险核保,与 ISO 31000、NIST RMF 及 ERM 框架互为补充。
● 示例
- 01
用 FAIR 分析 BEC(商业邮件欺诈)以支持高级邮件安全投资。
- 02
为审计委员会编制基于 FAIR 的季度头部风险报告。
● 常见问题
FAIR(信息风险因子分析) 是什么?
一项开放的国际标准,通过将风险分解为损失事件频率与损失量级等因子,在财务维度上量化信息风险与网络风险。 它属于网络安全的 合规与框架 分类。
FAIR(信息风险因子分析) 是什么意思?
一项开放的国际标准,通过将风险分解为损失事件频率与损失量级等因子,在财务维度上量化信息风险与网络风险。
FAIR(信息风险因子分析) 是如何工作的?
FAIR 由 FAIR Institute 维护并经 The Open Group(O-RA、O-RT)标准化,是最被广泛采用的网络风险量化模型。它将风险分解为损失事件频率(威胁事件频率 × 脆弱性)与损失量级(主要损失和次级损失),并通过经过校准的范围估计若干子因子。FAIR-U 等工具及商业平台通常以蒙特卡洛模拟生成损失分布,包括 ALE 和损失超越曲线。FAIR 被广泛用于安全投资排序、董事会与监管沟通、风险偏好设定以及网络保险核保,与 ISO 31000、NIST RMF 及 ERM 框架互为补充。
如何防御 FAIR(信息风险因子分析)?
针对 FAIR(信息风险因子分析) 的防御通常结合技术控制与运营实践,详见上方完整定义。
FAIR(信息风险因子分析) 还有哪些其他名称?
常见的别称包括: FAIR, FAIR 分析。
● 相关术语
- compliance№ 889
定量风险分析
用数字表达发生可能性与影响的风险分析方法,通常以概率和货币损失分布来支撑数据驱动的决策。
- compliance№ 705
蒙特卡洛风险模拟
通过从输入概率分布中抽取上千次随机场景来估计风险的计算方法,生成可能结果的概率分布。
- compliance№ 935
风险评估
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 733
NIST 风险管理框架
NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。
● 参见
- № 888定性风险分析