定性风险分析
定性风险分析 是什么?
定性风险分析采用低/中/高或 1-5 等描述性等级来评估发生可能性与影响,而不使用货币或概率数值的风险分析方法。
定性风险分析是网络与信息风险项目中最常见的方法,因为它快速、直观、便于沟通。从业者使用顺序等级评估可能性与影响,将风险绘制在热力图上,并与业务负责人讨论。它非常适合用于新兴风险、小型组织或数据有限时的初步分类。其代价是主观性:评分依赖专家判断,不同团队之间可能不一致。成熟的项目会用明确标准(财务损失档位、客户影响、监管后果)来锚定等级,并在头部风险上结合定量分析。
● 示例
- 01
安全委员会使用的 5x5 可能性-影响热力图。
- 02
在季度指导委员会上对项目进行的定性分析。
● 常见问题
定性风险分析 是什么?
采用低/中/高或 1-5 等描述性等级来评估发生可能性与影响,而不使用货币或概率数值的风险分析方法。 它属于网络安全的 合规与框架 分类。
定性风险分析 是什么意思?
采用低/中/高或 1-5 等描述性等级来评估发生可能性与影响,而不使用货币或概率数值的风险分析方法。
定性风险分析 是如何工作的?
定性风险分析是网络与信息风险项目中最常见的方法,因为它快速、直观、便于沟通。从业者使用顺序等级评估可能性与影响,将风险绘制在热力图上,并与业务负责人讨论。它非常适合用于新兴风险、小型组织或数据有限时的初步分类。其代价是主观性:评分依赖专家判断,不同团队之间可能不一致。成熟的项目会用明确标准(财务损失档位、客户影响、监管后果)来锚定等级,并在头部风险上结合定量分析。
如何防御 定性风险分析?
针对 定性风险分析 的防御通常结合技术控制与运营实践,详见上方完整定义。
定性风险分析 还有哪些其他名称?
常见的别称包括: 风险热力图, 定性风险评估。
● 相关术语
- compliance№ 889
定量风险分析
用数字表达发生可能性与影响的风险分析方法,通常以概率和货币损失分布来支撑数据驱动的决策。
- compliance№ 935
风险评估
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 402
FAIR(信息风险因子分析)
一项开放的国际标准,通过将风险分解为损失事件频率与损失量级等因子,在财务维度上量化信息风险与网络风险。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。