問：在安全風險分析過程中，“資產估價（asset valuation）”與“影響分析（impact analysis）”之間的區(qū)別是什么？

答：“資產”是指對于一個企業(yè)具有某種價值、必須受到保護的任何一種資源、產品、工藝、系統(tǒng)，或者任何其他的東西。資產可以是物理/有形的物品，比如設備或者計算機，還可以是無形的東西，比如說信息或者知識產權等。

資產包含了各種重要的元素或者因素，從而具有某些“價值”，值得企業(yè)花費成本對其進行保護。當進行安全風險分析時，不管是進行定性分析（其結果是基于資產對于企業(yè)的具體價值而形成的主觀價值），還是進行定量分析（其結果是基于資產成本而形成的價值），你都需要確定資產對于企業(yè)的凈價值（net value）。這個評估過程具有多種形式，由Ronald L. Krutz和Russell Dean Vines撰寫的《CISSP Prep Guide》一書，指出了用來確定資產價值的三個基本要素：

◆企業(yè)購買、許可、開發(fā)以及支持物理或者信息資產的最初成本和后續(xù)成本。

◆該資產對于企業(yè)生產運行、研發(fā)以及核心業(yè)務可行性的價值。

◆由外部市場確定的該資產價值以及知識產權（比如商業(yè)秘密、專利、版權等等）的評估價值。Shon Harris在她的《CISSP All-In-One Certificate Exam Guide》一書中指出，除了上面列出的內容以外，確定信息和資產的價值時還需要考慮下面的一些內容：

◆對于競爭對手來說該資產的價值。

◆該資產丟失后的補償成本。

◆該資產丟失帶來的運行以及生產成本。

◆該資產泄漏帶來的法律問題。

這兩份參考意見都表明：一項資產的價值不僅僅是單純購買該資產的現(xiàn)金那么簡單。

真正的安全風險分析過程應該包括以下幾個階段（這也是Shon Harris的觀點）：

a、確定信息和資產的價值。

b、估計潛在的風險損失。

c、進行一次威脅分析。

d、推斷每個風險可能帶來的全部損失。

e、選擇補救措施來減少每個風險帶來的損失。

f、減少、確定或者接受風險。

采用了這種模型，我們來看文章開頭那個問題， “影響分析”這個詞的意思是怎樣計算威脅對各種資產帶來的金融影響。

因此，你基本上可以使用上面列出的經典風險影響分析方法，其中包括使用曝光系數(shù)（exposure factor）、年發(fā)生率以及單一損失預期計算等。

我們已經討論了怎樣確定資產的價值，現(xiàn)在我們來討論下什么是曝光系數(shù)。

曝光系數(shù)是指為了確定威脅而導致的資產損失百分比。舉個例子，如果一次颶風襲擊了我的價值十億美元的倉庫并引起50%的破壞，那么曝光系數(shù)就是50%。

年發(fā)生率是指人們估計的具體某個威脅在一年內發(fā)生的可能性。繼續(xù)上面的例子，讓我們假設一年中20%的時間是颶風季節(jié)。那么，年發(fā)生率就是20%。

下一步是計算單一預期損失。在這里，單一預期損失等于曝光系數(shù)乘以資產價值。那么，對于倉庫來說，單一預期損失為：10億美元x 0.5 =5億美元。

然后就是計算我公司每年的年預期損失（或者金融影響評估）；年預期損失=單一預期損失x年發(fā)生率。那么在這種情況下：單一預期損失（5億美元）x年利率（0.2）=1億美元。這是一個龐大的數(shù)字，它可能不切合實際，只是我們舉的例子而已。然而這個數(shù)值能夠幫助安全職業(yè)人員確定預算，并在選擇風險減輕措施以減少潛在的損失時進行成本—利潤分析。

在這個例子中，當你決定要花錢進行風險減輕的時候，你可以考慮使用一億美元（單一預期損失的價值），如果你花費超過了一億美元，那么就是在浪費金錢。

總之，資產價值是整個風險影響分析過程的基礎部分，有助于企業(yè)了解某個具體威脅可能給企業(yè)帶來的金融影響。