2.2.2 风险分析原理

风险分析原理如图2-2所示。

风险分析中要涉及资产、威胁和脆弱性等基本要素。每个要素都有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率和动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容如下。

1）对资产进行识别，并对资产的价值进行赋值。

2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值。

3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值。

4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性。

5）根据脆弱性的严重程度及安全事件所作用于资产的价值计算安全事件的损失。

6）根据安全事件发生的可能性及安全事件的损失，计算安全事件一旦发生后对组织的影响，即风险值。 dZF2Nn4KyHNRn6B2B6I5ynOTzqaPYfukPZyBtYferqUhXXsSK3ecT5eL6tF0dU+N