为了有效分配资源并实现成本有效性较好的安全措施,在确定所有可能的安全措施并对其可行性和有效性进行评估后,应对每一个建议的措施进行成本效益分析,以判断哪些措施是必需的且适合于用户的环境。
成本效益分析可以是定性或者定量的,其目的是说明安全措施的实现成本相对于风险级的降低来说是合理的。
对所建议的安全措施进行成本效益分析时,可包括以下内容:
1)判断由于实现安全措施而带来的影响。
2)判断由于没实现安全措施而带来的影响。
3)对实现安全措施的成本进行估计。包括但不限于:
①购买硬件和软件的成本。
②如果因为安全措施而导致系统性能或功能下降,所降低的运行效率是多少。
③制定并实施安全策略和流程的成本。
④新增工作人员来实现安全策略、流程或服务的成本。(https://www.xing528.com)
⑤培训成本。
⑥维护成本。
⑦针对资产价值而对实现成本和可能产生的效益进行评估,以判断在给定的成本和相应的影响下,新的安全措施对单位的必要性和重要性。
银行的管理层必须判断哪些才是可接受的风险。当一个单位确定可接受的风险范围后,才可能去评估安全措施的影响,包括实现和不实现安全措施带来的影响。这一风险范围因不同的单位而有所不同;然而,判断是否使用新的安全措施时可利用下列规则:
①如果安全措施对风险的降低效果比预期的要求还要好,则应考虑是否有更廉价的替代方案。
②如果安全措施的成本超过它所能降低的风险,则应寻找其他方法。
③如果安全措施没有降低风险,则寻求更多的安全措施或另外一种不同的安全措施。
④如果安全措施能够降低风险并且成本有效性比较好,则选用它。
一般而言,实现一项安全措施的成本比不实现一项安全措施的成本更容易确定。因此,高级管理层在判断是否要实现安全措施时扮演着关键的角色。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
