下面以数据中心机房场地风险评估为示例,说明风险评估过程。本示例所用分析方法主要参考了《GB/T 27921—2011风险管理 风险评估技术》《GB/T 20984—2007信息安全技术 信息安全风险评估规范》,所用信息只为说明风险评估过程,并非实际数据。
示例:某机构数据中心机房大厦位于某城市中央商务区域内,大厦入口的道路狭窄。机房在大厦二层,位于A座楼和B座楼连接的位置。大厦一层有多家餐馆、超市和快印公司。大厦设计为8级抗震,一级防火,楼层承重为500kgf/m2。机房下承重梁已做加固处理,但时间较久远。机房面积约为1000m2,分为服务器区、网络区和存储区,另外还设有UPS间、集中监控室和值班室。大厦市电为两路,但均来自同一变电站。机房配电系统为双路设计,但配电柜没有明显标识,且未上锁,运维人员没有相关培训。机房配有两组UPS电源,满载可持续供电1h。机房另配有燃油发电机,燃油充足,维护良好。机房中设置精密空调系统、火灾自动报警系统和气体灭火系统、机房基础设施集中监控系统,均满足设计要求,但机房内中未设消防广播。机房内存放着支撑该机构主要业务运作的集中式管理的IT系统。
1.风险识别
风险识别是对调研数据的初步分析。风险识别工作包括:
(1)资产识别 该机房场地的资产类别包括:机房园区基础设施、机房土木建筑及装修、供配电系统、消防系统、空调系统、监控系统等。
(2)威胁、脆弱性以及现有防控措施识别 该机房场地的威胁类别包括:地震、暴雨、泥石流、台风等自然灾害;强弱电管线、设备等方面的故障;人为故意和非故意的因素。
该机房场地的脆弱性主要从场地环境、机房防火、机房供配电、机房设备管理等方面进行识别。按照示例所给信息,其风险识别表格见表5-4。
表5-4 风险识别表格
2.风险分析
目前机房场地风险信息一般难以量化精准获取,尤其是没有大量历史事件作为概率统计基础,风险分析多采用定性或定性与定量结合的方法,以下为两种方法的说明。
(1)定性分析
1)风险要素等级定义(见表5-5)。
表5-5 风险要素等级定义
2)风险矩阵(见表5-6)。
表5-6 风险矩阵
3)风险要素赋值与计算。风险要素在赋值前,需要将目前的防护措施也考虑在内(见表5-7)。
表5-7 风险要素赋值与计算
(2)定性与定量相结合
1)风险要素等级定义(见表5-8)。
表5-8 风险要素等级定义
2)风险矩阵。
①可能性等级矩阵(可能性=威胁∗脆弱性,L=T∗V)见表5-9。
表5-9 风险可能性等级矩阵(www.xing528.com)
风险可能性等级定义见表5-10。
表5-10 风险可能性等级定义
②风险后果等级矩阵(后果=资产价值∗脆弱性,C=A∗V)见表5-11。
表5-11 风险后果等级矩阵
风险后果等级定义见表5-12。
表5-12 风险后果等级定义
③风险等级矩阵(风险等级=后果∗可能性,R=C∗L)见表5-13。
表5-13 风险等级矩阵
风险等级定义见表5-14。
表5-14 风险等级定义
3)风险要素赋值与计算
①风险可能性(见表5-15)。
表5-15 风险可能性
②风险后果(见表5-16)。
表5-16 风险后果
③风险等级(见表5-17)。
表5-17 风险等级
通过以上示例可以看到,上述两种分析方法各有优缺点。定性分析简单高效,风险判定较为粗糙;而定性的问题转为定量分析,则风险判定更为细致。但无论哪种方法,其结果的科学性更多来自于风险评估人员的专业素养。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
