两项工具是作者自行开发,全球独一无二的方法论。
风险水平重大性理论
在得到每项资产风险值之后,由于风险值有高有低,在成本与效益考虑下,企业必须决定可接受风险水平,并针对风险值高于此风险水平的资产项目设计适当控制措施,所以可接受风险水平的决定在建立信息安全体系中扮演相当生要角色,然而目前在信息安全领域,不论是学术界或实务界都未能针对如何决定可接受风险水平提出合理的观念或方法,为此作者藉用会计原则中对于会计确认的门槛,与或有事项会计处理以及东方学派的财会计理论,构思出全球独一无二的“风险水平重大性理论”,并以数学推论方式强化立论基础,作为企业决定名项资产控制方式的依据。
1 资产安全事件对企业造成损失的决定方式
信息安全体系目的在于防范资产安全事件对企业造成的损失,所以对于会造成愈大损失的资产或事件,愈要加强控管,依据BS7799国际标准于会造成愈大损失的资产或事件,愈要加强控管,依据BS7799国际标准的看法,资产价值愈高者,遭受破坏时对企业造成的损失愈大,而资产价值之高低主要由资产的机密性、真确性、可用性决定,另一方面,BS7799认为资产本身的弱点,在面对的威胁愈大时,造成损失的可能性愈高,故资产安全事伯对企业造成损害的期望值,是由资产的机密性,完整性,可用性,弱点及威胁这五项因素所组成。
2 一般公认会计原则
信息安全事件对企业造成损失的期望值的会计处理,可以从两个角度来看,一个是或有事项的处理,一个是会计确认的重大性:
---或有事项(Contingencies)
所谓或有事项,是指未来某件事的发生,可能为企业带来利得或损失,也就是具有不确定性,针对或有损失部分,会计处理主要视损失可能性以及能否合理估计而定,只有当或有损失很可能发生,且金额能合理估计时,才给、予以估计入账,或是在财务报表上附注揭露。
从信息安全事件的角度来看,资产价值愈高,表示与企业的获利或损失的关联性愈强,造成的损失金额也愈能合理估计,例如就提供电信及网络服务的宽带业者而言,收入来源为客户使用其服务的次数与时间,因而网络联机的价值最高的信息资产,如果此项资产遭到破坏,导致网络联机的中断,可以依据宽带业者过去的营运数据,从中断长短来合理估算损失金额。
其次,信息安全事件发生概率,主要由信息资产本身的弱点与面对的威胁决定,因而弱点与威胁愈大者,损失的可能性就愈高。
--- 会计确认的重大性门槛(Materiality)
就会计信息而言所谓重大性是指当一项会计信息被遗漏或错误表达时,可能使依赖该信息的人所做的判断受到影响或改变。换言之,只要该信息会影响到投资人决策,即为重大信息而应予表达,通常如果属于不寻常、不适当,或属于导致未来情况改变的预兆,皆为重要事项,从信息安全角度来看,如果企业缺乏适当控制措施来预防资产安全事件造成的损害,代表企业经营环境风险比较高,如此将会降低投资人对其股票价值的评价,因而资产安全事件可能造成的损害就应予揭露,而且从内部控制角度来看,也就予适当的控制。
前而已说明,信息资产遭破坏对企业造成损失的高低,是由资产的机密性、真确性、可用性决定,而破坏发生的概率,则是由资产本身的弱点,与面对的威胁决定,因而从重大性角度来看,资产安全事件对企业造成损失的重大性,可以用资产价值的重大性以及弱点与威胁的重大性代表。
3 信息资产风险重大性的决定
在引进会计原则后,信息资产风险重大性可拆成三个部分来决定:
---第一部分是信息资产的机密性、完整性、可用性、弱点、与威胁五个项目权值的决定。此部分是使用作者设计的“信息资产价值评估表Informa
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html