影响评估
来源:http://veriscommunity.net/impact.html
关于事件更重要的信息之一是它对组织的影响。不幸的是,后果的真正范围和程度可能难以衡量,因为可能涉及大量有形和无形的成本。考虑到这一点,VERIS利用了影响的三个角度,以提供对与事件相关的后果的理解和衡量。他们一起寻求1)对经历的各种损失进行分类,2)估计它们的规模,3)对组织的总体影响进行定性评估。
一、损失分类
问题文本:这次事件造成了什么样的损失?如果知道,为每一个输入一个损失估计。
用户说明:VERIS将影响分为两大类,直接的和间接的。直接影响是指威胁行动者对组织资产采取的行动直接导致的损失(相对于其他人员(如审计员、客户、股东等)的行动造成的间接损失)。间接影响是由利益相关者(即监管者、客户、审计师、律师)对事件的反应(诚然更难以量化)所造成的损失。
问题类型:类型的枚举列表(多选);用于评级的枚举列表(单次选择);用于表示amount、min_amount和max_amount的文本字段
变量名称:impact.loss(由variety (string)、rating (string)和amount、min_amount、max_amount (number)变量组成)
impact.loss.variety
Asset and fraud: Asset and fraud-related losses,资产和欺诈相关损失
Brand damage: Brand and market damage,品牌和市场损失
Business disruption : Business disruption,业务中断
Operating costs: Increased operating costs,增加运营成本
Legal and regulatory: Legal and regulatory costs,法律和监管成本
Competitive advantage: Loss of competitive advantage,竞争优势的丧失
Response and recovery: Response and recovery costs,响应和回收成本
impact.loss.rating
Major: Major,大
Moderate: Moderate,中等
Minor: Minor,小
None: None,没有
Unknown: Unknown,未知
目的:确定事故后所经历的影响类型,并指出总损失如何在它们之间分配。
开发人员指出:N / A
杂项:诚然,如上所述,这有点令人困惑。基本上,用户应该能够选择应用的所有种类的损失,然后能够提供一个相对的评级(小的、中等的、主要的)和/或对每个选择的种类的损失的定量估计($)。此外,我们允许为每个种类的损失估计指定一个三角形分布(期望、最小、最大)。所有这些都是可选的,所以你可以随心所欲地使用或记录。
二、损失估计
问题文本:估计的总损失归因于(或预期)这一事件。
用户注:在提供估算时,要考虑上述所确定的所有损失种类。
问题类型:文本字段
变量名:impact.overall_amount(数值)、impact.overall_min_amount(数值)、impact.overall_max_amount(数值)
目的:量化事件的影响(甚至使用广泛的估计)是一个有用的练习,原因有很多。它允许与其他事件进行直接比较,并有助于将与安全相关的损失与其他类型的风险联系起来。此外,由于影响是风险的一个重要组成部分,跟踪损失对推动风险评估和修复工作非常重要。它还提供了一些关于安全程序中支出和损失的有趣指标。
开发人员指出:N / A
杂项:我们允许在估计总损失时指定三角形分布(期望、最小值、最大值)。鼓励那些希望启用更高级的分析和建模的人收集这三个值,而不是单点估计。
三、估计货币
问题文本:选择货币为该事件提供的损失估计。
用户注:在提供估算时,要考虑上述所确定的所有损失种类。
问题类型:枚举列表(单次选择)
变量名:impact.iso_currency_code(字符串)
目的:允许对使用不同货币的估计进行标准化。
开发者注意:根据你的情况,预置和默认货币比每次提示用户更有意义。我们建议让用户尽可能容易地定位和选择适当的货币代码(例如,选择列表)。
杂项:N / A
四、影响评级
问题文本:你如何评价这一事件对组织的整体影响?
用户说明:在评估影响时,考虑“影响分类”问题下列出的所有损失种类。
问题类型:枚举列表(多选)
变量名:impact.overall_rating(字符串)
Insignificant: Insignificant: Impact absorbed by normal activities,影响被正常活动所吸收
Distracting: Distracting: Limited “hard costs”, but impact felt through having to deal with the incident rather than conducting normal duties,虽然“硬成本”有限,但由于不得不处理这一事件,而不是履行正常职责,影响就显现出来了
Painful: Painful: Limited “hard costs”, but impact felt through having to deal with the incident rather than conducting normal duties,虽然“硬成本”有限,但由于不得不处理这一事件,而不是履行正常职责,影响就显现出来了
Damaging: Damaging: Real and serious effect on the “bottom line” and/or long-term ability to generate revenue,对“底线”和/或长期创收能力产生真实和严重的影响
Catastrophic: Catastrophic: A business-ending event (don't choose this if the victim will continue operations),终止业务的事件(如果受害者还会继续经营,不要选择这样)
Unknown: Unknown
目的:说明事件对组织的相对影响。该量表是围绕受伤的概念构建的,目的是帮助回答一个简单但重要的问题:“受伤有多严重?”
开发者注意:即使枚举文件只包含评级级别(例如,“破坏性”),我们建议在用户界面中包含完整的定义,以帮助用户对评级进行通用解释。
杂项:N / A
五、注释
问题文本:输入任何你认为值得注意的关于该事件影响的其他细节。
用户注:在提供估算时,要考虑上述所确定的所有损失种类。
问题类型:文本字段
变量名:impact.notes(字符串)
用途:一应俱全
开发人员指出:N / A
杂项:N / A