影响级别是威胁一次成功的利用脆弱性后对组织造成的不期望的后果或损失的相对等级。
无论用什么样的表达来定义影响级别,都应该从保密性、完整性和可用性三个方面来考虑。不同的安全事件发生在不同的资产上显然其影响是不同的,因此在估算影响级别时一定要考虑资产的重要性。
在分析影响的大小时,主要考虑:1)对应资产的重要程度;2)威胁源的能力;3)脆弱性的性质;4)控制措施的有无和有效性。比如可以这么定义三级:
高:对脆弱性的利用(1)可能导致有形资产或资源的高成本损失;(2)可能严重违犯、危害或阻碍单位的使命、声誉或利益;或者(3)可能导致人员死亡或严重伤害。
中:对脆弱性的利用(1)可能导致有形资产或资源的损失;(2)可能违犯、危害或阻碍单位的使命、声誉或利益;或者(3)可能导致人员伤害。
低:对脆弱性的利用(1)可能导致某些有形资产或资源的损失;或者(2)可能对单位的使命、声誉或利益造成值得注意的影响。
成本效益分析法是选择控制措施的基本方法。如果在评估的过程中不进行定量的分析,到风险应对阶段就无从开展成本效益分析。