基于Poisson分布的信息安全风险评估

摘要

随着互联网的发展,信息安全成为组织日益重要的功能.在未来,信息安全投资将在组织总投资中占据重要的地位.如何确定最优的信息安全投资水平,目前缺乏适当的投资决策准则,其部分原因在于缺乏成熟的信息系统安全风险评估的方法论,所以在信息安全风险评估和相应的信息安全投资的优化方面,发展适当和有用的方法论被学术界和企业界所关注.本文建立了信息安全风险评估的定量模型,讨论了安全威胁发生频率服从Poisson分布的依据,在此基础上选择了VaR方法对信息安全风险及其安全措施的效用进行度量,大而可以指导企业的安全投资决策,希望对信息系统安全风险评估以及信息安全项目投资决策的优化有所裨益.