基于业务连续性的风险定量分析系统技术方案

本发明专利技术公开了一种业务风险定量分析系统，所述系统包括调研问卷模块，信息资产识别及赋值模块，脆弱性分析模块；可能性分析模块；影响值计算模块；风险值计算模块；所述系统在人工输入基础数据后，通过各模块依次自动计算得出最终风险值，并通过不同颜色在显示终端上区分风险级别。本发明专利技术通过将资产之间重要度进行关联，使资产重要度赋值从单一的资产赋值变为与信息系统重要度的关联赋值。本发明专利技术所述系统在业务连续性管理中能很好识别并计算数据中心风险、信息系统风险和管理制度风险。

Risk Quantitative Analysis System Based on Business Continuity

The invention discloses a business risk quantitative analysis system, which comprises a survey questionnaire module, an information asset identification and assignment module, a vulnerability analysis module, a possibility analysis module, an impact value calculation module, and a risk value calculation module. The final risk value is calculated dynamically, and the risk level is distinguished on the display terminal by different colors. By correlating the importance of assets, the present invention changes the asset importance assignment from a single asset assignment to an associated assignment with the importance of information systems. The system of the invention can well identify and calculate data center risk, information system risk and management system risk in business continuity management.

【技术实现步骤摘要】
基于业务连续性的风险定量分析系统
本专利技术涉及一种风险分析系统，尤其是一种业务定量风险分析系统。
技术介绍
传统的业务风险分析系统有很多，基本都是围绕资产重要度、威胁、脆弱性等属性进行定性分析。现有已经公开的业务风险分析系统或方法大多数采用定性分析方法，定性分析方法在业务连续性管理中存在以下问题：1.资产重要度的判定使用传统的CIA属性适用性比较差。2.脆弱性的赋值人为因素较大。3.控制措施有效性较难判断。4.数据中心重要度判定单一。
技术实现思路
针对现有技术存在的缺陷，本专利技术要解决的技术问题是提供一种基于业务连续性的风险定量分析系统，该系统包含调研问卷模块，信息资产识别及赋值模块，脆弱性分析模块，可能性分析模块，影响计算模块，风险值计算模块。该系统可在人工输入基础数据后进行风险值的自动计算，并能自动通过不同颜色区分风险级别。本专利技术的技术方案是这样实现的：一种业务风险定量分析系统，所述系统包括：调研问卷模块，用于输入表示客户资产现状的基础数据，所述基础数据包括数据中心、机房环境、信息系统及管理制度方面的基础数据；信息资产识别及赋值模块，用于通过预设的资产分类表输入信息资产，并依据该模块提供的赋值标准进行定量赋值，赋值后得出信息资产重要度值及资产本身重要度值；脆弱性分析模块，用于输入标准遵循度值和控制措施实施度值，计算得出脆弱性值；可能性分析模块，用于输入控制措施实施度值、控制措施有效性值，及标准遵循度值，计算得出可能性值；影响值计算模块，用于输入信息资产重要度值和资产依赖度值，计算得出影响值；风险值计算模块，用于输入可能性分析模块得出可能性值和影响值计算模块得出的影响值，计算得出风险值；所述系统在人工输入基础数据后，通过各模块依次自动计算得出最终风险值，并通过不同颜色在显示终端上区分风险级别。进一步的，所述标准遵循度值是将调研问卷模块汇总的基础数据与信息资产识别及赋值模块得出的信息资产重要度值进行比较而得出。进一步的，所述资产依赖度值是依据信息资产识别及赋值模块提供的资产分类表计算各项子类资产之间的相互依赖程度而得出。进一步的，所述脆弱性值＝标准遵循度值+控制措施实施度值。进一步的，所述可能性值＝控制措施实施度值+控制措施有效性值+标准遵循度值。进一步的，所述影响值＝信息资产重要度值×资产依赖度值。进一步的，所述风险值＝可能性值×影响值。进一步的，所述风险等级依据风险值进行判断，风险等级分为“很高”、“高”、“中”、“低”、“很低”五个级别，且分别对应显示为“深红色”、“红色”、“黄色”、“绿色”、“墨绿色”。本专利技术的有益效果在于：1.通过将资产之间重要度进行关联，使资产重要度赋值从单一的资产赋值变为与信息系统重要度的关联赋值。2.从支撑重要业务的角度考虑可推导出支持业务的信息系统重要度。3.将现有可依据标准作为风险分析基线，可通过脆弱性分析模块中标准遵循度模块和控制措施实施度模块进行差距分析后确定脆弱性值，从而为定量分析提供具体数据。4.该系统在业务连续性管理中能很好识别并计算数据中心风险、信息系统风险和管理制度风险。附图说明附图1本专利技术系统结构及工作流程示意图。附图2为本专利技术业务连续性管理风险定量分析流程示意图。附图3为本专利技术调研问卷模块流程示意图。附图4为本专利技术信息资产识别及赋值模块流程示意图。附图5为本专利技术脆弱性计算模块流程示意图。附图6为本专利技术可能性计算模块流程示意图。附图7为本专利技术影响值计算模块流程示意图。附图8为本专利技术风险值及风险级别计算模块流程示意图。具体实施方式下面结合附图对本专利技术具体实施方式做进一步说明。如附图1、2所示，一种业务风险定量分析系统，所述系统包括：调研问卷模块1，用于输入表示客户资产现状的基础数据，所述基础数据包括数据中心、机房环境、信息系统及管理制度方面的基础数据；信息资产识别及赋值模块2，用于通过预设的资产分类表输入信息资产，并依据该模块提供的赋值标准进行定量赋值，赋值后得出信息资产重要度值及资产本身重要度值；脆弱性分析模块3，用于输入标准遵循度值和控制措施实施度值，计算得出脆弱性值；可能性分析模块4，用于输入控制措施实施度值、控制措施有效性值，及标准遵循度值，计算得出可能性值；影响值计算模块5，用于输入信息资产重要度值和资产依赖度值，计算得出影响值；风险值计算模块6，用于输入可能性分析模块4得出可能性值和影响值计算模块5得出的影响值，计算得出风险值；所述系统在人工输入基础数据后，通过各模块依次自动计算得出最终风险值，并通过不同颜色在显示终端上区分风险级别。如附图3－7所示，进一步的，所述标准遵循度值是将调研问卷模块1汇总的基础数据与信息资产识别及赋值模块2得出的信息资产重要度值进行比较而得出。进一步的，所述资产依赖度值是依据信息资产识别及赋值模块2提供的资产分类表计算各项子类资产之间的相互依赖程度而得出。进一步的，所述脆弱性值＝标准遵循度值+控制措施实施度值。进一步的，所述可能性值＝控制措施实施度值+控制措施有效性值+标准遵循度值。进一步的，所述影响值＝信息资产重要度值×资产依赖度值。进一步的，所述风险值＝可能性值×影响值。如附图8所示，进一步的，所述风险等级依据风险值进行判断，风险等级分为“很高”、“高”、“中”、“低”、“很低”五个级别，且分别对应显示为“深红色”、“红色”、“黄色”、“绿色”、“墨绿色”。如附图1所示，下面结合一银行业务连续性管理中风险分析的具体实施例对本专利技术做进一步说明：1.用户登录系统，该系统可通过Web发布或安装在本地，依据模块2中的资产分类方法，确定资产所属责任人，并通过系统下发相关调研问卷；2.用户在模块1中输入调研数据，系统汇总调研数据并输出调研数据；3.用户在模块2中按照资产分类输入资产大类，资产子类和资产本身名称，并依据模块2中赋值标准选择信息系统重要度和资产本身重要度值，由系统自动计算出资产重要度值；4.用户使用模块1输出数据与模块3中标准实施度赋值和控制措施实施度赋值进行比较赋值，由系统自动计算出脆弱性值；5.用户使用模块1输出数据与模块4中控制措施有效性赋值比较赋值，系统自动将模块3中值与模块4脆弱性值进行计算，得出可能性值；6.用户使用模块5选择各类资产的相互依赖度值，并通过模块2资产重要度与模块5数据进行自动计算，得到影响值；6.模块6自动依据模块4可能性值和模块5影响值计算出风险值，并自动进行风险等级划分。以上所述，仅为本专利技术较佳的具体实施方式，但本专利技术的保护范围并不局限于此，任何利用本专利技术所述的风险定量分析系统的方法思路均属于本专利技术技术构思的保护范围，任何熟悉本
的技术人员在本专利技术揭露的技术范围内，根据本专利技术的技术方案及其构思加以等同替换或改变，都应涵盖在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】
1.一种业务风险定量分析系统，其特征在于，所述系统包括：调研问卷模块(1)，用于输入表示客户资产现状的基础数据，所述基础数据包括数据中心、机房环境、信息系统及管理制度方面的基础数据；信息资产识别及赋值模块(2)，用于通过预设的资产分类表输入信息资产，并依据该模块提供的赋值标准进行定量赋值，赋值后得出信息资产重要度值及资产本身重要度值；脆弱性分析模块(3)，用于输入标准遵循度值和控制措施实施度值，计算得出脆弱性值；可能性分析模块(4)，用于输入控制措施实施度值、控制措施有效性值，及标准遵循度值，计算得出可能性值；影响值计算模块(5)，用于输入信息资产重要度值和资产依赖度值，计算得出影响值；风险值计算模块(6)，用于输入可能性分析模块(4)得出可能性值和影响值计算模块(5)得出的影响值，计算得出风险值；所述系统在人工输入基础数据后，通过各模块依次自动计算得出最终风险值，并通过不同颜色在显示终端上区分风险级别。

【技术特征摘要】
1.一种业务风险定量分析系统，其特征在于，所述系统包括：调研问卷模块(1)，用于输入表示客户资产现状的基础数据，所述基础数据包括数据中心、机房环境、信息系统及管理制度方面的基础数据；信息资产识别及赋值模块(2)，用于通过预设的资产分类表输入信息资产，并依据该模块提供的赋值标准进行定量赋值，赋值后得出信息资产重要度值及资产本身重要度值；脆弱性分析模块(3)，用于输入标准遵循度值和控制措施实施度值，计算得出脆弱性值；可能性分析模块(4)，用于输入控制措施实施度值、控制措施有效性值，及标准遵循度值，计算得出可能性值；影响值计算模块(5)，用于输入信息资产重要度值和资产依赖度值，计算得出影响值；风险值计算模块(6)，用于输入可能性分析模块(4)得出可能性值和影响值计算模块(5)得出的影响值，计算得出风险值；所述系统在人工输入基础数据后，通过各模块依次自动计算得出最终风险值，并通过不同颜色在显示终端上区分风险级别。2.根据权利要求1所述的风险定量分析系统，其特征在于：所述标准遵循度值是将调研问卷模块(1...

【专利技术属性】
技术研发人员：李俊，于元泽，
申请(专利权)人：大连和捷科技有限公司，
类型：发明
国别省市：辽宁,21