6.4.2 安全后评价的要素
借鉴目前商业银行和大型企业普遍采用的以风险为导向的评价模型,安全后评价的4个最核心要素为:评价方法、评价标准、评价指标和评价数据[55]。
1.评价方法
不同的评价方法会对评价结果将产生不同影响。目前国内外主要评价体系中通常采用多指标综合评价方法。根据权重确定方法的不同,这些方法可分为两类:一是主观赋权法,如德尔斐法、层次分析法等,多是基于综合咨询评分的定性方法。这类方法涉及人为因素,一般常在包含有不可计量的指标时采用。另一类是客观赋权法,如主成分分析法、因子分析法等。这类方法根据各指标间的相关关系或者各项指标的变异程度来确定权数,尽量避免人为因素影响,但是常常难以收集到与指标相关的足够历史数据。目前普遍采取的做法是根据评价目的和特征,选取和组合不同的评价方法。
通常有关信息科技风险评价的方法大都结合了定性和定量两种方法。因此,对于研发风险管控工作完成情况的安全后评价也结合了定性和定量两种方法。其中,定性后评价对项目研发风险管控工作各阶段管理活动完成情况进行定性描述;定量后评价是通过对评价指标的数值计算来描述信息系统安全设计水平。
2.评价标准
评价标准(或基准)作为后评价的参考点,主要来自内部和外部两方面。内部标准通常以某一最佳实践作为基准,然后进行纵向比较和衡量;外部标准包括在基于法律法规要求或者行业规定的一些操作标准基础上,结合同业整体最佳实践进行比较对照。
由于商业银行研发风险管控体系建设过程中已将外部标准纳入考虑之内,因此安全后评价的评价标准主要依据商业银行已制定的研发风险管控制度和标准制定。在设计评分体系时,可按照商业银行研发风险管控策略,对不同重要程度的指标设置不同的权重,以体系管理重点,起到引导和激励的作用。
3.评价指标
评价指标是进行安全后评价的基础。评价指标的设置是否科学将决定着安全后评价工作的成败。如果评价指标的选择不当或缺少关键指标,则就会影响到评价结果的精确度,甚至可能导致决策错误。
安全后评价指标包括定性指标、定量指标。其中,定性指标对研发风险管控工作的需求、设计、编码、测试等各阶段安全管理活动执行情况进行评价;定量指标从安全需求角度,对信息系统物理、网络、系统、应用、数据安全实现情况进行评价。
4.评价数据
具体的评价数据是安全后评价的重要输入,是保证整个评价工作得以开展的必要条件。从数据类型来看,通常可以划分为定性和定量两种,在进行评价时需要对输入的数据进行一定的处理。其中,定性数据的收集通常需要设计一些特定的量表,并将通过量表收集到的信息转化成具体评价值;定量数据需要收集各个指标的量化数据,并按照各指标权重生成具体评分。