兩項工具是作者自行開發(fā)，全球獨一無二的方法論。

風險水平重大性理論

在得到每項資產(chǎn)風險值之后，由于風險值有高有低，在成本與效益考慮下，企業(yè)必須決定可接受風險水平，并針對風險值高于此風險水平的資產(chǎn)項目設(shè)計適當控制措施，所以可接受風險水平的決定在建立信息安全體系中扮演相當生要角色，然而目前在信息安全領(lǐng)域，不論是學術(shù)界或?qū)崉?wù)界都未能針對如何決定可接受風險水平提出合理的觀念或方法，為此作者藉用會計原則中對于會計確認的門檻，與或有事項會計處理以及東方學派的財會計理論，構(gòu)思出全球獨一無二的“風險水平重大性理論”，并以數(shù)學推論方式強化立論基礎(chǔ)，作為企業(yè)決定名項資產(chǎn)控制方式的依據(jù)。

1 資產(chǎn)安全事件對企業(yè)造成損失的決定方式

信息安全體系目的在于防范資產(chǎn)安全事件對企業(yè)造成的損失，所以對于會造成愈大損失的資產(chǎn)或事件，愈要加強控管，依據(jù)BS7799國際標準于會造成愈大損失的資產(chǎn)或事件，愈要加強控管，依據(jù)BS7799國際標準的看法，資產(chǎn)價值愈高者，遭受破壞時對企業(yè)造成的損失愈大，而資產(chǎn)價值之高低主要由資產(chǎn)的機密性、真確性、可用性決定，另一方面，BS7799認為資產(chǎn)本身的弱點，在面對的威脅愈大時，造成損失的可能性愈高，故資產(chǎn)安全事伯對企業(yè)造成損害的期望值，是由資產(chǎn)的機密性，完整性，可用性，弱點及威脅這五項因素所組成。

2 一般公認會計原則

信息安全事件對企業(yè)造成損失的期望值的會計處理，可以從兩個角度來看，一個是或有事項的處理，一個是會計確認的重大性：

---或有事項(Contingencies)

所謂或有事項，是指未來某件事的發(fā)生，可能為企業(yè)帶來利得或損失，也就是具有不確定性，針對或有損失部分，會計處理主要視損失可能性以及能否合理估計而定，只有當或有損失很可能發(fā)生，且金額能合理估計時，才給、予以估計入賬，或是在財務(wù)報表上附注揭露。

從信息安全事件的角度來看，資產(chǎn)價值愈高，表示與企業(yè)的獲利或損失的關(guān)聯(lián)性愈強，造成的損失金額也愈能合理估計，例如就提供電信及網(wǎng)絡(luò)服務(wù)的寬帶業(yè)者而言，收入來源為客戶使用其服務(wù)的次數(shù)與時間，因而網(wǎng)絡(luò)聯(lián)機的價值最高的信息資產(chǎn)，如果此項資產(chǎn)遭到破壞，導致網(wǎng)絡(luò)聯(lián)機的中斷，可以依據(jù)寬帶業(yè)者過去的營運數(shù)據(jù)，從中斷長短來合理估算損失金額。

其次，信息安全事件發(fā)生概率，主要由信息資產(chǎn)本身的弱點與面對的威脅決定，因而弱點與威脅愈大者，損失的可能性就愈高。

--- 會計確認的重大性門檻(Materiality)

就會計信息而言所謂重大性是指當一項會計信息被遺漏或錯誤表達時，可能使依賴該信息的人所做的判斷受到影響或改變。換言之，只要該信息會影響到投資人決策，即為重大信息而應予表達，通常如果屬于不尋常、不適當，或?qū)儆趯е挛磥砬闆r改變的預兆，皆為重要事項，從信息安全角度來看，如果企業(yè)缺乏適當控制措施來預防資產(chǎn)安全事件造成的損害，代表企業(yè)經(jīng)營環(huán)境風險比較高，如此將會降低投資人對其股票價值的評價，因而資產(chǎn)安全事件可能造成的損害就應予揭露，而且從內(nèi)部控制角度來看，也就予適當?shù)目刂啤?BR>
前而已說明，信息資產(chǎn)遭破壞對企業(yè)造成損失的高低，是由資產(chǎn)的機密性、真確性、可用性決定，而破壞發(fā)生的概率，則是由資產(chǎn)本身的弱點，與面對的威脅決定，因而從重大性角度來看，資產(chǎn)安全事件對企業(yè)造成損失的重大性，可以用資產(chǎn)價值的重大性以及弱點與威脅的重大性代表。

3 信息資產(chǎn)風險重大性的決定

在引進會計原則后，信息資產(chǎn)風險重大性可拆成三個部分來決定：

---第一部分是信息資產(chǎn)的機密性、完整性、可用性、弱點、與威脅五個項目權(quán)值的決定。此部分是使用作者設(shè)計的“信息資產(chǎn)價值評估表Informa

    項目經(jīng)理勝任力免費測評PMQ上線啦！快來測測你排多少名吧~

    http://www.vanceur.cn/pmqhd/index.html