FMEA信息安全風險評估模型在檢驗檢疫系統內的應用

陳多思+盧挺

[提要] FMEA風險評估方法是通過資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）四個參數，通過數學方法計算得到風險值（RPN），相對于目前國際通用的傳統信息安全風險評估方法ISO13335，FMEA的方法增加了失效影響（E）這一新的參數，可以更準確的反映風險大小。

關鍵詞：風險評估；FMEA；資產價值；威脅；脆弱性；失效影響；風險值

中圖分類號：C93 文獻標識碼：A

原標題：FMEA信息安全風險評估模型在檢驗檢疫系統內的應用

收錄日期：2014年8月26日

一、背景

1998年3月，成立了中華人民共和國出入境檢驗檢疫局（國家進出口商品檢驗局、原農業部動植物檢疫局和原衛生部檢疫局合并組建）。出入境檢驗檢疫機構全面推行“一次報驗、一次取樣、一次檢驗檢疫、一次衛生除害處理、一次收費、一次簽證放行”六個一的管理模式，對外簡化辦事手續，避免政出多門、提高工作效率、方便外貿進出口、降低收費、減輕企業負擔、強化依法把關力度、促進外貿經濟健康發展具有十分重要的意義。

信息化工作是檢驗檢疫業務中一項重要的基礎性工作，信息技術的應用提高了檢驗檢疫把關服務能力，為全面履行檢驗檢疫職能提供了強有力的技術支撐和科技保障。在實際工作中，我們看到大量信息技術被應用在檢驗檢疫業務中，如 “預警信息管理系統助力醫學媒介生物監測鑒定”、“體溫篩查系統助力旅客通關”、“視頻監控系統助力口岸防控”、“射頻RAID技術助力進出口貨物檢驗檢疫跟蹤”成為推動檢驗檢疫服務水平與業務高效、創新的重要手段。而在檢驗檢疫系統的內部管理中，“CIQ2000系統數據大集中”、“視頻會議系統全覆蓋”、“業務無紙化流轉”、“政務網站大整合”等，成為提升檢驗檢疫工作質量和工作效率強有力的助推器。

隨著檢驗檢疫業務（以下簡稱“CIQ”業務）對信息系統依賴程度的日益增強，信息安全問題受到普遍關注。運用風險評估去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。

信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全提供科學依據。

信息安全風險評估作為信息安全保障工作的基礎性工作和重要環節，要貫穿于信息系統的規劃、設計、實施、運行維護以及廢棄各個階段，是信息安全管理體系與信息安全等級保護制度建設的重要科學方法之一。

二、風險評估介紹

目前最普遍使用的信息安全風險評估方法就是風險評估的國際標準ISO13335：2005，該標準已被等同轉化為中國國家標準《GB/T 20984：2007 信息安全技術 信息安全風險評估規范》（簡稱《國標GB/T 20984》）。其中，關于風險大小的決定性因素的描述如下：1、業務戰略的實現對資產具有依賴性，依賴程度越高，要求其風險越小；2、資產是有價值的，組織的業務戰略對資產的依賴程度越高，資產價值就越大；3、風險是由威脅引發的，資產面臨的威脅越多則風險越大；4、資產的脆弱性可能暴露資產的價值，資產具有的脆弱性越多則風險越大；5、脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產。

對以上內容進行歸納，總結出風險分析的原理如圖1所示。（圖1）即，風險的大小是由風險的可能性和嚴重性決定的，威脅頻率和脆弱性決定風險的可能性（L），資產價值和脆弱性決定了風險的嚴重性（F），通過識別資產價值（A）、威脅（T）和資產脆弱性（V）就可以計算出該資產的風險值。

因此，風險分析的主要內容就是：1、對資產進行識別，并對資產的價值進行賦值；2、對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；3、對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值；4、根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性；5、根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失；6、根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。

風險值=R（V，P，W）=R（O（P，W），S （V，W））。（為了與后文統一，在公式中用V、P、W、O、S替換了《GB/T 20984》561章節原文中的對應字母符號）

其中，R表示安全風險計算函數；V表示資產價值；P表示威脅頻率；W表示脆弱性；O表示威脅利用資產的脆弱性導致安全事件的可能性；S表示安全事件發生后造成的損失。有以下三個關鍵計算環節：

（一）計算安全事件發生的可能性。根據威脅出現頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發生的可能性，即：安全事件的可能性=L（威脅出現頻率，脆弱性）=O （P，W）。

在具體評估中，應綜合攻擊者技術能力（專業技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）、資產吸引力等因素來判斷安全事件發生的可能性。

（二）計算安全事件發生后造成的損失。根據資產價值及脆弱性嚴重程度，計算安全事件一旦發生后所造成的損失，即：安全事件造成的損失=F（資產價值，脆弱性嚴重程度）=S （V，W）。

部分安全事件的發生造成的損失不僅僅是針對該資產本身，還可能影響業務的連續性；不同安全事件的發生對組織的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內。

部分安全事件造成的損失的判斷還應參照安全事件發生可能性的結果，對發生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計算其損失。

（三）計算風險值。根據計算出的安全事件的可能性以及安全事件造成的損失，計算風險值，即：風險值=R（安全事件的可能性，安全事件造成的損失）=R（O （P，W），S （V，W））。

評估者可根據自身情況選擇相應的風險計算方法計算風險值，如矩陣法或相乘法。矩陣法通過構造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關系；相乘法通過構造經驗函數，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

三、什么是FMEA風險評估方法

（一）FMEA的起源和背景。國際標準化組織（ISO）于2002年3月公布了一項行業性的質量體系要求，它的全名是“質量管理體系—汽車行業生產件與相關服務件的組織實施ISO9001：2000的特殊要求”，英文為ISO/TS16949。標準中提供了實施必需的五大工具以保障體系的有效落地，它們分別是：產品質量先期策劃（APQP）、測量系統分析（MSA）、統計過程控制（SPC）、生產件批準（PPAP）和潛在失效模式與后果分析（FMEA）。

潛在失效模式與后果分析（FMEA），又稱為失效模式與影響后果分析、失效模式與效應分析、故障模式與后果分析或故障模式與效應分析等，是一種操作規程，旨在對系統范圍內潛在的失效模式加以分析，以便按照嚴重程度加以分類，或者確定失效對于該系統的影響。FMEA廣泛應用于制造行業產品生命周期、質量控制、風險分析等的各個階段；而且FMEA在服務行業的應用也在日益增多。失效原因是指業務服務、產品加工處理、設計過程中或項目/物品/信息資產項、本身存在的任何錯誤或缺陷，尤其是那些將會對業務保障（或具體消費者）造成影響的錯誤或缺陷；失效原因可分為潛在的和實際的。影響分析指的是對于這些失效之處的調查研究。

FMEA是一種過程評價工具，于1950年起源于美國軍方和宇航局，它是通過逐一分析過程中的各種組成因素，找出潛在的失效模式，分析可能產生的后果，并評估其風險，從而提前采取措施，以減少失效后的損失，降低發生的幾率，所以在本文中引入FMEA的分析方法來解決傳統風險評估方法中存在的一些缺陷。

（二）FMEA風險評估的原理。雖然ISO13335是目前全球使用最廣泛的信息安全風險評估方法論，但是由于這份標準是2005年制定的，至今已有十余個年頭。而這十年是信息技術蓬勃發展的十年，大量新的技術手段涌現并被人們使用。大數據、物聯網、云計算等等這些新技術在帶來技術革新和應用便利的同時，也帶來了新的安全隱患。我們需要關注的風險除了資產本身的風險之外，還需要關注資產失效后的影響衍生出的風險，而傳統方法在這一領域又難以有效地準確評價出風險的大小，因此我們需要一種能夠更準確反映風險大小的評估方法。

對于風險值大小，我們還是遵循原有的規律，即嚴重性越高的風險越高；可能性越大的風險越高，即風險與嚴重性和可能性成正比。如圖2所示。（圖2）

在測量風險的嚴重性和可能性方面，相對于ISO13335：2005，我們多引入了一個參數，失效模式的影響（E），這個參數可能會影響到風險的嚴重性。因此，FMEA的風險評估方法論可以總結為：1、所有資產自身都有一定的脆弱性；2、威脅利用了資產的脆弱性導致了資產的失效；3、由于資產的失效而產生了風險；4、不同失效的程度導致風險的嚴重程度不同；5、資產價值和資產失效程度影響風險的嚴重性；6、威脅的頻率和弱點被利用的難易程度影響風險的可能性；7、嚴重性和可能性決定了最終的風險值。

對已上內容進行歸納，總結出風險分析的原理如圖3所示。（圖3）

四、FMEA風險評估在CIQ的應用

FMEA風險評估方法自2008年首次被開發在信息安全管理體系中應用并于2009年通過國際第三方權威審核機構的ISO27001認證，經過多年的修訂和持續研發，目前在中國檢驗檢疫系統內已經有常州出入境檢驗檢疫局、蘇州出入境檢驗檢疫局、江陰出入境檢驗檢疫局等分支局在使用，跟檢驗檢疫業務有關聯性的海關、口岸等相關單位也有部分落地的案例。

（一）失效影響的賦值。FMEA風險評估方法的核心是引入了“失效模式的影響（E）”這一評估參數使得得到的風險值更加準確。如何對“失效模式的影響（E）”進行賦值，就是FMEA風險評估方法用于實際風險值計算的關鍵。

在《國標GB/T 20984》中將風險評估的所有參數（資產保密性、資產完整性、資產可用性、資產等級、威脅頻率、脆弱性）均分為5個級別進行賦值，1級最低，5級最高。因為在計算風險值時也需要用到以上參數，為了保持與《國標GB/T 20984》的兼容性，我們將“失效模式的影響（E）”也同樣分為5個級別，如表1所示。（表1）

為了方便應用，我們將這五個級別分別對應為下列五種失效程度，如表2所示。（表2）

（二）FMEA風險計算的原理。FMEA風險計算是通過資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）四個參數通過數學方法計算得到風險值（RPN）。

1、建立FMEA風險計算的數學模型首先要滿足參數對風險值影響的方向：

（1）因為資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風險值（RPN）為正向影響，所以V、E、P、W的數值與RPN數值成正比。

（2）V、E、P、W四個參數都大的風險值必然大，即：若V1>V2；E1>E2；P1>P2；W1>W2，則RPN（V1、E1、P1、W1）>RPN（V2、E2、P2、W2）。

（3）若任意三個參數相同，第四個參數大的風險值大，即：若V1>V2，則RPN（V1、E1、P1、W1）>RPN（V2、E1、P1、W1）；若E1>E2，則RPN（V1、E1、P1、W1）>RPN（V1、E2、P1、W1）；若P1>P2，則RPN（V1、E1、P1、W1）>RPN（V1、E1、P2、W1）；若W1>W2，則RPN（V1、E1、P1、W1）>RPN（V1、E1、P1、W2）。

2、為了準確評價數學模型的有效性，應將模型計算值的影響因素減至最少，提供一個不受權重等因素影響的純凈模型，以便于及時調整。

（1）風險計算的四個參數，資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風險值（RPN）的影響應該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風險計算的四個參數，資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對最終的風險值（RPN）的影響應該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風險模型計算結果的基礎上，通過對比風險計算結果和實際風險差距，對風險分析的各個維度權重進行調整。

（三）FMEA風險計算公式。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。

風險計算方法：1、保密性、完整性和可用性決定資產價值：（1）保密性越高，資產價值越大；（2）完整性越高，資產價值越大；（3）可用性越高，資產價值越大。2、資產價值、資產失效程度決定風險嚴重性。3、威脅頻率和資產脆弱性決定風險可能性。4、風險嚴重性與風險可能性決定風險值：（1）資產價值越高，資產失效后風險越大；（2）資產失效越嚴重則風險越大；（3）風險是由威脅引發的，資產面臨的威脅越多則風險越大；（4）資產的脆弱性可能暴露資產的價值，資產具有的脆弱性越多則風險越大。

風險計算公式：

資產價值V=

嚴重性S=

可能性O=

風險值RPN=

RPN=

其中，C、I、A、E、P、W是風險值RPN的計算參數，x、y、z、m、n、i、j、α、β是以上計算參數的權重。

假設權重系數全部為1的情況下，風險計算公式為：

RPN=

若在風險分析中，我們更側重于某項參數對風險值的影響，則可以調整該參數的權重值，如我們將權重參數設置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對風險值的影響更大，我們優先降低失效影響，可以更高效控制風險。

（四）FMEA風險評估在CIQ的應用成果。2012年末，常州出入境檢驗檢疫局順利通過中國信息安全認證中心（簡稱ISCCC）的ISO27001信息安全管理體系現場審核，成為國內首家實施信息安全管理體系并通過ISO27001認證的政府機構。2012年中國合格評定國家認可委員會（簡稱CNAS）信息安全認證專業委員會年會上，該項目被選為推薦案例，并受邀出席會議現場介紹體系建設、推廣的成功經驗，其中FMEA風險評估法作為該項目的重要創新點，受到與會專家的特別關注，并受到與會專家的一致好評。通過對FMEA風險評估方法論的原理和分析模型的詳細介紹，經與會專家論證，均認可該方法的先進性已經超越了ISO13335：2005（國標GB/T 20984：2007），在全球信息安全風險評估方法論的理論研究和實踐中處于領先水平。

五、結束語

隨著中國加入世貿組織，對外貿易和活動日益頻繁，出入境檢驗檢疫業務量激增，對信息系統的依賴程度也越來越大，因此對信息安全的要求也逐年提高，風險評估是信息安全管理的基礎，其重要性不言而喻。本文系統地闡述了作者在信息安全風險管理領域的研究成果及在檢驗檢疫系統內單位的實施經驗，對檢驗檢疫系統內其他單位在信息安全風險評估方面工作具有很好的參考性。

本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響（E）”這一參數的精確值，作者設想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復能力”等方面進行分析，通過一個數學模型計算得到以上失效因素對最終“失效模式的影響（E）”變化的影響，以便于分析結果更精準。

主要參考文獻：

[1]嵇國光，王大禹，嚴慶峰ISO＼TS16949五大核心工具應用手冊中國標準出版社，2010111

[2]孫遠志，吳文忠檢驗檢疫風險管理研究中國計量出版社，201411

[3]GB7826-87系統可靠性分析技術，失效模式和效應分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術、信息安全風險評估規范中國標準出版社，200781

[5]GB/T22080-2008信息技術安全技術信息安全管理體系要求中國標準出版社，200862

[6]李宗，華菊對檢驗檢疫風險防范管理的認識中國檢驗檢疫，20113

2、為了準確評價數學模型的有效性，應將模型計算值的影響因素減至最少，提供一個不受權重等因素影響的純凈模型，以便于及時調整。

（1）風險計算的四個參數，資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風險值（RPN）的影響應該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風險計算的四個參數，資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對最終的風險值（RPN）的影響應該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風險模型計算結果的基礎上，通過對比風險計算結果和實際風險差距，對風險分析的各個維度權重進行調整。

（三）FMEA風險計算公式。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。

風險計算方法：1、保密性、完整性和可用性決定資產價值：（1）保密性越高，資產價值越大；（2）完整性越高，資產價值越大；（3）可用性越高，資產價值越大。2、資產價值、資產失效程度決定風險嚴重性。3、威脅頻率和資產脆弱性決定風險可能性。4、風險嚴重性與風險可能性決定風險值：（1）資產價值越高，資產失效后風險越大；（2）資產失效越嚴重則風險越大；（3）風險是由威脅引發的，資產面臨的威脅越多則風險越大；（4）資產的脆弱性可能暴露資產的價值，資產具有的脆弱性越多則風險越大。

風險計算公式：

資產價值V=

嚴重性S=

可能性O=

風險值RPN=

RPN=

其中，C、I、A、E、P、W是風險值RPN的計算參數，x、y、z、m、n、i、j、α、β是以上計算參數的權重。

假設權重系數全部為1的情況下，風險計算公式為：

RPN=

若在風險分析中，我們更側重于某項參數對風險值的影響，則可以調整該參數的權重值，如我們將權重參數設置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對風險值的影響更大，我們優先降低失效影響，可以更高效控制風險。

（四）FMEA風險評估在CIQ的應用成果。2012年末，常州出入境檢驗檢疫局順利通過中國信息安全認證中心（簡稱ISCCC）的ISO27001信息安全管理體系現場審核，成為國內首家實施信息安全管理體系并通過ISO27001認證的政府機構。2012年中國合格評定國家認可委員會（簡稱CNAS）信息安全認證專業委員會年會上，該項目被選為推薦案例，并受邀出席會議現場介紹體系建設、推廣的成功經驗，其中FMEA風險評估法作為該項目的重要創新點，受到與會專家的特別關注，并受到與會專家的一致好評。通過對FMEA風險評估方法論的原理和分析模型的詳細介紹，經與會專家論證，均認可該方法的先進性已經超越了ISO13335：2005（國標GB/T 20984：2007），在全球信息安全風險評估方法論的理論研究和實踐中處于領先水平。

五、結束語

隨著中國加入世貿組織，對外貿易和活動日益頻繁，出入境檢驗檢疫業務量激增，對信息系統的依賴程度也越來越大，因此對信息安全的要求也逐年提高，風險評估是信息安全管理的基礎，其重要性不言而喻。本文系統地闡述了作者在信息安全風險管理領域的研究成果及在檢驗檢疫系統內單位的實施經驗，對檢驗檢疫系統內其他單位在信息安全風險評估方面工作具有很好的參考性。

本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響（E）”這一參數的精確值，作者設想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復能力”等方面進行分析，通過一個數學模型計算得到以上失效因素對最終“失效模式的影響（E）”變化的影響，以便于分析結果更精準。

主要參考文獻：

[1]嵇國光，王大禹，嚴慶峰ISO＼TS16949五大核心工具應用手冊中國標準出版社，2010111

[2]孫遠志，吳文忠檢驗檢疫風險管理研究中國計量出版社，201411

[3]GB7826-87系統可靠性分析技術，失效模式和效應分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術、信息安全風險評估規范中國標準出版社，200781

[5]GB/T22080-2008信息技術安全技術信息安全管理體系要求中國標準出版社，200862

[6]李宗，華菊對檢驗檢疫風險防范管理的認識中國檢驗檢疫，20113

2、為了準確評價數學模型的有效性，應將模型計算值的影響因素減至最少，提供一個不受權重等因素影響的純凈模型，以便于及時調整。

（1）風險計算的四個參數，資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）對最終的風險值（RPN）的影響應該是相同的，即：RPN（V、E、P、W）=RPN（2、3、3、2）=RPN（2、2、3、3）=RPN（3、2、2、3）=RPN（3、3、2、2）。

（2）風險計算的四個參數，資產價值（V）、失效影響（E）、威脅頻率（P）和脆弱性（W）的增幅對最終的風險值（RPN）的影響應該是相同的，即：RPN（V1、E1、P1、W1）-RPN（V2、E2、P2、W2）=RPN（5、5、5、5）-RPN（4、4、4、4）=RPN（4、4、4、4）-RPN（3、3、3、3）=RPN（3、3、3、3）-RPN（2、2、2、2）=RPN（2、2、2、2）-RPN（1、1、1、1）。

（3）在純凈風險模型計算結果的基礎上，通過對比風險計算結果和實際風險差距，對風險分析的各個維度權重進行調整。

（三）FMEA風險計算公式。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性，以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。

風險計算方法：1、保密性、完整性和可用性決定資產價值：（1）保密性越高，資產價值越大；（2）完整性越高，資產價值越大；（3）可用性越高，資產價值越大。2、資產價值、資產失效程度決定風險嚴重性。3、威脅頻率和資產脆弱性決定風險可能性。4、風險嚴重性與風險可能性決定風險值：（1）資產價值越高，資產失效后風險越大；（2）資產失效越嚴重則風險越大；（3）風險是由威脅引發的，資產面臨的威脅越多則風險越大；（4）資產的脆弱性可能暴露資產的價值，資產具有的脆弱性越多則風險越大。

風險計算公式：

資產價值V=

嚴重性S=

可能性O=

風險值RPN=

RPN=

其中，C、I、A、E、P、W是風險值RPN的計算參數，x、y、z、m、n、i、j、α、β是以上計算參數的權重。

假設權重系數全部為1的情況下，風險計算公式為：

RPN=

若在風險分析中，我們更側重于某項參數對風險值的影響，則可以調整該參數的權重值，如我們將權重參數設置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1，則表示失效影響（E）對風險值的影響更大，我們優先降低失效影響，可以更高效控制風險。

（四）FMEA風險評估在CIQ的應用成果。2012年末，常州出入境檢驗檢疫局順利通過中國信息安全認證中心（簡稱ISCCC）的ISO27001信息安全管理體系現場審核，成為國內首家實施信息安全管理體系并通過ISO27001認證的政府機構。2012年中國合格評定國家認可委員會（簡稱CNAS）信息安全認證專業委員會年會上，該項目被選為推薦案例，并受邀出席會議現場介紹體系建設、推廣的成功經驗，其中FMEA風險評估法作為該項目的重要創新點，受到與會專家的特別關注，并受到與會專家的一致好評。通過對FMEA風險評估方法論的原理和分析模型的詳細介紹，經與會專家論證，均認可該方法的先進性已經超越了ISO13335：2005（國標GB/T 20984：2007），在全球信息安全風險評估方法論的理論研究和實踐中處于領先水平。

五、結束語

隨著中國加入世貿組織，對外貿易和活動日益頻繁，出入境檢驗檢疫業務量激增，對信息系統的依賴程度也越來越大，因此對信息安全的要求也逐年提高，風險評估是信息安全管理的基礎，其重要性不言而喻。本文系統地闡述了作者在信息安全風險管理領域的研究成果及在檢驗檢疫系統內單位的實施經驗，對檢驗檢疫系統內其他單位在信息安全風險評估方面工作具有很好的參考性。

本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響（E）”這一參數的精確值，作者設想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復能力”等方面進行分析，通過一個數學模型計算得到以上失效因素對最終“失效模式的影響（E）”變化的影響，以便于分析結果更精準。

主要參考文獻：

[1]嵇國光，王大禹，嚴慶峰ISO＼TS16949五大核心工具應用手冊中國標準出版社，2010111

[2]孫遠志，吳文忠檢驗檢疫風險管理研究中國計量出版社，201411

[3]GB7826-87系統可靠性分析技術，失效模式和效應分析（FMEA）程序

[4]GB/T 20984-2007信息安全技術、信息安全風險評估規范中國標準出版社，200781

[5]GB/T22080-2008信息技術安全技術信息安全管理體系要求中國標準出版社，200862

[6]李宗，華菊對檢驗檢疫風險防范管理的認識中國檢驗檢疫，20113