对策®

企业风险管理（ERM）都是关于理解和管理威胁和危害对您的运营的影响。ERM从分析您的业务资产，业务流程和威胁环境开始，然后允许您最有效地利用资源来最大程度地减少运营的损失。这是一个总体过程，可以帮助您更多地了解威胁，脆弱性和危害之间的关系，因此您可以开发更智能，更安全的行动方案，从而使您和您的客户都受益。在没有强大关注ERM的情况下，很难开展成功的业务。毕竟，获胜的商业计划无法在不减少损失的情况下最大化利润。

成功的ERM可能涉及公司的许多不同领域，包括安全性，安全性和合规性。值得庆幸的是，这些是CommerMeasures.com提供技术解决方案等的所有领域。借助对策®Web-Mems软件，您可以在与世界领先的企业风险管理解决方案一起启动和运行时介意您的业务和预算。

使用对策的ERM解决方案®, you’ll streamline and automate assessment, analysis and reporting processes, which allows you to give everyone in your company a view of their portion of the company’s risk profile. Then, CounterMeasures® provides deeper analysis and insight into possible remediation actions. Keep everyone focused on getting new customers while keeping the ones you already have happy.

风险水平是两个因素的组合：

• 损失的影响 - 其所有者对该资产的价值以及该资产不良事件的结果。
• 不良事件的概率 - 特定威胁会利用特定漏洞的可能性。

只有在威胁和脆弱性之间结婚时，才会发生风险。
没有一个或另一个，您将不会有风险。

示例：如果您不飞 - 您不会冒着劫持航空公司的风险。现在，有些人觉得不值得冒险，因此他们通过消除脆弱性来消除风险。仍然存在威胁，但是如果您不在发生时，将不会产生影响。

损失是一个人衡量风险的方式。

A loss expectancy calculates expected loss due to the impact of threats on an asset’s vulnerabilities. Two ways to define loss expectancy are:

• Single Loss Expectancy (SLE) is the expected loss to assets due to a single instance of a threat successfully exploiting an asset’s vulnerability. In mathematical terms, it is the asset value multiplied by the system’s vulnerability level and the threat harmony value.
• 预期损失（AL）是一年内资产的预期损失。用数学术语来说，它是通过将资产的SLE乘以威胁乘数来计算的，这是威胁将成功利用在特定时期内成功利用资产漏洞的数值表达。

影响是可能受到时间或其他因素影响的损失或损害的量。

• manifested Threats + Vulnerability to those threats = Impact on Assets

柜台measures® addresses loss as one or more categories for management purposes. Destruction and denial of service apply to both physical security and information security areas. Disclosure and distrust are generally applied only to information security areas.

Loss can be further calculated into four different categories of impact.

• 破坏（完全损失）
• 拒绝服务（不可用）
• Disclosure (Confidentiality lost)
• 不信任（可用但可疑）

资产是有价值或值得保护的任何东西。这不仅意味着物理项目。在许多组织中，资产包括数据，声誉，善意，信任和士气等无形项目。尽管值可能有所不同，但资产可能对对手和所有者具有价值。
资产广泛，可以包括：

• 设备
• 专有信息
• 设施
• 过程
• 操作
• 人们
• 商业机密
• 任何被认为对对手有价值的东西

漏洞是对手可以利用的弱点，以获得资产的访问。如果我们没有漏洞，我们就不会担心威胁或安全姿势。

漏洞包括：

• 越权存取
• Natural hazards
• 不稳定的力量
• 恐怖活动
• 火
• 盗窃
• 情报收集

我们可以计算漏洞。计算基于您“适当”的对策。通过“到位”，我们的意思是目前正在实施（不是计划而不是预测），而是实际上在那里工作。

我们的愿望是可以接受的水平。您永远无法仅仅因为所有对策本身都有脆弱性，因此永远无法获得零漏洞。例如，我们将密码用于安全性，但通过写下密码，使用明显的密码，不更改密码或让其他人在键入时观看来破坏该安全性。

各种各样的对策都有各种漏洞。目的是最大程度地减少威胁的影响，并使脆弱性降低到我们可以接受的风险水平。

近年来，已经广泛接受的是，计算风险的最有力方法是使用公式：i x（t x v）= r，我对资产影响，t是威胁，v是这些脆弱性各种威胁的资产。在此之后，大多数风险评估方法急剧出发，因为许多人在很大程度上取决于评估者的观察结果或主观知识，而评估者可能会有所不同。

对策®风险分析软件产品和服务提供了一个基本，高度标准化和客观的过程，以量化计算的每个部分。对策中使用的公式起源于国防部（DOD），并与国家标准技术研究所（NIST）保持一致，800-53在2000年批准了对风险的批准计算。由于那时，对风险计算进行了审查并批准了风险计算。美国Stratcom供所有国防部代理商使用。它是由美国国土安全部（DHS）国家保护计划局（NPPD）审查的，是商业基础设施风险评估的批准方法。DHS科学技术（S＆T）局已审查并批准了州，县和市政安全风险评估的方法和计算。

Risk is a combination of vulnerability and threat(s). For any given applicable threat/vulnerability pairing, the formula used to calculate risk (Asset Loss) in CounterMeasures® is as follows:

Asset Loss = THV * VULLEVEL * ACCOST

在哪里，
THV = Threat Harmony Value (25 to 100%) The higher the percentage, the greater the impact of the threat on the vulnerability area it is paired with.
VULLEVEL = Vulnerability Level (11 to 100%) The higher the percentage, the greater the threat impact on assets.
accost =资产类别成本。该计算使用资产类别的一系列成本范围。

评估对资产威胁和脆弱性的过程，以对损失或损害及其影响的可能性发表专家意见。

评估确定了对策建议的基础。

“风险分析”是一个分析过程，旨在提供对漏洞以及潜在威胁如何利用这些漏洞的理解。分析量化了漏洞，风险和损失，并提供了系统安全姿势的客观表示。该过程包括对确定风险的概率和预期后果的量化。

风险分析是一个连续的过程。威胁环境和对策正在不断变化。任何风险分析都需要不断更新以反映不断变化的环境。

Considerable intelligence must be built into any analysis program to ensure that it has the ability to determine what countermeasures, vulnerabilities, threats, and asset categories apply to the surveyed entity. A good analysis program can automatically determine the applicable rules and regulations and associated countermeasures.

Our technical approach to risk assessment is based on a well-defined, time-tested, and highly standardized process. We have been able to make Risk Assessments a source of supportable and reliable data which can be used by the organization to mitigate and manage risk based on real, up-to-date information. We accomplish this by identifying and standardizing the critical steps defined by the assessment methodology, to direct the most important areas and processes to assess, determining how to feed data into the Threat x Vulnerability x Consequence = Risk (T x V x C = R) calculation, and providing outputs which clearly identify Risk and the means to mitigate or reduce risk.
任何之前进行过风险分析的从业者也许是手工进行的，都会注意到该过程与您已经知道的过程没有什么不同。它是一种软件，可以帮助您彻底完成任务，相对轻松，并对结果充满信心。

对策风险分析产品和服务团队由来自各种学科的风险专业人员组成，具有广泛的评估经验。我们的团队成员在全球商业和政府设施的运输，供应链物流，石油，化学，军事，海上等行业进行了数千次评估。

对策团队准备从风险评估过程开始到最后为您提供帮助。我们可以提供软件应用程序，帮助您构建自定义数据集，向评估人员和分析师提供培训，帮助您在现场进行脆弱性和风险评估，并在此后提供分析支持。这种开始的支持将确保您拥有最好，最全面的风险评估产品，并可以自信地决定降低风险的最佳途径。

对策团队将培训您的员工，以有效地实施风险评估和分析计划。我们最先进的培训设施将容纳10到200名与会者。我们还可以来您的位置，以及时，专注的风险评估培训为您的需求量身定制。

我们开发公共服务公告，基于计算机的培训以及引人入胜，最新和专注的培训视频。

对策是您在工业安全，OPSEC，物理安全，供应链安全，IT安全等方面进行培训的资源。看看我们如何帮助您建立业内训练最佳的安全团队。

安排一个PFPA Training Course今天并学会使用EPRM工具进行评估。包括讨论ISC数据集。

We provide your staff the helpdesk assistance they need to make the most effective use of CounterMeasures® software. Our email helpdesk is available to all users. And, our telephone helpdesk is manned 8am – 5pm U.S. East Coast time, Monday – Friday, except for Federal holidays.

我们经验丰富的风险经理团队将为您的组织提供确定风险，制定风险降低计划并评估有效性所需的专业知识。我们为您的员工提供了最有效利用对策软件所需的故障排除辅助。HII与其客户合作，建立基线指标和关系，以实现可重复和可辩护的分析。

这些指标的示例包括量化威胁，资产，漏洞和业务流程之间的关系。

Shop Now