3)定量(Quantitative)分析
对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当实体风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋予数值,风险评估的整个过程和结果都可以被量化。在实施定量分析时,首先识别资产并为资产赋值,然后通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%-100070之间)。
定量分析的一些概念:
暴露因素( Exposure Factor,EF):特定威胁对特定资产靠损失的百分比,或者说损失的程度。
单一预期损失( single Loss Expectancy,SLE):也称作SOC(Single Occurrence Cosls),即特定威胁可禽羞造成的潜在损失总量。单一预期损失的计算方法:单一损失预期(SLE):暴露因素( EF)x资产价值年度预期损失( Annualized Loss Expectancy,ALE):或者称作EAC(Estimated Annual Cost),表示特定资产在一年内遭受损失的预期值。年度预期损失(ALE):sLE x年度发生率( ARO)
例如,我们需要计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。在这个示例中,我们假设这个计算机机房的资产价值为一百万(1,000,OOO)元人民币;由于这些威胁所产生的火灾资产总值将损失至资产价值的25%(EF=250/0),也就是说这种火灾过后资产总值将为25万( 250,000)元人民币(SLE=资产价值x EF =1,000,OOO x 0.25:250000元);这种火灾发生的可能性为十年发生一次( ARO=0.1);因此我们所计算出来的这种威胁的年度损失预期值为2万5千( 25,000)元人民币(ALE:SLEx ARO:250,OOOx 0.1。25,O00兀)。
ALE提供了-个可能的年度损失价值,组织可以使用它来确定一年需要多少成本来建立一种控制或安全措施以阻止此类损害并提供足够级别的保护。为了知道需要花费多少钱来避免威胁的潜在后果,量化风险的实际可能性和威胁造成的损失(以货币尺度计量)是重要的。
4)定性(Qualitative)分析
定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱
点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级。
想了解更多IT资讯,请访问中培教育官网:中培教育