风险评估的定量分析方法
对于企业内部在定量风险评估中通常会评估的几个因素和价值,例如资产估价、成本控制、确定安全投资收益 (ROSI) 以及计算单一预期损失 (SLE) 、年发生率 (ARO) 和年预期损失 (ALE) 的值。
1 评估资产
通过用户所提供的AV清单,计算企业所具有的的资产总价值及资产损失对财务的直接和间接影响
2 确定SLE
SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额,代表一个具体威胁利用漏洞时公司将面临的潜在损失。 (SLE 类似于定性风险分析的影响。)通过将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示成为现实的威胁对某个资产造成的损失百分比。
3 确定ARO
ARO 是一年中风险发生的次数.
4 确定ALE
ALE 是您的组织不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。
5 确定控制成本
控制成本就是为了规避企业所存在风险的发生而应投入的费用.
6 ROSI
(实施控制前的 ALE)–(实施控制后的 ALE)–(年控制成本)= ROSI
这些数据虽然是定量分析的成果,但是需要注意的是它们依然是一个估算,具体的数值还需要和用户多次交流后做出调整和更新,虽然如此,它们也对用户来说提供了一种直观的标准和概念。
2 最新回复 |
0 引用
搬家
作者 asd — 21 06 2007, 10:08
看过了,不太懂。呵呵……
深切体悟:隔行如隔山!
作者 青轻飞扬 — 08 02 2006, 16:03