3)定量(Quantitative)分析

對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)實體風(fēng)險的所有要素（資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦予數(shù)值，風(fēng)險評估的整個過程和結(jié)果都可以被量化。在實施定量分析時，首先識別資產(chǎn)并為資產(chǎn)賦值，然后通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%-100070之間）。

定量分析的一些概念：

暴露因素( Exposure Factor，EF)：特定威脅對特定資產(chǎn)靠損失的百分比，或者說損失的程度。

單一預(yù)期損失( single Loss Expectancy，SLE)：也稱作SOC（Single Occurrence Cosls），即特定威脅可禽羞造成的潛在損失總量。單一預(yù)期損失的計算方法：單一損失預(yù)期(SLE)：暴露因素( EF)x資產(chǎn)價值年度預(yù)期損失( Annualized Loss Expectancy，ALE)：或者稱作EAC(Estimated Annual Cost)，表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。年度預(yù)期損失(ALE)：sLE x年度發(fā)生率( ARO)

例如，我們需要計算由于人員疏忽或設(shè)備老化對一個計算機(jī)機(jī)房所造成火災(zāi)的風(fēng)險。在這個示例中，我們假設(shè)這個計算機(jī)機(jī)房的資產(chǎn)價值為一百萬(1，000，OOO)元人民幣；由于這些威脅所產(chǎn)生的火災(zāi)資產(chǎn)總值將損失至資產(chǎn)價值的25%(EF=250/0)，也就是說這種火災(zāi)過后資產(chǎn)總值將為25萬( 250，000)元人民幣（SLE=資產(chǎn)價值x EF =1，000，OOO x 0.25：250000元）；這種火災(zāi)發(fā)生的可能性為十年發(fā)生一次( ARO=0.1)；因此我們所計算出來的這種威脅的年度損失預(yù)期值為2萬5千( 25，000)元人民幣（ALE：SLEx ARO：250，OOOx 0.1。25，O00兀）。

ALE提供了-個可能的年度損失價值，組織可以使用它來確定一年需要多少成本來建立一種控制或安全措施以阻止此類損害并提供足夠級別的保護(hù)。為了知道需要花費多少錢來避免威脅的潛在后果，量化風(fēng)險的實際可能性和威脅造成的損失（以貨幣尺度計量）是重要的。

4)定性(Qualitative)分析

定性分析方法是目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性，往往憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素（資產(chǎn)價值，威脅的可能性，弱

點被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)