最常用的公式是单一损失期望(single loss expectancy,SLE) 和年度损失期
望(annual loss expectancy,ALE)。
SLE是为某个事件赋予的货币价值,表示特定威胁发生时公司潜在损失的金额:
资产价值*暴露因子=SLE
暴露因子(Exposure Factor,EF)表示某种特殊资产被已发生的风险损坏所造
成损失的百分比。例如,如果某个数据仓库的资产价值为150000美元,发生火
灾后,该数据仓库大约有25% 的价值遭到破坏,那么SLE 就是37500 美元。
资产价值(150000)* 暴露因子(25%)=37500
这个结果告诉我们,如果该公司发生火灾,可能损失37500 美元。但由于按年
度制定和使用安全预算,所以需要知道年发生比率是多少。这是需要用到ALD
公式,即:
SLE*年发生比率=ALE
年发生比率(ARO)表示一年时间内发生特定威胁的预计频率。该值的范围可
以是从0.0 (不发生)到1.0 (一年一次)乃至大于1 的数字(一年若干次)之
间的任何值。例如,如果数据库发生火灾并造成损坏的概率是十年一次,那么
ARO值是0.1。
因此,如果公司的数据仓库设施发生火灾可能造成37500 美元的损失,发生火
灾的频率即ARO值为0.1 (表示10 年发生一次),那么ALE 值就是3750 美元
(37500 * 0.1 = 3750)
风险转移:
如果公司觉得总风险或剩余风险太大,无法承担,那么可以购买保
险,也就是将风险转移给保险公司。
风险规避:
如果公司决定终止引入风险的活动,那么这种行为称为风险规避。
例如,如果某公司允许员工使用即时通信(IM)工具,那么可能带来与这种技
术相关的许多风险。因为没有足够多的业务需求要求继续使用即时通信服务,
所以该公司可能会决定不允许用户进行任何IM活动。停止IM服务就是风险规避
的示例。
风险缓解:
就是风险被降低至可接受的级别,从而可以继续开展业务。安装防
火墙、进行培训以及部署入侵/检测保护系统,这些都是典型的风险缓解方式。
接受风险:
这意味着公司理解自己所面临的风险级别以及风险带来的潜在损失,
并且决定在不采取任何对策的情况下接受风险。在成本/收益率表明采取对策的
成本超出潜在的损失价值时,许多公司都会接受风险。
剩余风险与总风险不同,总风险指的是公司在不实现任何防护措施的情况下所
面临的风险。如果成本/收益分析的结果表明最好不采取任何动作,那么组织就
可能选择接受总风险。例如,如果某公司的Web 服务器发生问题的可能性很小,
而提供更高级别的保护所需的成本将会超过该风险造成的潜在损失,那么该公
司就会选择不实现防护措施,从而承担了总风险。
扫一扫
594
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
