3)定量(Quantitative)分析

對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當實體風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦予數值，風險評估的整個過程和結果都可以被量化。在實施定量分析時，首先識別資產并為資產賦值，然后通過威脅和弱點評估，評價特定威脅作用于特定資產所造成的影響，即EF（取值在0%-100070之間）。

定量分析的一些概念：

暴露因素( Exposure Factor，EF)：特定威脅對特定資產靠損失的百分比，或者說損失的程度。

單一預期損失( single Loss Expectancy，SLE)：也稱作SOC（Single Occurrence Cosls），即特定威脅可禽羞造成的潛在損失總量。單一預期損失的計算方法：單一損失預期(SLE)：暴露因素( EF)x資產價值年度預期損失( Annualized Loss Expectancy，ALE)：或者稱作EAC(Estimated Annual Cost)，表示特定資產在一年內遭受損失的預期值。年度預期損失(ALE)：sLE x年度發生率( ARO)

例如，我們需要計算由于人員疏忽或設備老化對一個計算機機房所造成火災的風險。在這個示例中，我們假設這個計算機機房的資產價值為一百萬(1，000，OOO)元人民幣；由于這些威脅所產生的火災資產總值將損失至資產價值的25%(EF=250/0)，也就是說這種火災過后資產總值將為25萬( 250，000)元人民幣（SLE=資產價值x EF =1，000，OOO x 0.25：250000元）；這種火災發生的可能性為十年發生一次( ARO=0.1)；因此我們所計算出來的這種威脅的年度損失預期值為2萬5千( 25，000)元人民幣（ALE：SLEx ARO：250，OOOx 0.1。25，O00兀）。

ALE提供了-個可能的年度損失價值，組織可以使用它來確定一年需要多少成本來建立一種控制或安全措施以阻止此類損害并提供足夠級別的保護。為了知道需要花費多少錢來避免威脅的潛在后果，量化風險的實際可能性和威脅造成的損失（以貨幣尺度計量）是重要的。

4)定性(Qualitative)分析

定性分析方法是目前采用最為廣泛的一種方法，它帶有很強的主觀性，往往憑借分析者的經驗和直覺，或者業界的標準和慣例，為風險管理諸要素（資產價值，威脅的可能性，弱

點被利用的容易度，現有控制措施的效力等）的大小或高低程度定性分級。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業