论坛

通知事项
全部清除

定量与定性信息风险评估  


太极
帖子:83
主持人
主题启动器
(@太极)
会员
已加入:9个月前

定性信息风险评估是信息安全风险评估中最常用的方法,并且针对可能性和损失/后果使用主观估计(例如,高,中,低)。在进行信息风险评估时,建议由多个人评估信息风险,以减少这种方法的主观因素。研讨会形式通常是一种有用的方式,可以将最熟悉信息资产以及相关威胁和漏洞的个人聚集在一起,讨论并商定每种风险的可能性和影响。

定量信息风险评估与定性信息风险评估不同,它使用数值(通常是货币)而不是主观值(高,中,低)进行风险评估。得出的数字是“单一损失期望值”(给定信息风险成本发生的次数)和“年发生率”(每年发生风险的频率)。从中可以计算出年度损失期望值(对于给定的风险,组织每年期望损失多少)。通过定义风险的货币价值并利用历史数据确定预期频率,不仅可以根据对组织的财务影响来优先考虑信息风险,而且可以结合对控制成本和成本的理解。它们在减轻风险方面的有效性,因此可以对证券投资回报率做出一些陈述。

不幸的是,定量信息风险评估需要大量有关信息风险影响和概率的数据,这些数据可能不容易获得并且需要大量资源来收集。计算可能很复杂且需要大量资源,因此,通常需要专业的风险管理软件来进行有效的分析。此外,技术变化如此之快,以至于历史数据可能不是有关当前和未来影响及可能性的良好信息来源。

一种可能的方法 是为了 默认使用定性信息风险管理以及定量信息风险评估,认为该技术提供的收益超过 费用.

 

主题标签
分享: