?

最常用的公式是單一損失期望（single loss expectancy，SLE） 和年度損失期 望（annual loss expectancy，ALE）。 SLE是為某個事件賦予的貨幣價值，表示特定威脅發生時公司潛在損失的金額： 資產價值*暴露因子=SLE 暴露因子（Exposure Factor，EF）表示某種特殊資產被已發生的風險損壞所造 成損失的百分比。例如，如果某個數據倉庫的資產價值為150000美元，發生火 災后，該數據倉庫大約有25% 的價值遭到破壞，那么SLE 就是37500 美元。 資產價值（150000）* 暴露因子（25%）=37500 這個結果告訴我們，如果該公司發生火災，可能損失37500 美元。但由于按年 度制定和使用安全預算，所以需要知道年發生比率是多少。這是需要用到ALD 公式，即： SLE*年發生比率=ALE 年發生比率（ARO）表示一年時間內發生特定威脅的預計頻率。該值的范圍可 以是從0.0 （不發生）到1.0 （一年一次）乃至大于1 的數字（一年若干次）之 間的任何值。例如，如果數據庫發生火災并造成損壞的概率是十年一次，那么 ARO值是0.1。 因此，如果公司的數據倉庫設施發生火災可能造成37500 美元的損失，發生火 災的頻率即ARO值為0.1 （表示10 年發生一次），那么ALE 值就是3750 美元 （37500 * 0.1 = 3750） 風險轉移：如果公司覺得總風險或剩余風險太大，無法承擔，那么可以購買保 險，也就是將風險轉移給保險公司。 風險規避：如果公司決定終止引入風險的活動，那么這種行為稱為風險規避。 例如，如果某公司允許員工使用即時通信（IM）工具，那么可能帶來與這種技 術相關的許多風險。因為沒有足夠多的業務需求要求繼續使用即時通信服務， 所以該公司可能會決定不允許用戶進行任何IM活動。停止IM服務就是風險規避 的示例。 風險緩解：就是風險被降低至可接受的級別，從而可以繼續開展業務。安裝防 火墻、進行培訓以及部署入侵/檢測保護系統，這些都是典型的風險緩解方式。 接受風險：這意味著公司理解自己所面臨的風險級別以及風險帶來的潛在損失， 并且決定在不采取任何對策的情況下接受風險。在成本/收益率表明采取對策的 成本超出潛在的損失價值時，許多公司都會接受風險。 剩余風險與總風險不同，總風險指的是公司在不實現任何防護措施的情況下所 面臨的風險。如果成本/收益分析的結果表明最好不采取任何動作，那么組織就 可能選擇接受總風險。例如，如果某公司的Web 服務器發生問題的可能性很小， 而提供更高級別的保護所需的成本將會超過該風險造成的潛在損失，那么該公 司就會選擇不實現防護措施，從而承擔了總風險。

總結

以上是生活随笔為你收集整理的CISP学习笔记2：风险管理1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。