1. 量化風險分析
| 計算項目 | 導入前風險分析 | 導入後風險分析 |
|---|---|---|
| AV (資產價值) | ||
| EF (暴露因子) | ||
|
SLE (單一預期損失)
(ⓘ)
SLE = AV × EF
|
||
| ARO (年度發生率) | ||
|
ALE (年預期損失)
(ⓘ)
ALE = SLE × ARO
|
||
| 風險降低價值 | ||
| 最終淨效益 | ||
年度預期損失 (ALE) 比較
最終淨效益分析 (瀑布圖)
2. 定性風險分析 (單一風險)
| 衝擊:低 | 衝擊:中 | 衝擊:高 | |
|---|---|---|---|
| 可能性:高 | 中度風險 | 高度風險 | 極高風險 |
| 可能性:中 | 低度風險 | 中度風險 | 高度風險 |
| 可能性:低 | 低度風險 | 低度風險 | 中度風險 |
2.1. 處理前後定性風險比較
| 項目 | 處理前 | 處理後 |
|---|---|---|
| 可能性 | ||
| 衝擊性 | ||
| 風險等級 |
3. 核心計算公式說明
單一預期損失 (SLE)
SLE = 資產價值 (AV) × 暴露因子 (EF)
說明:指單一風險事件發生時,預期會造成的財務損失金額。
年預期損失 (ALE)
ALE = 單一預期損失 (SLE) × 年度發生率 (ARO)
說明:將單次損失的衝擊與其發生的頻率相結合,計算出年度的預期總損失。
風險降低價值
風險降低價值 = 導入前 ALE - 導入後 ALE
說明:評估導入控制措施後,每年能有效避免多少潛在損失。
最終淨效益
最終淨效益 = 風險降低價值 - 年度控制成本
說明:衡量資安投資的最終財務回報,是決策的關鍵指標。