字體:小 中 大 |
|
|
|
| 2009/10/30 11:24:08瀏覽8172|回應0|推薦0 | |
Risk Assessment Methodologies risk assessment 的主要目的是要幫助 high-level manager 做出適當且正確的決策,以決定: 一、哪些風險可以被移除或降低發生的可能性; 二、哪些風險可以轉嫁給他人; 三、哪些風險是可以直接承受而不必避險的。 常用的 risk assessment methodology 可分為兩種,分別為定量式 (quantitative) 與定性式 (qualitative) 的風險分析,其中定量式分析法的先決條件是:「欲被加以保護的資產之價值是可被精確評估出來的」,據此即可去估算在某個特定 threat 的環伺之下,「沒有」以及「有」配置 safeguard 的年損失期望額 (annualized loss expectancy) 分別是多少,待計算出各式各樣的 safeguard 之年損失期望額之後,即可根據成本效益原則,來決定要不要投入資源去保護該項資產,以及應該配置哪一種 safeguard。相較於牽涉到許多數值計算的定量式分析,定性式分析則是以情境 (scenario) 為基礎,「情境可能發生的機率」與「可能造成的衝擊」為其主要的考量面向,並就各個面向去劃分等級,之後則以 two dimension matrix 來列舉所有不同權級的情境,最後則是決定哪些權級的情境是可以直接承受的、哪些權級的情境是必須被管理的。 Quantitative Risk Analysis (定量式風險分析) Exposure Factor exposure factor 是一個百分比值,它所代表的意義為:如果某項資產遭受某個風險的襲擊,則該項資產的「受損率」是多少。 Single Loss Expectancy single loss expectancy 是一個 floating point value,它所代表的意義為:如果某項資產遭受某個風險的襲擊,則該項資產的「受損額」是多少。換句話說,SLE 的計算公式為: single loss expectancy = asset value * exposure factor (SLE = AV * EF) Annualized Rate of Occurrenceannualized rate of occurrence 是一個 floating point value,它所代表的意義為:某個風險在一年內的發生次數。例如,台灣的嘉南地區每隔 30 年就會出現一次大地震,所以就地震這個風險而言,它在嘉南地區的 annualized rate of occurrence 為 1/30;再如,某家公司一年內遭到小偷行竊的次數是 10 次,所以就竊盜這個風險而言,它在該公司的 annualized rate of occurrence 為 10。 Annualized Loss Expectancy annualized loss expectancy 是一個 floating point value,它所代表的意義為:一個年度之內,某項資產遭受某個風險襲擊的「累積受損總額」。若將之寫成計算式則為: annualized loss expectancy = single loss expectancy * anuualized rate of occurrence (ALE = SLE * ARO = AV * EF * ARO) Threat/Risk Calculations and Cost-Benefit Analysis假設某個資產價值 20 萬台幣,當它遭受地震的襲擊之後,受損率為 45% (exposure factor = 45%),而地震每年發生的次數為 0.5 次,則在沒有施行地震防護措施之前,其 annualized loss expectancy 為: 200,000 * 0.45 * 0.5 = 45,000 當我們配置某種地震防護設備來保護該項資產之後,它的受損率由 45% 降到 10%,而該種地震防護設備的花費為 5 萬台幣,則在施行地震防護措施之後,其 annualized loss expectancy 為:200,000 * 0.1 * 0.5 = 10,000 沒有配置 safeguard 之前的 ALE 為 45,000,配置 safeguard 之後的 ALE 為 10,000,年損失總額降低了 35,000,但配置該 safeguard 卻花了 50,000,反而多賠了 15,000,故配置該種 safeguard 並不符合成本效益原則;此時,我們可以採用其它種類的 safeguard,並試算是否符合成本效益原則;如果各式各樣用來防護地震的 safeguard,對該項資產來說都不符合成本效益原則,那我們的抉擇就是:讓該項資產直接承受地震的襲擊。 |
|
| ( 創作|其他 ) |
