字體:小 中 大 |
|
|
|
| 2009/10/30 11:47:50瀏覽4733|回應0|推薦0 | |
Risk Assessment Methodologies
risk assessment 的主要目的是要幫助 high-level manager 做出適當且正確的決策,以決定: 一、哪些風險可以被移除或降低發生的可能性; 二、哪些風險可以轉嫁給他人; 三、哪些風險是可以直接承受而不必避險的。 常用的 risk assessment methodology 可分為兩種,分別為定量式 (quantitative) 與定性式 (qualitative) 的風險分析,其中定量式分析法的先決條件是:「欲被加以保護的資產之價值是可被精確評估出來的」,據此即可去估算在某個特定 threat 的環伺之下,「沒有」以及「有」配置 safeguard 的年損失期望額 (annualized loss expectancy) 分別是多少,待計算出各式各樣的 safeguard 之年損失期望額之後,即可根據成本效益原則,來決定要不要投入資源去保護該項資產,以及應該配置哪一種 safeguard。相較於牽涉到許多數值計算的定量式分析,定性式分析則是以情境 (scenario) 為基礎,「情境可能發生的機率」與「可能造成的衝擊」為其主要的考量面向,並就各個面向去劃分等級,之後則以 two dimension matrix 來列舉所有不同權級的情境,最後則是決定哪些權級的情境是可以直接承受的、哪些權級的情境是必須被管理的。 Qualitative Risk Analysis (定性式風險分析) 我們在 risk assessment 的開文中曾經提到,定性式的風險分析是以情境可能發生的機率與可能造成的衝擊來做為考量的面向,並依據各面向的等級去列舉所有不同權級的情境,最後再決定哪些權級的情境是可以直接承受的、哪些權級的情境是必須被管理的。 定性式風險分析之結果的良窳,有賴於分析人員的判斷力、直覺與經驗,但我們還是可以透過專家們所建議的作業活動,來提高定性分析的品質。這些作業活動分別為:
Risk Matrix 假設我們現在面臨了五種風險 (請參考表 3.2-2),並想藉由定性分析來決定如何管理這些風險,則其步驟如下:
|
|
| ( 創作|其他 ) |
