説明/参照:
Explanation:
定量的リスク評価では、リスクを金額などの数値で定量化します。これには、データを収集し、それを標準の式に入力することが含まれます。結果は、リスクの優先順位を特定するのに役立ちます。これらの結果は、制御の有効性を判断するためにも使用されます。定量的リスク評価に関連する用語には、次のようなものがあります。
単一損失予測 (SLE) - 単一のインシデントから予測される合計損失を指します。この事件
脆弱性が脅威によって悪用された場合に発生する可能性があります。損失は 1,000 ドルなどのドル価値で表されます。これには、データ、ソフトウェア、ハードウェアの価値が含まれます。
SLE = 資産価値 * エクスポージャーファクター
年間発生率 (ARO) - ある期間内でインシデントが発生すると予想される回数を指します。
年。過去 1 年間にインシデントが月に 2 回発生した場合、ARO は 24 です。何も変わらないと仮定すると、来年は 24 回発生する可能性があります。
年間損失期待値 (ALE) - 1 年間の予想損失です。ALEはSLEを乗算して計算されます
アロと一緒に。SLE はドル値で与えられるため、ALE もドル値で与えられます。たとえば、SLE が 1,000 ドルで ARO が 24 の場合、ALE は 24,000 ドルになります。ALE = SLE * ARO セーフガード値 - これはコントロールのコストです。リスクを軽減するためにコントロールが使用されます。たとえば、ウイルス対策
ソフトウェアの平均コストはコンピュータ 1 台につき 50 ドルです。コンピュータが 50 台ある場合、セーフガード値は次のようになります。
2,500ドル。
不正解:
A: リスク管理で最初に行う必要があるのは、リスクが発生する可能性のあるプロジェクトの領域を特定することです。これはリスクの特定と呼ばれます。考えられるリスクをすべてリストアップすることは、リスクが発生する前に対処できるため、企業にとって非常に生産的であることが証明されています。リスクの特定では、脅威と機会の両方がある程度のリスクを伴うため、両方が考慮されます。
C: 定量的リスク評価とは異なり、定性的リスク評価では金額が割り当てられません。
むしろ、リスクの確率と影響に基づいてリスクのレベルを決定します。これらの値は専門家の意見を集めて決定されます。
確率 - 特定のリスクの発生および再発の可能性を独立して確立すること。
そして組み合わせた。このリスクは、脅威が脆弱性を悪用したときに発生します。スケーリングは、リスクが発生する確率を定義するために行われます。スケールは、低、中、高などの単語の値に基づくことができます。
低値には 10%、高値には 90% など、これらの単語にパーセンテージを割り当てることもできます。
影響 - 影響は、特定されたリスクの規模を特定するために使用されます。リスクは何らかの損失をもたらします。
ただし、損失を金額として定量化する代わりに、影響評価では低、中、高などの単語を使用できます。影響は相対値で表されます。たとえば、低は 10、中は 50、高は 100 になります。
リスクレベル = 確率*影響
D: これは、プロジェクトを通じてリスク対応計画の実施、特定されたリスクの追跡、残留リスクの監視、新しいリスクの特定、およびリスク プロセスの有効性の評価を行うプロセスです。
