첫째, 정량적 위험 평가에는 몇 가지 중요한 개념이 있습니다.
노출 계수: 특정 위협에 의한 특정 자산의 손실 퍼센트 또는 정도입니다. 단일 손실 예상: 또는 SOC, 특정 위협으로 인해 발생할 수 있는 총 잠재적 손실. 연간 발생률: 1 년 내 위협의 예상 빈도입니다. 연간 손실 예상 (EAC) 은 1 년 내 특정 자산의 예상 손실을 나타냅니다.
둘째, 정량적 위험 평가 프로세스와 개념 사이의 관계는 다음과 같습니다.
(1) 먼저 자산을 식별하고 자산에 자산 가치 (정량화 금액) 를 할당합니다.
(2) 위협 및 취약성 평가를 통해 특정 위협이 특정 자산에 미치는 영향, 즉 노출 계수 EF (0%- 100% 사이) 를 평가합니다.
(3) 특정 위협의 빈도, 즉 연간 발생률 ARO; 를 계산합니다. 을 눌러 섹션을 인쇄할 수도 있습니다
(4) 자산의 단일 손실 계산 예상 SLE:SLE = 자산 가치 × EF.
(5) 자산의 연간 손실 기대치 계산: ale = SLE× ARO.
정량 분석을 위해 두 가지 지표가 가장 중요하다는 것을 알 수 있습니다. 하나는 사건이 발생할 가능성이고, 하나는 위협 사건으로 인한 손실입니다. 정량적 평가를 통해 보안 위험을 정확하게 분류할 수 있기 때문에 보안 조치의 합리성을 측정하고 보안 조치의 ROI 를 계산하는 것이 매우 쉽습니다. 예를 들어 건물의 ALE 은 35 만입니다. 현재 대책을 취하고 있습니다 (감시화재 감지기 설치, 충분한 소화기 구입, 8 만 원 지출). 뒤 건물의 ALE 은 7 만입니다. 그럼 로이는 현재 35-7-8 = 20 만입니다. 이 계산을 통해, 우리는 이 안전 조치에 대한 투자가 가치가 있다는 것을 안다.
정량적 평가를 통해 보안 위험을 정확하게 분류할 수 있지만, 참고할 수 있는 데이터 지표가 정확하다는 전제가 있습니다. 사실, 오늘날 점점 더 복잡해지고 변화하는 정보 시스템에서는 양적 평가의 기반이 되는 데이터의 신뢰성을 보장하기가 어렵습니다. 게다가, 장기적인 데이터 통계가 부족하면 계산 과정이 잘못되기 쉬우며, 심사의 정교화에 큰 어려움을 가져왔다. 따라서 현재의 정보 보안 위험 평가에는 양적 평가 방법이 적습니다.