정량적 위험분석
From IT위키
지표[edit | edit source]
노출 계수[edit | edit source]
- Exposure Factor, EF
- 자산에 대한 손실 가능성(0~1)
연간 발생률[edit | edit source]
- Annual Rate of Occurrence, ARO
- 연간 위험 발생 가능성(0~1)
단일 예상 손실액[edit | edit source]
- Single Loss Expectancy, SLE
- 자산가치 × 노출 계수
=== 연간 예상 손실액 ===
- Annual Loss Expectancy, ALE
- 1년동안 발생 가능한 손실액
- 단일 예상 손실액(SLE) × 연간 발생률(ARO)
- 이론적으로 연간 보안 예산은 연간 예상 손실액 이내인 것이 합리적이다.
투자 대비 수익[edit | edit source]
- Return Of Investment
- 투자로 인해서 얻는 수익(일반적으로 비율로 나타낸다)
- 수익 / 투자금 * 100
분석 방법[edit | edit source]
민감도 분석[edit | edit source]
- Sensitivity analysis
- 다른 조건이 일정한 경우에 어느 한 투입요소가 변동할 때의 예측치가 어느정도 민감하게 변동하는가를 분석하는 것
- 표시방법 중 토네이도 도표가 있는데 이 도표는 불확실성 수준이 높은 변수의 상대적 중요성을 보다 안정적인 변수와 비교할 때 유용하다.
금전적 기대값 분석[edit | edit source]
- Expected monetary value analysis
- EMV 분석은 발생할 수도 있고 발생하지 않을 수도 있는 시나리오가 미래에 포함될 때 평균결과를 계산하는 통계적 개념이다.
- 기회의 EMV는 양수값으로, 리스크의 EMV는 음수값으로 표현된다.
- EMV는 각 예상 결과 값에 확률을 곱한 다음 모든 값을 더하여 계산한다.
- 일반적으로 의사결정 트리 분석(Decision tree analysis)에서 사용한다.
- 효용이론 (Utility Theory): 서로 다른 수준의 보상으로 리스크를 수용하는 개인의 의지 측정을 위한 이론적 접근법
몬테카를로 시뮬레이션[edit | edit source]
- 우연현상의 경과를 난수를 써서 수치적, 모형적으로 실현시켜 그것을 관찰함으로써 문제의 근사 해를 얻는 방법
- 가능한 원가 또는 기간의 확률 분포에서 임의로 선정한(random) 값을 사용하여
- 프로젝트 원가나 프로젝트 일정을 여러 차례 계산하거나 반복하는 방법
- 총 프로젝트 원가 또는 완료날짜의 분포를 산출하는 기법으로 사용한다.
의사결정 나무 분석[edit | edit source]
- Decision tree analysis
- 기대 값과 리스크 확률을 곱하여 잠재적 산출 및 영향을 분석하여 의사 결정에 도움이 되는 분석 기법
과거자료 분석법[edit | edit source]
- 과거의 자료를 통한 위험발생 가능성 예측, 과거 데이터 수량에 따른 정확도
수학공식 접근법[edit | edit source]
- 위협발생빈도를 계산하는 식을 이용하여 위험을 계량화
확률분포법[edit | edit source]
- 미지의 사건을 확률적으로 편차를 이용하여 최저,보통, 최고 위험평가를 예측
