最常用的公式是单一损失期望（single loss expectancy，SLE） 和年度损失期

望（annual loss expectancy，ALE）。

SLE是为某个事件赋予的货币价值，表示特定威胁发生时公司潜在损失的金额：

资产价值*暴露因子=SLE

暴露因子（Exposure Factor，EF）表示某种特殊资产被已发生的风险损坏所造

成损失的百分比。例如，如果某个数据仓库的资产价值为150000美元，发生火

灾后，该数据仓库大约有25% 的价值遭到破坏，那么SLE 就是37500 美元。

资产价值（150000）* 暴露因子（25%）=37500

这个结果告诉我们，如果该公司发生火灾，可能损失37500 美元。但由于按年

度制定和使用安全预算，所以需要知道年发生比率是多少。这是需要用到ALD

公式，即：

SLE*年发生比率=ALE

年发生比率（ARO）表示一年时间内发生特定威胁的预计频率。该值的范围可

以是从0.0 （不发生）到1.0 （一年一次）乃至大于1 的数字（一年若干次）之

间的任何值。例如，如果数据库发生火灾并造成损坏的概率是十年一次，那么

ARO值是0.1。

因此，如果公司的数据仓库设施发生火灾可能造成37500 美元的损失，发生火

灾的频率即ARO值为0.1 （表示10 年发生一次），那么ALE 值就是3750 美元

（37500 * 0.1 = 3750）

 

 

 

风险转移： 如果公司觉得总风险或剩余风险太大，无法承担，那么可以购买保

险，也就是将风险转移给保险公司。

风险规避： 如果公司决定终止引入风险的活动，那么这种行为称为风险规避。

例如，如果某公司允许员工使用即时通信（IM）工具，那么可能带来与这种技

术相关的许多风险。因为没有足够多的业务需求要求继续使用即时通信服务，

所以该公司可能会决定不允许用户进行任何IM活动。停止IM服务就是风险规避

的示例。

风险缓解： 就是风险被降低至可接受的级别，从而可以继续开展业务。安装防

火墙、进行培训以及部署入侵/检测保护系统，这些都是典型的风险缓解方式。

接受风险： 这意味着公司理解自己所面临的风险级别以及风险带来的潜在损失，

并且决定在不采取任何对策的情况下接受风险。在成本/收益率表明采取对策的

成本超出潜在的损失价值时，许多公司都会接受风险。

剩余风险与总风险不同，总风险指的是公司在不实现任何防护措施的情况下所

面临的风险。如果成本/收益分析的结果表明最好不采取任何动作，那么组织就

可能选择接受总风险。例如，如果某公司的Web 服务器发生问题的可能性很小，

而提供更高级别的保护所需的成本将会超过该风险造成的潜在损失，那么该公

司就会选择不实现防护措施，从而承担了总风险。