－－－不一定非要量化，非要拿出一大堆数字来，风险评估的结果是把风险分类，分出优先级，这样的分类和级别，便于客户管理自己企业所面临的风险以及对自己的IT预算作合理的分配/投资，把握住这个目标，实实在在的拿着你的评估告诉客户该做什么，怎么做，这样才算服务到家了，否则客户看着你的一堆数字也是发愣，仍然不知道如何下手，甚至闹不清这些数字对他来说有什么用处！

－－－量化也有一定的好处的。现在国内的信息安全管理仍处于粗放式的管理阶段，今后必然向精细化管理方面来转变。毕竟企业是一个以盈利为目的的组织，必须考虑成本有效性的问题。
其实就风险评估而言，定性是绝对的，定量是相对的。虽然采用定量的方法，也无法完全量化。采用定量的方法确实存在一定的缺陷，因此很多的企业倾向于采用定性的方法。虽然目前国内外的很多专家都在致力于量化的方法，但是目前仍没有有一个能够让大多数人所接受的量化方法。定性和定量个有利弊，可以二者结合起来使用。

－－－定量分析

进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。
定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。
简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念：
暴露因子（Exposure Factor，EF）—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。
单一损失期望（Single Loss Expectancy，SLE）—— 或者称作SOC（Single Occurance Costs），即特定威胁可能造成的潜在损失总量。
年度发生率（Annualized Rate of Occurrence，ARO）—— 即威胁在一年内估计会发生的频率。
年度损失期望（Annualized Loss Expectancy，ALE）—— 或者称作EAC（EstimatedAnnual Cost），表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：
（1） 首先，识别资产并为资产赋值；
（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0％~100%之间）；
（3） 计算特定威胁发生的频率，即ARO；
（4） 计算资产的SLE：SLE = Asset Value × EF
（5） 计算资产的ALE：ALE = SLE × ARO
这里举个例子：假定某公司投资500,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。
我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性（可以用ARO 表示），另一个就是威胁事件可能引起的损失（用EF 来表示）。
理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。

－－－起始这个方法也是存在问题的：
1、ef怎么来计算，是否要考虑威胁的动机、脆弱点的多少、威胁的能力以及已经采取的控制措施等要素呢，这些东西如何尽量量化，并接近客观事实？
2、ARO也只是一个估计值，是一个定性的东西。虽然说有些自然灾害等可以借鉴历史数据，但是历史数据只是一个参考，毕竟是发生过的事情，你所要预测的是现在和将来。这又是一个问题。
3、SLE很好计算，理论上也说的过去
4、ALE的计算也就有问题：首先威胁能否识别完备？另一方面，每个资产面临着多个威胁，难道你的ALE只是计算一个么？即便是计算一个，可是为了管理这一个风险，我可能要采取多个控制措施，可是这多个控制措施并不一定只是管理这一个风险的，可能间接的控制了其他的风险。
这里面很多的事情讲不清楚，并不是一个简单的公式就能够表达的。如果我们针对每个资产、每个风险都如此计算，那工作量岂不是太大了。
从理论的角度来说，我们要追求完美，从实施的角度来说，我们要追求简便。这本身就是悖论。

－－－定量指标有价值，很难，但也有一定的参考意义！
因为指标来源于统计，而网络复杂大系统，又涉及到人，人的因素或者可靠性很难识别，系统本身很难全面测试！
但定量指标，可以按照评估人或者用户对风险的主观认识，进行一定的判断！前两年，神经网络和模糊方法，很盛行，也可以说明一定的问题吧！

－－－我觉得这是一个循序渐进的过程，没有任何一项研究在刚开始做的时候就很准确的，经过一段时间的经验积累，慢慢的我们会摸索出一套适合中国非标准的量化方法的，这种方法我想需要大量的统计，就像天气预报的降水概率似的，没有历史数据，这个量化很难准确，这种实现有2个趋势：
1、中国的企业越来越标准化，越来越国际化，我们使用国际的量化方法就可以了，我们当然希望这样，而且这样也会省去很多精力和时间
2、但是这样的非标准企业在中国还要存在很长时间，如何量化，需要我们煞费苦心的研究了，社 d会d主dd义国家毕竟就咱们一个了！ 我想第一个趋势可能很快实现!

－－－1、能量化的和需要量化的评了老命想尽办法量化，做不到也要做，慢慢逼近，慢慢修正
2、量化与不量化不是风险评估的关键。光靠弄几个数字就能说服客户？风险评估更重要的是使客户对安全的理念的转变，借助一定的技术，从管理上提升一个台阶。

－－－刚刚深入研究完风险分析，特谈谈自己的看法：
（1）所有的基础就是建立一个正确的风险模型和所有概念的一个清晰定义；如：可参照sp800-30，ISO13335,ISO15408等等，这个是大家（评估者和被评估者）的Common Language；
（2）定量和定性结合；通过定性，选择需要定量的对象，否则事倍功半；
（3）有凭有据；定量的计算方法很多，因此，如何选择方法，每个方法中的数值计算原则，数值来源均需要有凭有据，否则，毫无意义；
（4）不要迷失方向；我们定量的目的是为了什么，从风险分析的开始，到风险分析的结束都需要不断的review，千万不要迷失在各种方法和数据里，为了方法而方法，为了数据而数据，忘记了我们进行风险分析（量化）的目的是什么－目的就是告诉用户，如果该风险发生，用户将遭受多少损失；
（5）不要勉强；一些情况下，量化是非常困难的（比如：对一些资产的量化，当涉及无形资产时），强行量化，有害无利！可以通过技术手段将这些量化排除出评估范围之外；
（6）博览群书，依靠客户；群众有雪亮的眼睛和无穷的智慧！永远依赖他们；无论你多么的牛！

－－－打个比方，量化风险评估方法是一杆称，风险是被称重的物体。只要交易双方用同一个标准就好，至于10两是一斤还是16两是一斤不是特别重要。甚至，现在称损坏了，可能每斤称出来会少20%，只要大家都用这个破称，也还可以。