2014年1月2日 星期四

CISSP領域重要名詞釋疑 - Return on Investment (ROI)


ROI意指你佈建安全機制後省下的金額。


如果你每年的TCO總是低於ALE,於是就有一個正數的ROI(並且你總是作了好的決定)。如果TCO高於ALE表是你的決定是壞的。


如果一年筆電加密的成本為136,667元;而每年的ALE為未加密筆電的風險為275,000元。我們將數學計算總結在表格2.3中。

佈署筆電加密會改變EF值,如果一台筆電的硬體價值為25,000。已知個人資訊的成本額外增加22,500元,因此總資產價值為25,000元。如果一台未加密的的筆電遺失或者被竊,而EF值是100%(該硬體與所有資料都是明碼)。筆電加密後降低資訊被揭露風險,降低EF值從100%(筆電與資料)變為10%(只有筆電)。

降低了EF值也同時降低了ALE值,從275,000降到27,500,如表格2.4所示。



Table 2.3 Annualized Loss Expectancy of Unencrypted Latops

Formula
Value
Asset value (AV)
AV
$25,000
Exposure Factor (EF)
EF
100%
Single loss expectancy (SLE)
AV × EF
$25,000
Annual rate of occurrence (ARO)
ARO
11
Annualized loss expectancy (ALE)
SLE × ARO
$275,000

Table 2.4 Annualized Loss Expectancy of Encrypted Latops

Formula
Value
Asset value (AV)
AV
$25,000
Exposure Factor (EF)
EF
10%
Single loss expectancy (SLE)
AV × EF
$2500
Annual rate of occurrence (ARO)
ARO
11
Annualized loss expectancy (ALE)
SLE × ARO
$27,500

你將會省下247,500/年(之前的ALE為275,000,減去新的ALE,27,500)但是此決定將會投資136,667元,而你的ROI就是110,833元每年(247,500減去136,667元)。因此這台筆電的加密案件會有一個正值的ROI,並且是一個明智的決定。