威胁事件发生的概率%
×可能造成的损失
＝年预期损失(ALE)

资产价值 包括直接影响、间接影响
×暴露系数(EF)% 现实的威胁对某个资产造成的损失百分比
＝单一预期损失(SLE) 一次风险引起的收入损失总额

单一预期损失(SLE)
×年发生率(ARO) 一年中风险发生的次数
＝年预期损失(ALE) 不采取任何减轻风险的措施、在一年中可能损失的总金额

实施控制前的ALE
－实施控制后的ALE
－年控制成本 包括购买、测试、部署、操作、维护各个控制措施所需的成本
＝安全投资收益(ROSI)