作为安全专家，通常最好将此计算“外包”给企业。例如，如果您发现了一个漏洞，您可以证明该漏洞很容易被不熟练的攻击者利用来破坏客户数据库，并且运营团队估计从备份中恢复该漏洞需要 4 个小时，包括检查，请询问企业所有者那是什么对他们来说意味着成本或影响。

企业应该了解客户避开公司所产生的间接成本，并通过广告抱怨来恢复信心。

正如@growse 所说，一旦他们告诉您成本，您的一方 - 帮助定义保护 - 就会容易得多。

但是，该等式通常不适用于一对一。您可能会认为，如果违规成本高于修复成本，则执行修复工作，但更常见的情况是，如果违规成本超过修复成本的 10 倍，然后再进行补救。

我认为要回答这个问题，你需要对你试图保护的资产的价值有一个深刻的理解。如果我们将信息安全视为提供机密性、完整性和可用性 (CIA)，我们还可以尝试确定如果这些保证受到破坏，组织的成本。

C：给定一些专有信息的价值，如果这些数据被披露，使用它来估计成本。

I：给定一些操作数据的价值，使用它来估计如果这些数据在一段时间内被恶意（或意外）修改而未检测到，则可能造成的损失或操作中断。

A：给定服务（例如电子商务网站）产生的收入，或系统（例如内部电子邮件系统）所产生的生产力，用它来估计如果服务或系统停止运行会发生什么财务损失在给定的时间段内下降。如果您了解服务中断在被识别和纠正之前可能持续多长时间，这将很有帮助。

正如其他人所提到的，我建议让数据和服务所有者参与您的业务，以帮助计算更好的价值估计。您的结果不仅会更准确、更有意义，而且您还将在此过程中增加管理层的支持。

简而言之，这并不容易。

几乎所有 IT 安全决策都应该在“业务”试图做的事情的背景下做出（当我说“业务”时，我的意思是“人们为系统付费并从中赚钱”——通常是企业）。

要估算事件的成本，您必须权衡与使系统恢复正常业务相关的所有相关成本。如果您的整个客户数据库被盗，然后被删除，则可能会在停机、监管罚款（如果您的政府认为您没有正确保护数据）、客户声誉造成的业务损失等方面产生重大成本。显然，成本不同的事件可能会有很大的不同。

缓解漏洞的成本通常更容易计算，它只是你必须购买的东西的数量 + 你执行控制和运行过程所花费的时间。如果您需要雇用一个额外的全职人员来处理特定的控制（例如 IDS），那么与如果您不实施控制可能发生的事件相比，这是一个相当大的成本，并且可能不值得花费。

希望这有某种意义。

正如前面的问题所涉及的那样，有很多正式的风险管理框架，成本估算是其中的重要组成部分。但从根本上说，安全漏洞的业务成本将超过 IT 成本。被破坏、泄露或暂时无法访问的数据的所有者将不得不对您的成本估算进行大量输入。这部分成本通常会使“重新安装服务器操作系统，修补他们通过的漏洞”部分相形见绌。