Phân loại bất định:

     • Khách quan: do yếu tố tự nhiên hoặc con người, xử lý bằng lý thuyết xác suất

     • Chủ quan: do nhận định chuyên gia, mô hình hóa bằng lý thuyết tập mờ và hàm tiện ích

   - Rủi ro chấp nhận được:

     • Là hàm giảm đơn điệu của xác suất xảy ra sự kiện tiêu cực (NE) theo mức độ thiệt hại chuẩn hóa Ū

     • Hàm đề xuất:  

       P*(Ū) = a × exp(-b(Ū - Ūin))  

       với a, b là hằng số, Ūin là mức thiệt hại không đáng kể

     • Thang Harrington chuyển đổi đánh giá định tính sang số:

       - Không đáng kể → 0.1

       - Ít đáng kể → 0.29

       - Trung bình → 0.51

       - Đáng kể → 0.72

       - Nghiêm trọng → 1.0

   - Đánh giá rủi ro hiện tại:

     • Xác định tập tài sản thông tin và các mối đe dọa tương ứng

     • Ước lượng xác suất gây thiệt hại tổng thể từ các NE

     • Tập điểm rủi ro: { (Uk, Pk) } với Uk là mức thiệt hại, Pk là xác suất

     • Nếu nhiều NE có cùng Uk nhưng khác Pk → chọn giá trị Pk lớn nhất

   - So sánh rủi ro hiện tại với đường cong rủi ro chấp nhận để xác định mức độ cần giảm

6. Ứng dụng:

   • Hỗ trợ ra quyết định trong quản lý rủi ro bảo mật thông tin

   • Cho phép xử lý thông tin mơ hồ, không đầy đủ từ chuyên gia

   • Làm cơ sở xây dựng chiến lược giảm rủi ro phù hợp với mức chấp nhận của tổ chức