Разница между количественным и качественным подходом к анализу рисков информационной безопасности заключается в том, как оцениваются риски и их параметры. 6

Количественный подход предполагает, что риск и все его параметры выражаются в числовых значениях. 6 Каждому виду риска присваивается конкретная величина, параметры, выраженные в денежных, временных эквивалентах. 4 Это облегчает понимание ситуации, позволяет оценить возможный ущерб, расходы на обеспечение защитных мер, долю резервов, которые придётся задействовать. 4

Качественный подход основывается на присвоении риску определённого ранга согласно системе ценностей: баллы, степени. 4 Числовые значения заменяются на эквивалентные им понятийные уровни. 6 Например, каждый фактор оценивается по шкале «низкий» — «средний» — «высокий». 5

Таким образом, количественный подход даёт наглядное представление в деньгах по объектам оценки (ущербу, затратам), но он более трудоёмок и в некоторых случаях неприменим. 2 Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения средств защиты. 2

При анализе информационных систем желательно применять смешанный подход, который использует как качественную, так и количественную шкалы оценок. 1 Это обеспечит наиболее всесторонний и комплексный подход к решению задачи управления рисками. 1