نموذج تقييم المخاطر (بالإنجليزية: risk assessment model)هو جزء من نظام لتقييم مخاطر تهديدات أمان الكمبيوتر المستخدمة سابقًا في مايكروسوفت[1]، وقد تخلى عنها منشئوه. يوفر ذاكرة للتهديدات الأمنية لتصنيف المخاطر باستخدام خمس فئات.
الفئات هي
ما مدى سوء الهجوم؟
قابلية تكرار النتائج - ما مدى سهولة إعادة إنتاج الهجوم؟
القابلية للاستغلال - ما مقدار العمل المطلوب لشن الهجوم؟
المستخدمون المصابون - كم عدد الأشخاص الذين سيتأثرون؟
قابلية التغطية - ما مدى سهولة اكتشاف التهديد؟
عندما يتم تقييم تهديد معين باستخدام نموذج تقييم المخاطر، يتم منح كل فئة تصنيفًا من 1 إلى 10. يمكن استخدام مجموع كل التصنيفات لقضية معينة لتحديد الأولويات بين القضايا المختلفة.[2]
النقاش حول قابلية الاكتشاف
يشعر بعض خبراء الأمان أن تضمين عنصر «الاكتشاف» باعتباره العنصر D الأخير يكافئ الأمان من خلال الغموض، لذلك انتقلت بعض المؤسسات إلى مقياس DREAD-D «DREAD ناقص D» (الذي يحذف قابلية الاكتشاف) أو تفترض دائمًا أن قابلية الاكتشاف في حدودها أقصى تقييم.[3][4]