正式的風(fēng)險(xiǎn)評(píng)估方法可以幫助消除評(píng)估IT風(fēng)險(xiǎn)時(shí)的猜測工作，如果正確應(yīng)用的話。

技術(shù)是企業(yè)最重要的資產(chǎn)之一，對(duì)于運(yùn)營或支持許多業(yè)務(wù)流程至關(guān)重要，它也是最大的風(fēng)險(xiǎn)之一，這就是為什么IT風(fēng)險(xiǎn)評(píng)估框架至關(guān)重要的原因。

IT風(fēng)險(xiǎn)評(píng)估使企業(yè)能夠評(píng)估其系統(tǒng)、設(shè)備和數(shù)據(jù)所面臨的風(fēng)險(xiǎn)，無論是網(wǎng)絡(luò)安全威脅、中斷還是其他事件，他們還可以評(píng)估這些風(fēng)險(xiǎn)的潛在影響，這些工作的主要目標(biāo)是減輕任何已識(shí)別的風(fēng)險(xiǎn)，以避免數(shù)據(jù)泄露或不遵守法規(guī)等負(fù)面影響。

“在動(dòng)態(tài)的IT生態(tài)系統(tǒng)中，強(qiáng)大的風(fēng)險(xiǎn)管理框架至關(guān)重要，”Shaw University的CIO Leon Lewis說?！半S著數(shù)字生態(tài)系統(tǒng)變得越來越復(fù)雜，主動(dòng)的風(fēng)險(xiǎn)管理促進(jìn)了各行業(yè)的彈性和安全性。”

IT和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可以根據(jù)其企業(yè)的需求選擇多種IT風(fēng)險(xiǎn)評(píng)估方法。以下是一些最受歡迎的框架，每個(gè)框架都旨在解決特定的風(fēng)險(xiǎn)領(lǐng)域。

COBIT

它是什么： 控制目標(biāo)信息及相關(guān)技術(shù)(COBIT)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)的一個(gè)框架，該協(xié)會(huì)是一個(gè)專注于IT治理的國際專業(yè)協(xié)會(huì)，旨在用于IT管理和治理，它是一個(gè)廣泛而全面的框架，旨在支持理解、設(shè)計(jì)和實(shí)施企業(yè)IT的管理和治理。

它的作用： 根據(jù)ISACA的說法，COBIT定義了構(gòu)建和維持最佳適配治理系統(tǒng)的組成部分和設(shè)計(jì)因素。最新版本COBIT 2019包括六項(xiàng)治理原則：提供利益相關(guān)者價(jià)值，整體方法，動(dòng)態(tài)治理系統(tǒng)，治理與管理區(qū)分開，根據(jù)企業(yè)需求量身定制，端到端治理系統(tǒng)。

它的運(yùn)作方式： 該框架以業(yè)務(wù)為重點(diǎn)，定義了一組管理IT組件的通用流程。每個(gè)流程都定義了流程輸入和輸出、關(guān)鍵活動(dòng)、目標(biāo)、績效衡量標(biāo)準(zhǔn)和基本成熟度模型。

值得注意的地方： ISACA表示，COBIT的實(shí)施具有靈活性，使企業(yè)能夠通過該框架定制其治理策略。

“COBIT通過其對(duì)企業(yè)IT治理和管理的不懈關(guān)注，使IT基礎(chǔ)設(shè)施與業(yè)務(wù)目標(biāo)保持一致，并保持戰(zhàn)略優(yōu)勢，”Rivermate的CEO Lucas Botzen表示，該公司是一家提供遠(yuǎn)程勞動(dòng)力和薪資服務(wù)的供應(yīng)商。

“對(duì)于企業(yè)IT的治理和管理，COBIT 是必不可少的，”Fuel Logic的CEO Eliot Vancil表示，該公司提供燃料管理解決方案。“它為創(chuàng)建、實(shí)施、監(jiān)控和改進(jìn)IT管理和控制提供了一個(gè)計(jì)劃。COBIT的全面方法確保了IT與業(yè)務(wù)目標(biāo)協(xié)同工作并增加了價(jià)值?！?/p>

FAIR

它是什么： 信息風(fēng)險(xiǎn)因素分析(FAIR)是一種量化和管理企業(yè)內(nèi)風(fēng)險(xiǎn)的方法。根據(jù)致力于推進(jìn)網(wǎng)絡(luò)和運(yùn)營風(fēng)險(xiǎn)管理學(xué)科的研究型非營利企業(yè)Fair Institute的說法，它是信息安全和運(yùn)營風(fēng)險(xiǎn)領(lǐng)域唯一的國際標(biāo)準(zhǔn)量化模型。

它的作用： FAIR提供了一個(gè)模型，用于理解、分析和量化網(wǎng)絡(luò)風(fēng)險(xiǎn)和運(yùn)營風(fēng)險(xiǎn)，并以財(cái)務(wù)術(shù)語表達(dá)其影響。與那些輸出以定性顏色圖表或加權(quán)數(shù)值刻度為中心的風(fēng)險(xiǎn)評(píng)估框架不同，F(xiàn)AIR為開發(fā)穩(wěn)健的信息風(fēng)險(xiǎn)管理方法奠定了基礎(chǔ)。

它的運(yùn)作方式： FAIR由Nationwide Mutual Insurance前CISO Jack Jones開發(fā)，主要關(guān)注為數(shù)據(jù)丟失事件的頻率和規(guī)模建立準(zhǔn)確的概率。它不是用于執(zhí)行企業(yè)或個(gè)人風(fēng)險(xiǎn)評(píng)估的方法，而是為企業(yè)提供理解、分析和衡量信息風(fēng)險(xiǎn)的方式。

其組件包括信息風(fēng)險(xiǎn)的分類法、信息風(fēng)險(xiǎn)術(shù)語的標(biāo)準(zhǔn)化命名法、制定數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險(xiǎn)因素的測量標(biāo)準(zhǔn)、用于計(jì)算風(fēng)險(xiǎn)的計(jì)算引擎以及分析復(fù)雜風(fēng)險(xiǎn)場景的模型。

值得注意的地方： Shaw University的Lewis表示，F(xiàn)AIR的定量網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估適用于各個(gè)行業(yè)，現(xiàn)在更加注重供應(yīng)鏈風(fēng)險(xiǎn)管理和保護(hù)物聯(lián)網(wǎng)(IoT)及人工智能(AI)等技術(shù)。

由于FAIR采用定量風(fēng)險(xiǎn)管理方法，它幫助企業(yè)確定風(fēng)險(xiǎn)如何影響其財(cái)務(wù)狀況，F(xiàn)uel Logic的Vancil表示?！斑@種方法可以讓你選擇如何最佳地分配安全預(yù)算以及如何平衡風(fēng)險(xiǎn)和回報(bào)?！?/p>

ISO/IEC 27001

它是什么： 國際標(biāo)準(zhǔn)化企業(yè)(ISO)/國際電工委員會(huì)(IEC)27001是一個(gè)國際標(biāo)準(zhǔn)，提供了如何管理信息安全的指導(dǎo)。它最初由ISO和IEC在2005年聯(lián)合發(fā)布，并經(jīng)過了后續(xù)的修訂。

它的作用： 根據(jù)ISO的說法，ISO/IEC 27001為各個(gè)規(guī)模和各個(gè)行業(yè)的公司提供了關(guān)于建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理系統(tǒng)的指導(dǎo)。

它的運(yùn)作方式： ISO/IEC 27001提倡對(duì)信息安全采取整體性方法，包括審查人員、政策和技術(shù)。根據(jù)ISO的說法，按照該標(biāo)準(zhǔn)實(shí)施的信息安全管理系統(tǒng)是風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)彈性和運(yùn)營卓越的工具。

值得注意的地方： 符合ISO/IEC 27001意味著企業(yè)已經(jīng)建立了一個(gè)系統(tǒng)，以管理與企業(yè)擁有或處理的數(shù)據(jù)安全相關(guān)的風(fēng)險(xiǎn)。

Vancil表示，該標(biāo)準(zhǔn)“為處理和保護(hù)私營公司數(shù)據(jù)提供了一個(gè)結(jié)構(gòu)化的方法。這一標(biāo)準(zhǔn)在全球范圍內(nèi)使用，幫助企業(yè)保障信息安全并有效管理?！?/p>

NIST風(fēng)險(xiǎn)管理框架

它是什么： 國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)是一個(gè)美國政府機(jī)構(gòu)，致力于推動(dòng)測量科學(xué)、標(biāo)準(zhǔn)和技術(shù)的發(fā)展。其風(fēng)險(xiǎn)管理框架(RMF)提供了一個(gè)全面、可重復(fù)和可衡量的七步流程，供企業(yè)用來管理信息安全和隱私風(fēng)險(xiǎn)。

該框架鏈接到一套NIST標(biāo)準(zhǔn)和指南，以支持實(shí)施風(fēng)險(xiǎn)管理計(jì)劃，從而滿足《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的要求。

它的作用： 根據(jù)NIST的說法，RMF提供了一個(gè)將安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)集成到系統(tǒng)開發(fā)生命周期中的流程?；陲L(fēng)險(xiǎn)的控制選擇和規(guī)范方法考慮了適用法律、指令、行政命令、政策、標(biāo)準(zhǔn)或法規(guī)所引起的效力、效率和限制。

它的運(yùn)作方式： RMF的七個(gè)步驟是：

1. 準(zhǔn)備(Prepare)： 準(zhǔn)備企業(yè)以管理安全和隱私風(fēng)險(xiǎn)的基本活動(dòng)。

2. 分類(Categorize)： 根據(jù)影響分析對(duì)系統(tǒng)和處理、存儲(chǔ)及傳輸?shù)男畔⑦M(jìn)行分類。

3. 選擇(Select)： 根據(jù)風(fēng)險(xiǎn)評(píng)估選擇保護(hù)系統(tǒng)的控制措施集。

4. 實(shí)施(Implement)： 部署控制措施并記錄其部署方式。

5. 評(píng)估(Assess)： 確定控制措施是否到位、按預(yù)期運(yùn)行并產(chǎn)生所需結(jié)果。

6. 授權(quán)(Authorize)：由高級(jí)管理人員根據(jù)風(fēng)險(xiǎn)做出授權(quán)系統(tǒng)運(yùn)行的決策。

7. 監(jiān)控(Monitor)：持續(xù)監(jiān)控控制措施的實(shí)施情況和系統(tǒng)的風(fēng)險(xiǎn)。

值得注意的地方：RMF“提供了一個(gè)程序化和有序的流程，幫助企業(yè)將安全性嵌入到整體風(fēng)險(xiǎn)管理過程中，從而使企業(yè)與聯(lián)邦法規(guī)保持一致，”Botzen說。

Vancil指出，NIST框架很有幫助，因?yàn)樗峁┝艘粋€(gè)完整的計(jì)劃，用于發(fā)現(xiàn)、評(píng)估和減少風(fēng)險(xiǎn)?！八€企業(yè)了在系統(tǒng)開發(fā)生命周期中納入安全和風(fēng)險(xiǎn)管理任務(wù)，確保從一開始就考慮安全問題?！?/p>

OCTAVE

它是什么： 運(yùn)營關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估(OCTAVE)是由卡內(nèi)基梅隆大學(xué)(CMU)的計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)開發(fā)的一個(gè)框架，用于識(shí)別和管理信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

它的作用： 該模型定義了一種全面的評(píng)估方法，使企業(yè)能夠識(shí)別對(duì)其任務(wù)重要的信息資產(chǎn)、這些資產(chǎn)面臨的威脅以及可能使這些資產(chǎn)暴露于威脅中的漏洞。

它的運(yùn)作方式： 根據(jù)CMU的軟件工程研究所，通過將信息資產(chǎn)、威脅和漏洞整合在一起，企業(yè)可以開始理解哪些信息處于風(fēng)險(xiǎn)之中。基于這種理解，他們可以設(shè)計(jì)和實(shí)施一種保護(hù)策略，以減少其信息資產(chǎn)的整體風(fēng)險(xiǎn)暴露。

值得注意的地方： OCTAVE有兩個(gè)版本：OCTAVE-S，這是一種簡化的方法，適用于具有扁平層級(jí)結(jié)構(gòu)的小型企業(yè)，OCTAVE Allegro，則是一個(gè)更全面的框架，適用于大型企業(yè)或具有復(fù)雜結(jié)構(gòu)的企業(yè)。

Vancil說：“OCTAVE非常適合那些希望確保其IT風(fēng)險(xiǎn)管理與業(yè)務(wù)目標(biāo)一致的公司，因?yàn)樗幚淼氖瞧髽I(yè)風(fēng)險(xiǎn)和戰(zhàn)略問題。它對(duì)重要資產(chǎn)的發(fā)現(xiàn)和漏洞評(píng)估的關(guān)注，幫助企業(yè)正確地進(jìn)行安全努力?！?/p>

該框架“從企業(yè)的角度識(shí)別和管理風(fēng)險(xiǎn)，這對(duì)于了解不同風(fēng)險(xiǎn)如何影響各種業(yè)務(wù)運(yùn)營至關(guān)重要，”Botzen說。

TARA

它是什么： 威脅評(píng)估與補(bǔ)救分析(TARA)是一種工程方法學(xué)，用于識(shí)別和評(píng)估網(wǎng)絡(luò)安全漏洞，并選擇能夠緩解這些漏洞的對(duì)策，根據(jù)MITRE(一個(gè)專注于包括網(wǎng)絡(luò)安全在內(nèi)的技術(shù)領(lǐng)域研究與開發(fā)的非營利企業(yè))的說法。

它的作用： 該框架是MITRE系統(tǒng)安全工程實(shí)踐組合的一部分，側(cè)重于在采購過程的早期階段改善系統(tǒng)的網(wǎng)絡(luò)安全衛(wèi)生和彈性。

它的運(yùn)作方式： TARA使用一個(gè)存儲(chǔ)數(shù)據(jù)的目錄來為識(shí)別可能被用于利用系統(tǒng)漏洞的攻擊向量的過程提供信息，同時(shí)還提供潛在的對(duì)策，以防止這些漏洞被利用或減輕其影響。

值得注意的地方： TARA最初于2010年開發(fā)，已在超過30次網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中使用。它可以幫助企業(yè)基于整體業(yè)務(wù)影響來決定哪些風(fēng)險(xiǎn)需要認(rèn)真對(duì)待，Botzen說。

Vancil表示，這一框架“非常適合專注于威脅的風(fēng)險(xiǎn)研究。它幫助團(tuán)隊(duì)確定他們面臨的威脅以及如何阻止這些威脅。這種方法在威脅不斷變化的環(huán)境中特別有效。”