合适才是最好的，几大IT风险评估框架简介

发布时间：2022-03-25 14:59 所属栏目：53 来源：互联网

导读：企业组织在选择IT风险评估框架时，需要遵循合适才是最好的的原则，合适的风险评估框架和方法可以帮助其打消IT疑虑。基于用户反馈，企业组织可以重点关注NIST RMF、OCTAVE、COBIT、TARA和FAIR这五大风险评估框架，每个框架都有其特点和适用的场景。 NIST RMF

　　企业组织在选择IT风险评估框架时，需要遵循“合适才是最好的”的原则，合适的风险评估框架和方法可以帮助其打消IT疑虑。基于用户反馈，企业组织可以重点关注NIST RMF、OCTAVE、COBIT、TARA和FAIR这五大风险评估框架，每个框架都有其特点和适用的场景。

　　NIST RMF的七个步骤是：

　　准备，包括为企业组织管理安全和隐私风险所有准备的必要活动。

　　分类，包括分类系统和基于影响分析处理、存储和传输的信息。

　　选择，根据风险评估选择一组NIST SP 800-53控制来保护系统。

　　实施，部署控制系统并记录它们的部署方式。

　　评估，确定控制系统是否到位，是否按预期运行，并产生预期的结果。

　　授权，高级管理人员做出基于风险的决定来授权系统运行。

　　监控，包括持续监控控制系统的实施和系统风险。

　　OCTAVE

　　OCTAVE(运营关键威胁、资产和漏洞评估)，由卡内基梅隆大学的计算机应急小组(CERT)开发，是用于识别和管理信息安全风险的框架。它从物理、技术和人力资源的角度来看待安全，可以识别企业组织关键任务资产，并发现威胁和漏洞。

　　企业组织通过信息资产、威胁和漏洞识别，可以了解哪些信息面临风险，并设计和部署策略来降低整体风险。不过，OCTAVE部署起来可能比较复杂，而且只能通过定性方法进行量化。目前，有两个版本的OCTAVE：一个是OCTAVE-S，专为具有扁平层次结构的小型企业组织而设计，是一种简化方法。另一个是OCTAVE Allegro，适用于大型或结构复杂的企业组织，是一个更全面的框架。OCTAVE允许运营团队和IT团队一起协作来解决企业组织的安全需求。

　　FAIR

　　FAIR(信息风险因素分析)是对导致风险的因素及其相互关系进行分类的方法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发，主要为数据丢失事件的频率和幅度建立准确概率。

　　FAIR不是用于企业组织或个人风险评估的方法，但它为企业组织提供一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。

　　FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一，这种务实的风险框架为评估企业组织风险提供了坚实基础。不过，虽然FAIR提供了威胁、漏洞和风险的全面定义，但是却没有很好的记录，因此难以实施。

（编辑：ASP站长网）