正式的風(fēng)險評估方法可以幫助消除評估IT風(fēng)險時的猜測工作，如果正確應(yīng)用的話。

技術(shù)是企業(yè)最重要的資產(chǎn)之一，對于運營或支持許多業(yè)務(wù)流程至關(guān)重要，它也是最大的風(fēng)險之一，這就是為什么IT風(fēng)險評估框架至關(guān)重要的原因。

IT風(fēng)險評估使企業(yè)能夠評估其系統(tǒng)、設(shè)備和數(shù)據(jù)所面臨的風(fēng)險，無論是網(wǎng)絡(luò)安全威脅、中斷還是其他事件，他們還可以評估這些風(fēng)險的潛在影響，這些工作的主要目標(biāo)是減輕任何已識別的風(fēng)險，以避免數(shù)據(jù)泄露或不遵守法規(guī)等負面影響。

“在動態(tài)的IT生態(tài)系統(tǒng)中，強大的風(fēng)險管理框架至關(guān)重要，”Shaw University的CIO Leon Lewis說?！半S著數(shù)字生態(tài)系統(tǒng)變得越來越復(fù)雜，主動的風(fēng)險管理促進了各行業(yè)的彈性和安全性?！?/p>

IT和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可以根據(jù)其企業(yè)的需求選擇多種IT風(fēng)險評估方法。以下是一些最受歡迎的框架，每個框架都旨在解決特定的風(fēng)險領(lǐng)域。

COBIT

它是什么： 控制目標(biāo)信息及相關(guān)技術(shù)(COBIT)是信息系統(tǒng)審計與控制協(xié)會(ISACA)的一個框架，該協(xié)會是一個專注于IT治理的國際專業(yè)協(xié)會，旨在用于IT管理和治理，它是一個廣泛而全面的框架，旨在支持理解、設(shè)計和實施企業(yè)IT的管理和治理。

它的作用： 根據(jù)ISACA的說法，COBIT定義了構(gòu)建和維持最佳適配治理系統(tǒng)的組成部分和設(shè)計因素。最新版本COBIT 2019包括六項治理原則：提供利益相關(guān)者價值，整體方法，動態(tài)治理系統(tǒng)，治理與管理區(qū)分開，根據(jù)企業(yè)需求量身定制，端到端治理系統(tǒng)。

它的運作方式： 該框架以業(yè)務(wù)為重點，定義了一組管理IT組件的通用流程。每個流程都定義了流程輸入和輸出、關(guān)鍵活動、目標(biāo)、績效衡量標(biāo)準(zhǔn)和基本成熟度模型。

值得注意的地方： ISACA表示，COBIT的實施具有靈活性，使企業(yè)能夠通過該框架定制其治理策略。

“COBIT通過其對企業(yè)IT治理和管理的不懈關(guān)注，使IT基礎(chǔ)設(shè)施與業(yè)務(wù)目標(biāo)保持一致，并保持戰(zhàn)略優(yōu)勢，”Rivermate的CEO Lucas Botzen表示，該公司是一家提供遠程勞動力和薪資服務(wù)的供應(yīng)商。

“對于企業(yè)IT的治理和管理，COBIT 是必不可少的，”Fuel Logic的CEO Eliot Vancil表示，該公司提供燃料管理解決方案?！八鼮閯?chuàng)建、實施、監(jiān)控和改進IT管理和控制提供了一個計劃。COBIT的全面方法確保了IT與業(yè)務(wù)目標(biāo)協(xié)同工作并增加了價值?！?/p>

FAIR

它是什么： 信息風(fēng)險因素分析(FAIR)是一種量化和管理企業(yè)內(nèi)風(fēng)險的方法。根據(jù)致力于推進網(wǎng)絡(luò)和運營風(fēng)險管理學(xué)科的研究型非營利企業(yè)Fair Institute的說法，它是信息安全和運營風(fēng)險領(lǐng)域唯一的國際標(biāo)準(zhǔn)量化模型。

它的作用： FAIR提供了一個模型，用于理解、分析和量化網(wǎng)絡(luò)風(fēng)險和運營風(fēng)險，并以財務(wù)術(shù)語表達其影響。與那些輸出以定性顏色圖表或加權(quán)數(shù)值刻度為中心的風(fēng)險評估框架不同，F(xiàn)AIR為開發(fā)穩(wěn)健的信息風(fēng)險管理方法奠定了基礎(chǔ)。

它的運作方式： FAIR由Nationwide Mutual Insurance前CISO Jack Jones開發(fā)，主要關(guān)注為數(shù)據(jù)丟失事件的頻率和規(guī)模建立準(zhǔn)確的概率。它不是用于執(zhí)行企業(yè)或個人風(fēng)險評估的方法，而是為企業(yè)提供理解、分析和衡量信息風(fēng)險的方式。

其組件包括信息風(fēng)險的分類法、信息風(fēng)險術(shù)語的標(biāo)準(zhǔn)化命名法、制定數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險因素的測量標(biāo)準(zhǔn)、用于計算風(fēng)險的計算引擎以及分析復(fù)雜風(fēng)險場景的模型。

值得注意的地方： Shaw University的Lewis表示，F(xiàn)AIR的定量網(wǎng)絡(luò)風(fēng)險評估適用于各個行業(yè)，現(xiàn)在更加注重供應(yīng)鏈風(fēng)險管理和保護物聯(lián)網(wǎng)(IoT)及人工智能(AI)等技術(shù)。

由于FAIR采用定量風(fēng)險管理方法，它幫助企業(yè)確定風(fēng)險如何影響其財務(wù)狀況，F(xiàn)uel Logic的Vancil表示。“這種方法可以讓你選擇如何最佳地分配安全預(yù)算以及如何平衡風(fēng)險和回報。”

ISO/IEC 27001

它是什么： 國際標(biāo)準(zhǔn)化企業(yè)(ISO)/國際電工委員會(IEC)27001是一個國際標(biāo)準(zhǔn)，提供了如何管理信息安全的指導(dǎo)。它最初由ISO和IEC在2005年聯(lián)合發(fā)布，并經(jīng)過了后續(xù)的修訂。

它的作用： 根據(jù)ISO的說法，ISO/IEC 27001為各個規(guī)模和各個行業(yè)的公司提供了關(guān)于建立、實施、維護和持續(xù)改進信息安全管理系統(tǒng)的指導(dǎo)。

它的運作方式： ISO/IEC 27001提倡對信息安全采取整體性方法，包括審查人員、政策和技術(shù)。根據(jù)ISO的說法，按照該標(biāo)準(zhǔn)實施的信息安全管理系統(tǒng)是風(fēng)險管理、網(wǎng)絡(luò)彈性和運營卓越的工具。

值得注意的地方： 符合ISO/IEC 27001意味著企業(yè)已經(jīng)建立了一個系統(tǒng)，以管理與企業(yè)擁有或處理的數(shù)據(jù)安全相關(guān)的風(fēng)險。

Vancil表示，該標(biāo)準(zhǔn)“為處理和保護私營公司數(shù)據(jù)提供了一個結(jié)構(gòu)化的方法。這一標(biāo)準(zhǔn)在全球范圍內(nèi)使用，幫助企業(yè)保障信息安全并有效管理?！?/p>

NIST風(fēng)險管理框架

它是什么： 國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)是一個美國政府機構(gòu)，致力于推動測量科學(xué)、標(biāo)準(zhǔn)和技術(shù)的發(fā)展。其風(fēng)險管理框架(RMF)提供了一個全面、可重復(fù)和可衡量的七步流程，供企業(yè)用來管理信息安全和隱私風(fēng)險。

該框架鏈接到一套NIST標(biāo)準(zhǔn)和指南，以支持實施風(fēng)險管理計劃，從而滿足《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的要求。

它的作用： 根據(jù)NIST的說法，RMF提供了一個將安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理活動集成到系統(tǒng)開發(fā)生命周期中的流程?；陲L(fēng)險的控制選擇和規(guī)范方法考慮了適用法律、指令、行政命令、政策、標(biāo)準(zhǔn)或法規(guī)所引起的效力、效率和限制。

它的運作方式： RMF的七個步驟是：

1. 準(zhǔn)備(Prepare)： 準(zhǔn)備企業(yè)以管理安全和隱私風(fēng)險的基本活動。

2. 分類(Categorize)： 根據(jù)影響分析對系統(tǒng)和處理、存儲及傳輸?shù)男畔⑦M行分類。

3. 選擇(Select)： 根據(jù)風(fēng)險評估選擇保護系統(tǒng)的控制措施集。

4. 實施(Implement)： 部署控制措施并記錄其部署方式。

5. 評估(Assess)： 確定控制措施是否到位、按預(yù)期運行并產(chǎn)生所需結(jié)果。

6. 授權(quán)(Authorize)：由高級管理人員根據(jù)風(fēng)險做出授權(quán)系統(tǒng)運行的決策。

7. 監(jiān)控(Monitor)：持續(xù)監(jiān)控控制措施的實施情況和系統(tǒng)的風(fēng)險。

值得注意的地方：RMF“提供了一個程序化和有序的流程，幫助企業(yè)將安全性嵌入到整體風(fēng)險管理過程中，從而使企業(yè)與聯(lián)邦法規(guī)保持一致，”Botzen說。

Vancil指出，NIST框架很有幫助，因為它提供了一個完整的計劃，用于發(fā)現(xiàn)、評估和減少風(fēng)險?！八€企業(yè)了在系統(tǒng)開發(fā)生命周期中納入安全和風(fēng)險管理任務(wù)，確保從一開始就考慮安全問題?！?/p>

OCTAVE

它是什么： 運營關(guān)鍵威脅、資產(chǎn)和漏洞評估(OCTAVE)是由卡內(nèi)基梅隆大學(xué)(CMU)的計算機應(yīng)急響應(yīng)小組(CERT)開發(fā)的一個框架，用于識別和管理信息網(wǎng)絡(luò)安全風(fēng)險。

它的作用： 該模型定義了一種全面的評估方法，使企業(yè)能夠識別對其任務(wù)重要的信息資產(chǎn)、這些資產(chǎn)面臨的威脅以及可能使這些資產(chǎn)暴露于威脅中的漏洞。

它的運作方式： 根據(jù)CMU的軟件工程研究所，通過將信息資產(chǎn)、威脅和漏洞整合在一起，企業(yè)可以開始理解哪些信息處于風(fēng)險之中。基于這種理解，他們可以設(shè)計和實施一種保護策略，以減少其信息資產(chǎn)的整體風(fēng)險暴露。

值得注意的地方： OCTAVE有兩個版本：OCTAVE-S，這是一種簡化的方法，適用于具有扁平層級結(jié)構(gòu)的小型企業(yè)，OCTAVE Allegro，則是一個更全面的框架，適用于大型企業(yè)或具有復(fù)雜結(jié)構(gòu)的企業(yè)。

Vancil說：“OCTAVE非常適合那些希望確保其IT風(fēng)險管理與業(yè)務(wù)目標(biāo)一致的公司，因為它處理的是企業(yè)風(fēng)險和戰(zhàn)略問題。它對重要資產(chǎn)的發(fā)現(xiàn)和漏洞評估的關(guān)注，幫助企業(yè)正確地進行安全努力?！?/p>

該框架“從企業(yè)的角度識別和管理風(fēng)險，這對于了解不同風(fēng)險如何影響各種業(yè)務(wù)運營至關(guān)重要，”Botzen說。

TARA

它是什么： 威脅評估與補救分析(TARA)是一種工程方法學(xué)，用于識別和評估網(wǎng)絡(luò)安全漏洞，并選擇能夠緩解這些漏洞的對策，根據(jù)MITRE(一個專注于包括網(wǎng)絡(luò)安全在內(nèi)的技術(shù)領(lǐng)域研究與開發(fā)的非營利企業(yè))的說法。

它的作用： 該框架是MITRE系統(tǒng)安全工程實踐組合的一部分，側(cè)重于在采購過程的早期階段改善系統(tǒng)的網(wǎng)絡(luò)安全衛(wèi)生和彈性。

它的運作方式： TARA使用一個存儲數(shù)據(jù)的目錄來為識別可能被用于利用系統(tǒng)漏洞的攻擊向量的過程提供信息，同時還提供潛在的對策，以防止這些漏洞被利用或減輕其影響。

值得注意的地方： TARA最初于2010年開發(fā)，已在超過30次網(wǎng)絡(luò)風(fēng)險評估中使用。它可以幫助企業(yè)基于整體業(yè)務(wù)影響來決定哪些風(fēng)險需要認真對待，Botzen說。

Vancil表示，這一框架“非常適合專注于威脅的風(fēng)險研究。它幫助團隊確定他們面臨的威脅以及如何阻止這些威脅。這種方法在威脅不斷變化的環(huán)境中特別有效。”