黑客24小时在线接单的网站

从网络安全的角度来看，如今的组织正在一个高风险的世界中运营。这种情况下，拥有风险管理框架显得至关重要，因为风险永远无法完全消除;它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。

在选择风险评估框架时，最关键的考虑因素是确保它“迎合目的”最适合预期结果。此外，选择一个知名且易于理解的框架也是有益的。它可以确保框架的使用更加一致和有效，并允许组织中的个人使用一致的语言。

该组织可以使用风险评估框架来帮助指导安全和风险管理人员。以下是最突出的框架之一，旨在解决特定的风险领域。

NIST风险管理框架

国家标准与技术研究院(NIST)风险管理框架(Risk Management Framework，简称RMF)该组织可以利用它来管理信息安全和隐私风险，提供来管理信息安全和隐私风险。它还有一套NIST标准和指南，以支持风险管理计划的实施，使其满足联邦信息安全现代化法案(FISMA)合规要求。

据NIST称，RMF它提供了将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的过程。它可以应用于包括物联网在内的任何类型的系统或技术(IoT)以及制系统，以及任何类型的企业组织——无论其规模或部门如何。NIST RMF七个步骤是：

               
• 准备，包括组织必要的活动来管理安全和隐私风险；
               
• 分类包括基于影响分析处理、存储和传输的分类系统和信息；
               
• 选择，即根据风险评估选择一组NIST SP 800-53控制保护系统；
               
• 实施、部署控制系统并记录其部署方法；
               
• 评估，确定控制系统是否到位，是否按预期运行，并产生预期结果；
               
• 授权高级管理人员根据风险决定授权系统运行；
               
• 监控包括持续监控系统的实施和系统风险。

NIST RMF许多工具可以根据企业组织的需要进行定制，并且可以经常进行评估和更新。IT部署专业人员NIST RMF我们应该明白，它不是一种自动化工具，而是一个需要严格遵守纪律以正确建模风险的文件框架，这一点非常重要。

目前，NIST出版了一些易于理解和适用于大多数组织的风险相关出版物。这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的过程，有助于控制选择和制定政策。

OCTAVE

运营威胁、资产和漏洞评估(OCTAVE)卡内基梅隆大学的计算机应急小组(CERT)开发是识别和管理信息安全风险的框架。它定义了一种综合评估方法，允许组织识别对其目标非常重要的信息资产、威胁这些资产和可能威胁这些资产的漏洞。

通过将信息资产、威胁和漏洞结合起来，组织可以充分了解哪些信息面临风险。通过这种理解，他们可以设计和部署降低信息资产整体风险敞口的策略。

目前有两个版本OCTAVE。一个是OCTAVE-S，这是一种简化方法，专门为具有扁平层次结构的小企业组织设计。另一个是OCTAVE Allegro，适用于大型或结构复杂的企业组织，这是一个更全面的框架。

可以说，OCTAVE它是一个精心设计的风险评估框架，因为它从物理、技术和人力资源的角度来看待安全。它可以识别任何组织的关键任务资产，并发现威胁和漏洞。然而，部署可能非常复杂，只能通过定性方法量化。

然而，该框架的灵活性允许操作团队和IT团队合作解决企业组织的安全需求。

COBIT

来自ISACA(国际信息系统审计协会)“控制信息和相关技术的目标”(COBIT)是IT管理和治理的框架。以业务为中心，为中心IT管理定义了一组通用流程。每个过程都集成了流程输入输出、关键活动、目标、绩效测量和基本成熟度模型。

据ISACA称，最新版本COBIT 2019年提供了更多的实施资源、实践指导和意见，以及更灵活的综合培训机会，使组织能够通过框架定制其治理过程。

COBIT是与IT高级框架与政策执行一致的高级框架。然而，挑战在于COBIT成本高，实施需要高知识和技能。

该框架是解决企业组织信息和技术治理和管理的唯一模式。COBIT主要目的不是针对风险，而是将各种风险实践整合到整个框架中，并引用了世界公认的多个风险框架。

TARA

非营利组织MITRE(从事技术领域的研发，包括网络安全)，威胁评估和补救分析(TARA)用于识别和评估网络安全漏洞并部署对策来缓解网络安全漏洞的工程方法。

该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE表示，“TARA评估方法可以描述为联合交易研究，第一笔交易是基于评估的风险识别和攻击向量的排列，第二笔交易是基于评估的效用、成本识别和选择对策。”

该方法的独特之处包括使用目录存储的缓解映射，为给定的攻击向量范围选择可能的对策，并提供基于风险容忍度的对策。

TARA它是一种实用的方法，可以在考虑缓解措施的同时确定关键风险，并可以增强包含攻击者重要信息的正式风险方法，可以改善风险状况。

FAIR

分析信息风险因素(FAIR)它是对风险因素及其相互影响的分类方法。该框架由 组成Nationwide Mutual Insurance前首席信息安全官Jack Jones开发主要是为数据丢失事件的频率和范围建立准确的概率。

FAIR不是实施企业或个人风险评估的方法。但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的测量尺度、风险评估的计算引擎和分析复杂风险情况的模型。

FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实基础。不过，虽然FAIR它提供了对威胁、漏洞和风险的全面定义，但它没有很好的记录，因此很难实施。

与其它风险框架不同的是，FAIR重点是将风险量化为实际美元，而不是传统美元“高、中、低”评分。这也引起了高级领导人和董事会成员的注意，通过有意义的方式更好地量化风险，从而实现更仔细的商业讨论。

本文翻译自：https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html