企業(yè)組織在選擇IT風(fēng)險(xiǎn)評(píng)估框架時(shí)，需要遵循“合適才是最好的”的原則，合適的風(fēng)險(xiǎn)評(píng)估框架和方法可以幫助其打消IT疑慮?；谟脩舴答仯髽I(yè)組織可以重點(diǎn)關(guān)注NIST RMF、OCTAVE、COBIT、TARA和FAIR這五大風(fēng)險(xiǎn)評(píng)估框架，每個(gè)框架都有其特點(diǎn)和適用的場(chǎng)景。

　　NIST RMF

　　美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（簡(jiǎn)稱“NIST”）的風(fēng)險(xiǎn)管理框架（簡(jiǎn)稱“RMF”），提供了一個(gè)將安全、隱私和供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)集成到系統(tǒng)開(kāi)發(fā)生命周期中的流程。它可以應(yīng)用于任何類型的系統(tǒng)或技術(shù)，包括物聯(lián)網(wǎng)（IoT）和控制系統(tǒng)，以及任何類型的企業(yè)組織，無(wú)論其規(guī)模或部門如何。

　　NIST RMF的七個(gè)步驟是：

　　準(zhǔn)備，包括為企業(yè)組織管理安全和隱私風(fēng)險(xiǎn)所有準(zhǔn)備的必要活動(dòng)。

　　分類，包括分類系統(tǒng)和基于影響分析處理、存儲(chǔ)和傳輸?shù)男畔ⅰ?/p>

　　選擇，根據(jù)風(fēng)險(xiǎn)評(píng)估選擇一組NIST SP 800-53控制來(lái)保護(hù)系統(tǒng)。

　　實(shí)施，部署控制系統(tǒng)并記錄它們的部署方式。

　　評(píng)估，確定控制系統(tǒng)是否到位，是否按預(yù)期運(yùn)行，并產(chǎn)生預(yù)期的結(jié)果。

　　授權(quán)，高級(jí)管理人員做出基于風(fēng)險(xiǎn)的決定來(lái)授權(quán)系統(tǒng)運(yùn)行。

　　監(jiān)控，包括持續(xù)監(jiān)控控制系統(tǒng)的實(shí)施和系統(tǒng)風(fēng)險(xiǎn)。

　　NIST RMF可以根據(jù)企業(yè)組織需求進(jìn)行定制，并應(yīng)經(jīng)常評(píng)估和更新該框架，許多工具支持該標(biāo)準(zhǔn)。值得注意的一點(diǎn)是，IT專業(yè)人員“在部署NIST RMF時(shí)要明白，它不是一個(gè)自動(dòng)化工具，而是一個(gè)需要嚴(yán)格遵守紀(jì)律才能正確建模風(fēng)險(xiǎn)的文件化框架?！痹摽蚣荜P(guān)聯(lián)到一套NIST標(biāo)準(zhǔn)和指南，以支持風(fēng)險(xiǎn)管理計(jì)劃的實(shí)施，滿足美國(guó)聯(lián)邦信息安全現(xiàn)代化法案（FISMA）的要求。

　　OCTAVE

　　OCTAVE（運(yùn)營(yíng)關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估），由卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急小組（CERT）開(kāi)發(fā)，是用于識(shí)別和管理信息安全風(fēng)險(xiǎn)的框架。它從物理、技術(shù)和人力資源的角度來(lái)看待安全，可以識(shí)別企業(yè)組織關(guān)鍵任務(wù)資產(chǎn)，并發(fā)現(xiàn)威脅和漏洞。

　　企業(yè)組織通過(guò)信息資產(chǎn)、威脅和漏洞識(shí)別，可以了解哪些信息面臨風(fēng)險(xiǎn)，并設(shè)計(jì)和部署策略來(lái)降低整體風(fēng)險(xiǎn)。不過(guò)，OCTAVE部署起來(lái)可能比較復(fù)雜，而且只能通過(guò)定性方法進(jìn)行量化。目前，有兩個(gè)版本的OCTAVE：一個(gè)是OCTAVE-S，專為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設(shè)計(jì)，是一種簡(jiǎn)化方法。另一個(gè)是OCTAVE Allegro，適用于大型或結(jié)構(gòu)復(fù)雜的企業(yè)組織，是一個(gè)更全面的框架。OCTAVE允許運(yùn)營(yíng)團(tuán)隊(duì)和IT團(tuán)隊(duì)一起協(xié)作來(lái)解決企業(yè)組織的安全需求。

　　COBIT

　　COBIT（即信息和相關(guān)技術(shù)的控制目標(biāo)），來(lái)自ISACA（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)），是IT管理和治理的框架。它以業(yè)務(wù)為中心，并為IT管理定義了一組通用流程，每個(gè)流程都融合了流程輸入和輸出、關(guān)鍵活動(dòng)、目標(biāo)、績(jī)效度量和基本成熟度模型等因素。一位業(yè)內(nèi)人士表示，“COBIT是解決企業(yè)組織信息和技術(shù)治理和管理的模型，雖然其主要目的不是專門針對(duì)風(fēng)險(xiǎn)，但在整個(gè)框架中整合了多種風(fēng)險(xiǎn)實(shí)踐，并引用了多個(gè)全球公認(rèn)的風(fēng)險(xiǎn)框架?！?/p>

　　COBIT是“與 IT 管理流程和政策執(zhí)行相一致的高級(jí)框架，”安全軟件提供商趨勢(shì)科技首席網(wǎng)絡(luò)安全官、美國(guó)特勤局前CISO Ed Cabrera表示，“挑戰(zhàn)在于COBIT成本高昂，并且需要具備很高的知識(shí)和技能才能實(shí)施?！睋?jù)ISACA介紹，最新版本COBIT 2019提供了更多實(shí)施資源、指導(dǎo)和見(jiàn)解，以及全面的培訓(xùn)機(jī)會(huì)。它實(shí)施起來(lái)會(huì)更加靈活，使企業(yè)組織能夠通過(guò)框架定制其IT治理。

　　TARA

　　根據(jù)網(wǎng)絡(luò)安全公司MITRE的定義，TARA（威脅評(píng)估和補(bǔ)救分析）是一種工程方法，用于識(shí)別和評(píng)估網(wǎng)絡(luò)安全漏洞并部署對(duì)策來(lái)緩解它們。TARA是一種在考慮緩解措施的同時(shí)確定關(guān)鍵風(fēng)險(xiǎn)的實(shí)用方法，其獨(dú)特之處包括使用目錄存儲(chǔ)的緩解映射方式，為給定的攻擊向量范圍預(yù)先選擇可能的對(duì)策，以及提供基于風(fēng)險(xiǎn)容忍度的對(duì)策。

　　該框架是MITRE系統(tǒng)安全工程（SSE）實(shí)踐組合的一部分。MITRE方面表示，“TARA評(píng)估方法可以被描述為聯(lián)合交易研究，其中第一個(gè)交易是基于評(píng)估的風(fēng)險(xiǎn)識(shí)別和排列攻擊向量，第二個(gè)交易是基于評(píng)估的效用、成本識(shí)別和選擇對(duì)策。”

　　FAIR

　　FAIR（信息風(fēng)險(xiǎn)因素分析）是對(duì)導(dǎo)致風(fēng)險(xiǎn)的因素及其相互關(guān)系進(jìn)行分類的方法。該框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones開(kāi)發(fā)，主要為數(shù)據(jù)丟失事件的頻率和幅度建立準(zhǔn)確概率。

　　FAIR不是用于企業(yè)組織或個(gè)人風(fēng)險(xiǎn)評(píng)估的方法，但它為企業(yè)組織提供一種理解、分析和衡量信息風(fēng)險(xiǎn)的方法。該框架的組成部分包括信息風(fēng)險(xiǎn)分類法、信息風(fēng)險(xiǎn)術(shù)語(yǔ)的標(biāo)準(zhǔn)化命名法、建立數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險(xiǎn)因素的度量尺度、評(píng)估風(fēng)險(xiǎn)的計(jì)算引擎以及分析復(fù)雜風(fēng)險(xiǎn)情景的模型。

　　FAIR是為信息安全和運(yùn)營(yíng)風(fēng)險(xiǎn)提供可靠量化模型的少數(shù)方法之一，這種務(wù)實(shí)的風(fēng)險(xiǎn)框架為評(píng)估企業(yè)組織風(fēng)險(xiǎn)提供了堅(jiān)實(shí)基礎(chǔ)。不過(guò)，雖然FAIR提供了威脅、漏洞和風(fēng)險(xiǎn)的全面定義，但是卻沒(méi)有很好的記錄，因此難以實(shí)施。