從網(wǎng)絡安全的角度來看，如今的組織正在一個高風險的世界中運營。這種情況下，擁有風險管理框架顯得至關(guān)重要，因為風險永遠無法完全消除；它只能得到有效管理。企業(yè)評估和管理風險的能力變得前所未有得重要。

　　而選擇風險評估框架時，最關(guān)鍵的考慮因素就是確保它“迎合目的”并最適合預期結(jié)果。此外，選擇廣為人知且易于理解的框架同樣有好處，它能夠確保框架的使用更加一致和有效，并允許組織內(nèi)的個人使用一致的語言。

　　組織可以利用風險評估框架來幫助指導安全和風險管理人員。以下是其中一些最突出的框架，每個框架都旨在解決特定的風險領(lǐng)域。

　　NIST風險管理框架

　　美國國家標準與技術(shù)研究院（NIST）的風險管理框架（Risk Management Framework，簡稱RMF）提供了一個全面、可重復和可衡量的七步流程，組織可以用其管理信息安全和隱私風險。它還附帶一套NIST標準和指南，以支持風險管理計劃的實施，使其滿足聯(lián)邦信息安全現(xiàn)代化法案（FISMA）的合規(guī)要求。

　　據(jù)NIST稱，RMF提供了一個將安全、隱私和供應鏈風險管理活動集成到系統(tǒng)開發(fā)生命周期中的流程。它可以應用于任何類型的系統(tǒng)或技術(shù)，包括物聯(lián)網(wǎng)（IoT）和控制系統(tǒng)，以及任何類型的企業(yè)組織——無論其規(guī)模或部門如何。NIST RMF的七個步驟為：

　　準備，包括使組織準備好管理安全和隱私風險的必要活動；

　　分類，包括分類系統(tǒng)和基于影響分析處理、存儲和傳輸?shù)男畔ⅲ?/p>

　　選擇，即根據(jù)風險評估選擇一組NIST SP 800-53控制來保護系統(tǒng)；

　　實施，部署控制系統(tǒng)并記錄它們的部署方式；

　　評估，確定控制系統(tǒng)是否到位，是否按預期運行，并產(chǎn)生預期的結(jié)果；

　　授權(quán)，高級管理人員做出基于風險的決定來授權(quán)系統(tǒng)運行；

　　監(jiān)控，包括持續(xù)監(jiān)控控制系統(tǒng)的實施和系統(tǒng)風險。

　　NIST RMF可以根據(jù)企業(yè)組織需求進行定制，且經(jīng)常能夠得到評估和更新，許多工具支持該標準。IT專業(yè)人員在部署NIST RMF時要明白，它不是一個自動化工具，而是一個需要嚴格遵守紀律以正確建模風險的文件化框架，這一點至關(guān)重要。

　　目前，NIST已經(jīng)出版了一些易于理解且適用于大多數(shù)組織的風險相關(guān)出版物。這些參考資料提供了一個整合安全、隱私和網(wǎng)絡供應鏈風險管理活動的流程，有助于控制選擇和政策制定。

　　OCTAVE

　　運營關(guān)鍵威脅、資產(chǎn)和漏洞評估（OCTAVE）由卡內(nèi)基梅隆大學的計算機應急小組（CERT）開發(fā)，是用于識別和管理信息安全風險的框架。它定義了一種綜合評估方法，允許組織識別對其目標很重要的信息資產(chǎn)、對這些資產(chǎn)的威脅以及可能使這些資產(chǎn)面臨威脅的漏洞。

　　通過將信息資產(chǎn)、威脅和漏洞結(jié)合在一起，組織能夠全面了解哪些信息面臨風險。而有了這種理解，他們就可以設計和部署策略來降低信息資產(chǎn)的整體風險敞口。

　　目前，有兩個版本的OCTAVE。一個是OCTAVE-S，這是一種簡化方法，專為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設計。另一個是OCTAVE Allegro，這是一個更全面的框架，適用于大型或結(jié)構(gòu)復雜的企業(yè)組織。

　　可以說，OCTAVE是一個精心設計的風險評估框架，因為它從物理、技術(shù)和人力資源的角度來看待安全。它可以識別對任何組織而言都是關(guān)鍵任務的資產(chǎn)，并發(fā)現(xiàn)威脅和漏洞。但是，部署起來可能非常復雜，而且只能通過定性方法進行量化。

　　不過，這種框架的靈活性允許運營團隊和IT團隊一起協(xié)作來解決企業(yè)組織的安全需求。

　　COBIT

　　來自ISACA（國際信息系統(tǒng)審計協(xié)會）的“信息和相關(guān)技術(shù)的控制目標”（COBIT）是IT管理和治理的框架。它旨在以業(yè)務為中心，并為IT管理定義了一組通用流程。每個流程都融合了流程輸入和輸出、關(guān)鍵活動、目標、績效度量和基本成熟度模型等因素。

　　據(jù)ISACA稱，最新版本的COBIT 2019提供了更多的實施資源、實踐指導和見解，以及全面的培訓機會，其實施更加靈活，使組織能夠通過框架定制他們的治理過程。

　　COBIT是與IT管理流程和政策執(zhí)行相一致的高級框架。不過，挑戰(zhàn)在于COBIT成本高昂，并且需要具備很高的知識和技能才能實施。

　　該框架是解決企業(yè)組織信息和技術(shù)治理和管理的唯一模型。雖然COBIT的主要目的不是專門針對風險，但它在整個框架中整合了多種風險實踐，并引用了多個全球公認的風險框架。

　　TARA

　　據(jù)非營利組織MITRE（從事包括網(wǎng)絡安全在內(nèi)的技術(shù)領(lǐng)域研究和開發(fā)）稱，威脅評估和補救分析（TARA）是一種工程方法，用于識別和評估網(wǎng)絡安全漏洞并部署對策來緩解它們。

　　該框架是MITRE系統(tǒng)安全工程（SSE）實踐組合的一部分。MITRE表示，“TARA評估方法可以被描述為聯(lián)合交易研究，其中第一個交易是基于評估的風險識別和排列攻擊向量，第二個交易是基于評估的效用、成本識別和選擇對策。”

　　該方法的獨特之處包括使用目錄存儲的緩解映射，為給定的攻擊向量范圍預先選擇可能的對策，以及提供基于風險容忍度的對策策略。

　　TARA是一種在考慮緩解措施的同時確定關(guān)鍵風險的實用方法，并且可以增強正式的風險方法以包含有關(guān)攻擊者的重要信息，這些信息可以改善風險狀況。

　　FAIR

　　信息風險因素分析（FAIR）是對導致風險的因素以及它們?nèi)绾蜗嗷ビ绊懙姆诸惙āＴ摽蚣苡?Nationwide Mutual Insurance前首席信息安全官Jack Jones開發(fā)，主要為數(shù)據(jù)丟失事件的頻率和幅度建立準確的概率。

　　FAIR不是執(zhí)行企業(yè)或個人風險評估的方法。但它為組織提供了一種理解、分析和衡量信息風險的方法。該框架的組成部分包括信息風險分類法、信息風險術(shù)語的標準化命名法、建立數(shù)據(jù)收集標準的方法、風險因素的度量尺度、評估風險的計算引擎以及分析復雜風險情景的模型。

　　FAIR是為信息安全和運營風險提供可靠量化模型的少數(shù)方法之一。這種務實的風險框架為評估任何企業(yè)的風險提供了堅實基礎。不過，雖然FAIR提供了威脅、漏洞和風險的全面定義，但它卻沒有很好的記錄，因此很難實施。

　　與其他風險框架不同的是，F(xiàn)AIR的重點是將風險量化為實際美元，而不是傳統(tǒng)的“高、中、低”評分。這一點也正在獲得高級領(lǐng)導者和董事會成員的關(guān)注，通過有意義的方式更好地量化風險，從而實現(xiàn)更深思熟慮的業(yè)務討論。