本文轉載自微信公眾號「計算機世界」，作者Bob Violino 。轉載本文請聯系計算機世界公眾號。

從網絡安全的角度來看，企業正在一個高風險的世界中運行，評估和管理風險的能力或許從未如此重要。電信公司Mitel Networks的CISO Arvind Raman表示：“擁有風險管理框架至關重要，因為風險永遠無法完全消除，它只能被有效地管理。否則，企業可能會發現自己成為數據泄露或勒索軟件攻擊的目標，或者容易受到許多其他安全問題的攻擊。”

Protiviti咨詢公司的網絡安全和隱私執行總經理Andrew Retrum表示，在選擇框架時最關鍵的是要考慮它是否“匹配目標”，且最符合預期結果。Retrum說：“選擇企業內部已經熟知和理解的框架也大有裨益。它使框架的使用更加一致和高效，并方便整個企業中的個人使用統一的語言。”

企業可以充分利用風險評估框架來幫助指導安全和風險管理人員。下面我們來看看其中一些最重要的框架，其中每個框架都旨在解決特定領域的風險。

NIST 風險管理框架

美國國家標準與技術研究所(NIST)的風險管理框架(RMF)提供了一個全面、可重復和可測量的七步流程，企業可用此流程來管理信息安全和隱私風險。它也與一套NIST的標準和指南相關聯，支持風險管理計劃的實施，以滿足《聯邦信息安全現代化法案》(FISMA)的要求。

據NIST稱，RMF提供了一個將安全、隱私和供應鏈風險管理活動都集成到系統開發生命周期中的流程。它可以應用于新的、舊的或任何類型的系統或技術，包括物聯網(IoT)和控制系統，以及無論規模大小、部門多少的任何類型的企業。這七個 RMF 步驟是：

1. 準備，包括準備企業管理安全和隱私風險的基本活動。

2. 分類，包括利用影響分析處理、存儲和傳輸的分類系統和信息。

3. 選擇，即根據風險評估選擇一組NIST SP 800-53控制措施來保護系統。

4. 實施，部署控制措施并記錄其部署方式。

5. 評估，確定控制措施是否到位，是否按預期運行，是否達到預期結果。

6. 授權，高級管理人員做出基于風險的決定，授權系統運行。

7. 監控，包括持續監控控制實施和系統風險。

“NIST RMF可以根據企業需求量身定制，”Raman說。它經常被評估和更新，而且有許多工具支持其制定的標準。至關重要的是，IT 專業人員都清楚，不能像部署一個自動化工具一樣來部署 NIST RMF ，而應該把它當作是一個需要嚴格遵守紀律才能正確對風險建模的記錄框架。

Escoute Consulting總裁兼信息系統審計與控制協會(ISACA)發言人Mark Thomas表示，NIST已經出版了一些與風險相關的出版物，這些出版物易于理解，且適用于大多數企業。

他說：“這些參考資料提供了一個整合安全、隱私和網絡供應鏈風險管理活動的流程，有助于控制措施的選擇和政策制定，NIST框架是政府、私人和公共企業的有力參考，有時被認為是政府實體的指南。”

OCTAVE

可操作的關鍵威脅、資產和薄弱點評估 (OCTAVE)是由Carnegie mellon大學計算機應急準備團隊(CERT) 開發的，它是用于識別和管理信息安全風險的框架。它定義了一種綜合的評估方法，使企業能夠識別對其目標非常重要的信息資產、這些資產面臨的威脅，以及可能使這些資產面臨威脅的漏洞。

通過將信息資產、威脅和漏洞整合在一起，企業可以了解哪些信息存在風險。有了這一認識，他們就可以設計和部署策略來降低信息資產的總體風險敞口。

有兩個版本的OCTAVE可供選擇。一個是OCTAVE-S，這是一種簡化的方法，專為具有扁平層次結構的小型企業而設計。另一個是OCTAVE Allegro，這是一個更全面的框架，適用于大型企業或具有復雜結構的企業。

Raman說：“OCTAVE是一個設計良好的風險評估框架，因為它從物理、技術和人力資源的角度來看待安全問題。它可以識別對任何企業而言都至關重要的資產，并發現威脅和漏洞。但是，對它進行部署可能非常復雜，而且它只能通過定性方法進行量化。”

Thomas 表示，該方法的靈活性讓運營和 IT 團隊可以協同工作，滿足企業的安全需求。

作者：Bob Violino，特約撰稿人

原文網址：

http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html