[[440902]]

COBIT

ISACA的信息和相關技術控制目標(COBIT)是一個IT管理和治理框架。它以業務為中心，為IT管理定義了一套通用的管理流程。每個流程都與流程輸入和輸出、關鍵活動、目標、績效度量和基本成熟度模型一起定義。

ISACA表示，最新版本COBIT 2019提供了更多的實施資源、實踐指導和見解，以及全面的培訓機會。且COBIT 2019現在實施起來更加靈活，使企業能夠通過框架自定義他們的治理方案。

COBIT是一個"與IT管理流程和政策執行相一致的高級框架，"安全軟件提供商Trend Micro的首席網絡安全官，美國特勤局前CISO Ed Cabrera說。"難點在于使用COBIT的成本高昂，而且需要豐富的知識和技能才能實施。

Thomas說：“該框架是解決企業信息和技術治理和管理的唯一模型，其中包含對安全性和風險的高度重視。盡管COBIT的主要目的不是專門針對風險，但它在整個框架中集成了多種風險實踐，并引用了多個全球公認的風險框架。”

TARA

MITRE是一家從事網絡安全等技術領域研究和開發的非營利組織。該組織稱，威脅評估和補救分析(TARA)是一種工程方法，用于識別和評估網絡安全漏洞，并部署應對措施以緩解這些漏洞。

該框架是MITRE的系統安全工程(SSE)實踐組合的一部分。該組織稱：“TARA評估方法可以被描述為聯合權衡分析，第一次權衡根據評估的風險來確定攻擊向量，并對攻擊向量進行排名，第二次權衡根據評估的效用和成本來確定、選擇對策。”

該方法獨特的地方包括使用目錄存儲的緩解映射，為給定范圍的攻擊向量預先選擇可能有效的對策，以及基于風險承受水平使用對策策略。

Thomas說，“這是一種在考慮緩解措施的同時確定關鍵風險的實用方法，也可以補充關于攻擊者的重要信息，加強正式風險應對的方法論，用來改善風險狀況。”

FAIR

信息風險因素分析(FAIR)是一種對導致風險的因素以及它們如何相互影響的分類法。該框架由Nationwide Mutual Insurance前CISO Jack Jones開發，主要用于為數據丟失事件的頻率和規模設置準確的概率。

FAIR不是執行企業或個人風險評估的方法。但它為企業提供了一種理解、分析和衡量信息風險的方式。該框架的組成部分包括信息風險分類法、信息風險術語的標準化命名法、建立數據收集標準的方法、風險因素的測量尺度、用于計算風險的計算引擎以及用于分析復雜風險情景的模型。

Thomas說，FAIR是專為信息安全和運營風險提供可靠定量模型的方法之一。這種務實的風險方法為企業的風險評估提供了堅實的基礎。然而，雖然FAIR提供了對威脅、漏洞和風險的全面釋義，但它沒有得到很好地記錄，因此很難實施。

Retrum說，該模型與其他風險框架的不同之處在于，其重點是將風險量化為實際的美元，而不是用傳統的高、中、低進行評分。這在高層領導和董事會成員中得到越來越多的關注，因為它通過有意義的方式更好地量化了風險，使企業能對業務進行更深思熟慮的討論。

作者：Bob Violino，特約撰稿人

原文網址：http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html