COBITISACA的信息和相关技术控制目标(COBIT)是一个IT管理和治理框架。它以业务为中心,为IT管理定义了一套通用的管理流程。每个过程都与过程输入和输出、关键活动、目标、绩效度量和基本成熟度模型一起定义。ISACA表示,最新版本COBIT2019提供了额外的实施资源、实用指南和见解,以及全面的培训机会。COBIT2019现在实施起来更加灵活,使公司能够通过框架定制他们的治理解决方案。COBIT是一个“与IT管理流程和政策执行相一致的高级框架,”安全软件提供商趋势科技首席网络安全官、美国特勤局前CISOEdCabrera说。“困难在于使用COBIT的成本很高,并且需要广泛的知识和技能才能实施。该框架是解决企业信息和技术治理和管理的唯一模型,其中包括对安全和风险的高度关注,”Thomas说。尽管COBIT的主要目的不是专门解决风险,但它在整个框架中集成了多种风险实践,并参考了多个全球公认的风险框架。从事网络安全等技术领域研发的非营利组织TARAMITRE表示,威胁评估和补救分析(TARA)是一种识别和评估网络安全漏洞并部署对策以缓解这些漏洞的工程方法。该框架是MITRE系统安全工程(SSE)实践组合的一部分。根据该小组的说法:“TARA评估方法可以描述为联合权衡分析,其中第一个权衡确定针对评估风险的攻击向量,并对攻击向量进行排序,然后进行第二个权衡根据评估的效用和成本识别和选择对策。此方法的独特之处包括使用目录存储的缓解图、针对给定范围的攻击向量预选可能有效的对策,以及使用基于风险承受水平。同时,识别关键风险的实用方法还可以补充有关攻击者的重要信息,并加强正式的风险应对方法以改善风险态势。“FAIR信息风险因素分析(FAIR)是一种对导致风险和风险的因素进行分类的方法他们如何互动。该框架由NationwideMutualInsurance前CISOJackJones开发,主要用于设置精确概率。FAIR不是执行业务或个人风险评估的方法。但它为企业提供了一种了解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的测量尺度、用于计算风险的计算引擎以及用于分析复杂风险场景的模型。Thomas说,FAIR是旨在提供可靠的信息安全和操作风险量化模型的方法之一。这种务实的风险处理方法为组织的风险评估提供了坚实的基础。然而,尽管FAIR提供了对威胁、漏洞和风险的全面解释,但它没有很好的记录,因此难以实施。Retrum说,该模型与其他风险框架的不同之处在于,它侧重于将风险量化为实际美元,而不是传统的高、中、低分。这在高级领导和董事会成员中越来越受欢迎,因为它以一种有意义的方式更好地量化了风险,从而能够对业务进行更深思熟虑的讨论。作者:BobViolino,特约撰稿人原文网址:http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
