五大IT风险评估框架对比

在选择IT风险评估框架时，需要遵循“合适的才是最好的”的原则。合适的风险评估框架和方法可以帮助企业打消 IT 风险评估的疑虑。

以下我们将基于真实用户反馈重点介绍和比较COBIT、OCTAVE、FAIR、NIST RMF 和 TARA 这五大风险评估框架，其中每个框架都有自己擅长的领域。

NIST 风险管理框架

美国国家标准与技术研究院 (NIST)的风险管理框架 (RMF)提供了一个全面、可重复和可衡量的七步流程，组织可以用来管理信息安全和隐私风险。它关联到一套 NIST 标准和指南，以支持风险管理计划的实施，以满足联邦信息安全现代化法案 (FISMA) 的要求。 

据 NIST 称，RMF 提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于新旧系统、任何类型的系统或技术，包括物联网 (IoT) 和控制系统，以及任何类型的组织，无论其规模或部门如何。RMF 的七个步骤是：

• 准备，包括为组织管理安全和隐私风险做好准备的必要活动。
• 分类，包括分类系统和基于影响分析处理、存储和传输的信息。
• 选择，即根据风险评估选择一组NIST SP 800-53控制来保护系统；
• 实施、部署控制并记录它们的部署方式。
• 评估，以确定控制是否到位，是否按预期运行，并产生预期的结果。
• 授权，高级管理人员做出基于风险的决定来授权系统运行。
• 监控，包括持续监控控制实施和系统风险。

NIST RMF 可以根据组织需求进行定制，经常被评估和更新，许多工具支持该标准。至关重要的是，IT 专业人员“在部署 NIST RMF 时要明白，它不是一个自动化工具，而是一个需要严格纪律才能正确建模风险的文件化框架。

OCTAVE

OCTAVE（运营关键威胁、资产和漏洞评估），由卡内基梅隆大学的计算机应急小组（CERT）开发，是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法，允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞放在一起，组织可以开始了解哪些信息面临风险。有了这种理解，他们就可以设计和部署策略来降低信息资产的整体风险敞口。

有两个版本的 OCTAVE。一个是 OCTAVE-S，这是一种简化的方法，专为具有扁平层次结构的小型组织而设计。另一个是OCTAVE Allegro，它是一个更全面的框架，适用于大型组织或结构复杂的组织。

OCTAVE 是一个精心设计的风险评估框架，因为它从物理、技术和人力资源的角度来看待安全，可以识别组织的关键任务的资产，并发现威胁和漏洞。但是，OCTAVE部署起来可能非常复杂，而且只能通过定性方法进行量化。

不过，OCTAVE方法比较灵活，允许运营团队和 IT 团队一起协作来解决组织的安全需求。

COBIT

信息和相关技术的控制目标 (COBIT)，来自 ISACA，是 IT 管理和治理的框架。它旨在以业务为中心，并为 IT 管理定义了一组通用流程。每个流程都与流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型一起定义。

据 ISACA 称，最新版本 COBIT 2019 提供了更多实施资源、实践指导和见解，以及全面的培训机会。它表示实施现在更加灵活，使组织能够通过框架定制他们的治理。

COBIT 是“与 IT 管理流程和政策执行相一致的高级框架，”安全软件提供商趋势科技首席网络安全官、美国特勤局前 CISO  Ed Cabrera 说。“挑战在于 COBIT 成本高昂，并且需要很高的知识和技能才能实施。”

该框架“是解决企业信息和技术治理和管理的唯一模型，其中包括对安全和风险的重视，”托马斯说。“虽然 COBIT 的主要目的不是专门针对风险，但它在整个框架中整合了多种风险实践，并引用了多个全球公认的风险框架。”

TARA

根据MITRE的定义，威胁评估和补救分析 (TARA)是一种工程方法，用于识别和评估网络安全漏洞并部署对策来缓解它们。

该框架是 MITRE 系统安全工程 (SSE) 实践组合的一部分。“TARA 评估方法可以被描述为联合交易研究，其中第一个交易基于评估的风险识别和排列攻击向量，第二个交易基于评估的效用和成本识别和选择对策，”该组织声称。

该方法的独特之处包括使用目录存储的缓解映射，为给定的攻击向量范围预先选择可能的对策，以及基于风险容忍度的对策策略的使用。

TARA是一种在考虑缓解措施的同时确定关键风险的实用方法。

FAIR

信息风险因素分析 (FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance 前首席信息安全官 Jack Jones 开发，主要关注为数据丢失事件的频率和幅度建立准确的概率。

FAIR 不是用于进行企业或个人风险评估的方法，但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、计算风险的计算引擎以及分析复杂风险情景的模型。

FAIR“是为信息安全和运营风险提供可靠量化模型的少数方法之一，这种务实的风险框架为评估企业的风险提供了坚实的基础。但是，虽然 FAIR 提供了威胁、漏洞和风险的全面定义，却没有很好的记录，因此难以实施。