本文转载自微信公众号「计算机世界」，作者Bob Violino 。转载本文请联系计算机世界公众号。

从网络安全的角度来看，企业正在一个高风险的世界中运行，评估和管理风险的能力或许从未如此重要。电信公司Mitel Networks的CISO Arvind Raman表示：“拥有风险管理框架至关重要，因为风险永远无法完全消除，它只能被有效地管理。否则，企业可能会发现自己成为数据泄露或勒索软件攻击的目标，或者容易受到许多其他安全问题的攻击。”

Protiviti咨询公司的网络安全和隐私执行总经理Andrew Retrum表示，在选择框架时最关键的是要考虑它是否“匹配目标”，且最符合预期结果。Retrum说：“选择企业内部已经熟知和理解的框架也大有裨益。它使框架的使用更加一致和高效，并方便整个企业中的个人使用统一的语言。”

企业可以充分利用风险评估框架来帮助指导安全和风险管理人员。下面我们来看看其中一些最重要的框架，其中每个框架都旨在解决特定领域的风险。

NIST 风险管理框架

美国国家标准与技术研究所(NIST)的风险管理框架(RMF)提供了一个全面、可重复和可测量的七步流程，企业可用此流程来管理信息安全和隐私风险。它也与一套NIST的标准和指南相关联，支持风险管理计划的实施，以满足《联邦信息安全现代化法案》(FISMA)的要求。

据NIST称，RMF提供了一个将安全、隐私和供应链风险管理活动都集成到系统开发生命周期中的流程。它可以应用于新的、旧的或任何类型的系统或技术，包括物联网(IoT)和控制系统，以及无论规模大小、部门多少的任何类型的企业。这七个 RMF 步骤是：

1. 准备，包括准备企业管理安全和隐私风险的基本活动。

2. 分类，包括利用影响分析处理、存储和传输的分类系统和信息。

3. 选择，即根据风险评估选择一组NIST SP 800-53控制措施来保护系统。

4. 实施，部署控制措施并记录其部署方式。

5. 评估，确定控制措施是否到位，是否按预期运行，是否达到预期结果。

6. 授权，高级管理人员做出基于风险的决定，授权系统运行。

7. 监控，包括持续监控控制实施和系统风险。

“NIST RMF可以根据企业需求量身定制，”Raman说。它经常被评估和更新，而且有许多工具支持其制定的标准。至关重要的是，IT 专业人员都清楚，不能像部署一个自动化工具一样来部署 NIST RMF ，而应该把它当作是一个需要严格遵守纪律才能正确对风险建模的记录框架。

Escoute Consulting总裁兼信息系统审计与控制协会(ISACA)发言人Mark Thomas表示，NIST已经出版了一些与风险相关的出版物，这些出版物易于理解，且适用于大多数企业。

他说：“这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程，有助于控制措施的选择和政策制定，NIST框架是政府、私人和公共企业的有力参考，有时被认为是政府实体的指南。”

OCTAVE

可操作的关键威胁、资产和薄弱点评估 (OCTAVE)是由Carnegie mellon大学计算机应急准备团队(CERT) 开发的，它是用于识别和管理信息安全风险的框架。它定义了一种综合的评估方法，使企业能够识别对其目标非常重要的信息资产、这些资产面临的威胁，以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞整合在一起，企业可以了解哪些信息存在风险。有了这一认识，他们就可以设计和部署策略来降低信息资产的总体风险敞口。

有两个版本的OCTAVE可供选择。一个是OCTAVE-S，这是一种简化的方法，专为具有扁平层次结构的小型企业而设计。另一个是OCTAVE Allegro，这是一个更全面的框架，适用于大型企业或具有复杂结构的企业。

Raman说：“OCTAVE是一个设计良好的风险评估框架，因为它从物理、技术和人力资源的角度来看待安全问题。它可以识别对任何企业而言都至关重要的资产，并发现威胁和漏洞。但是，对它进行部署可能非常复杂，而且它只能通过定性方法进行量化。”

Thomas 表示，该方法的灵活性让运营和 IT 团队可以协同工作，满足企业的安全需求。

作者：Bob Violino，特约撰稿人

原文网址：

http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html