COBIT

ISACA的信息和相关技术控制目标(COBIT)是一个IT管理和治理框架。它以业务为中心，为IT管理定义了一套通用的管理流程。每个流程都与流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型一起定义。

ISACA表示，最新版本COBIT 2019提供了更多的实施资源、实践指导和见解，以及全面的培训机会。且COBIT 2019现在实施起来更加灵活，使企业能够通过框架自定义他们的治理方案。

COBIT是一个"与IT管理流程和政策执行相一致的高级框架，"安全软件提供商Trend Micro的首席网络安全官，美国特勤局前CISO Ed Cabrera说。"难点在于使用COBIT的成本高昂，而且需要丰富的知识和技能才能实施。

Thomas说：“该框架是解决企业信息和技术治理和管理的唯一模型，其中包含对安全性和风险的高度重视。尽管COBIT的主要目的不是专门针对风险，但它在整个框架中集成了多种风险实践，并引用了多个全球公认的风险框架。”

TARA

MITRE是一家从事网络安全等技术领域研究和开发的非营利组织。该组织称，威胁评估和补救分析(TARA)是一种工程方法，用于识别和评估网络安全漏洞，并部署应对措施以缓解这些漏洞。

该框架是MITRE的系统安全工程(SSE)实践组合的一部分。该组织称：“TARA评估方法可以被描述为联合权衡分析，第一次权衡根据评估的风险来确定攻击向量，并对攻击向量进行排名，第二次权衡根据评估的效用和成本来确定、选择对策。”

该方法独特的地方包括使用目录存储的缓解映射，为给定范围的攻击向量预先选择可能有效的对策，以及基于风险承受水平使用对策策略。

Thomas说，“这是一种在考虑缓解措施的同时确定关键风险的实用方法，也可以补充关于攻击者的重要信息，加强正式风险应对的方法论，用来改善风险状况。”

FAIR

信息风险因素分析(FAIR)是一种对导致风险的因素以及它们如何相互影响的分类法。该框架由Nationwide Mutual Insurance前CISO Jack Jones开发，主要用于为数据丢失事件的频率和规模设置准确的概率。

FAIR不是执行企业或个人风险评估的方法。但它为企业提供了一种理解、分析和衡量信息风险的方式。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的测量尺度、用于计算风险的计算引擎以及用于分析复杂风险情景的模型。

Thomas说，FAIR是专为信息安全和运营风险提供可靠定量模型的方法之一。这种务实的风险方法为企业的风险评估提供了坚实的基础。然而，虽然FAIR提供了对威胁、漏洞和风险的全面释义，但它没有得到很好地记录，因此很难实施。

Retrum说，该模型与其他风险框架的不同之处在于，其重点是将风险量化为实际的美元，而不是用传统的高、中、低进行评分。这在高层领导和董事会成员中得到越来越多的关注，因为它通过有意义的方式更好地量化了风险，使企业能对业务进行更深思熟虑的讨论。

作者：Bob Violino，特约撰稿人

原文网址：http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html