正式的風險評估方法可以幫助消除評估IT風險時的猜測工作，如果正確應用的話。

技術是企業最重要的資產之一，對于運營或支持許多業務流程至關重要，它也是最大的風險之一，這就是為什么IT風險評估框架至關重要的原因。

IT風險評估使企業能夠評估其系統、設備和數據所面臨的風險，無論是網絡安全威脅、中斷還是其他事件，他們還可以評估這些風險的潛在影響，這些工作的主要目標是減輕任何已識別的風險，以避免數據泄露或不遵守法規等負面影響。

“在動態的IT生態系統中，強大的風險管理框架至關重要，”Shaw University的CIO Leon Lewis說。“隨著數字生態系統變得越來越復雜，主動的風險管理促進了各行業的彈性和安全性。”

IT和網絡安全領導者可以根據其企業的需求選擇多種IT風險評估方法。以下是一些最受歡迎的框架，每個框架都旨在解決特定的風險領域。

COBIT

它是什么： 控制目標信息及相關技術(COBIT)是信息系統審計與控制協會(ISACA)的一個框架，該協會是一個專注于IT治理的國際專業協會，旨在用于IT管理和治理，它是一個廣泛而全面的框架，旨在支持理解、設計和實施企業IT的管理和治理。

它的作用： 根據ISACA的說法，COBIT定義了構建和維持最佳適配治理系統的組成部分和設計因素。最新版本COBIT 2019包括六項治理原則：提供利益相關者價值，整體方法，動態治理系統，治理與管理區分開，根據企業需求量身定制，端到端治理系統。

它的運作方式： 該框架以業務為重點，定義了一組管理IT組件的通用流程。每個流程都定義了流程輸入和輸出、關鍵活動、目標、績效衡量標準和基本成熟度模型。

值得注意的地方： ISACA表示，COBIT的實施具有靈活性，使企業能夠通過該框架定制其治理策略。

“COBIT通過其對企業IT治理和管理的不懈關注，使IT基礎設施與業務目標保持一致，并保持戰略優勢，”Rivermate的CEO Lucas Botzen表示，該公司是一家提供遠程勞動力和薪資服務的供應商。

“對于企業IT的治理和管理，COBIT 是必不可少的，”Fuel Logic的CEO Eliot Vancil表示，該公司提供燃料管理解決方案。“它為創建、實施、監控和改進IT管理和控制提供了一個計劃。COBIT的全面方法確保了IT與業務目標協同工作并增加了價值。”

FAIR

它是什么： 信息風險因素分析(FAIR)是一種量化和管理企業內風險的方法。根據致力于推進網絡和運營風險管理學科的研究型非營利企業Fair Institute的說法，它是信息安全和運營風險領域唯一的國際標準量化模型。

它的作用： FAIR提供了一個模型，用于理解、分析和量化網絡風險和運營風險，并以財務術語表達其影響。與那些輸出以定性顏色圖表或加權數值刻度為中心的風險評估框架不同，FAIR為開發穩健的信息風險管理方法奠定了基礎。

它的運作方式： FAIR由Nationwide Mutual Insurance前CISO Jack Jones開發，主要關注為數據丟失事件的頻率和規模建立準確的概率。它不是用于執行企業或個人風險評估的方法，而是為企業提供理解、分析和衡量信息風險的方式。

其組件包括信息風險的分類法、信息風險術語的標準化命名法、制定數據收集標準的方法、風險因素的測量標準、用于計算風險的計算引擎以及分析復雜風險場景的模型。

值得注意的地方： Shaw University的Lewis表示，FAIR的定量網絡風險評估適用于各個行業，現在更加注重供應鏈風險管理和保護物聯網(IoT)及人工智能(AI)等技術。

由于FAIR采用定量風險管理方法，它幫助企業確定風險如何影響其財務狀況，Fuel Logic的Vancil表示。“這種方法可以讓你選擇如何最佳地分配安全預算以及如何平衡風險和回報。”

ISO/IEC 27001

它是什么： 國際標準化企業(ISO)/國際電工委員會(IEC)27001是一個國際標準，提供了如何管理信息安全的指導。它最初由ISO和IEC在2005年聯合發布，并經過了后續的修訂。

它的作用： 根據ISO的說法，ISO/IEC 27001為各個規模和各個行業的公司提供了關于建立、實施、維護和持續改進信息安全管理系統的指導。

它的運作方式： ISO/IEC 27001提倡對信息安全采取整體性方法，包括審查人員、政策和技術。根據ISO的說法，按照該標準實施的信息安全管理系統是風險管理、網絡彈性和運營卓越的工具。

值得注意的地方： 符合ISO/IEC 27001意味著企業已經建立了一個系統，以管理與企業擁有或處理的數據安全相關的風險。

Vancil表示，該標準“為處理和保護私營公司數據提供了一個結構化的方法。這一標準在全球范圍內使用，幫助企業保障信息安全并有效管理。”

NIST風險管理框架

它是什么： 國家標準與技術研究院(NIST)是一個美國政府機構，致力于推動測量科學、標準和技術的發展。其風險管理框架(RMF)提供了一個全面、可重復和可衡量的七步流程，供企業用來管理信息安全和隱私風險。

該框架鏈接到一套NIST標準和指南，以支持實施風險管理計劃，從而滿足《聯邦信息安全現代化法案》(FISMA)的要求。

它的作用： 根據NIST的說法，RMF提供了一個將安全、隱私和網絡供應鏈風險管理活動集成到系統開發生命周期中的流程。基于風險的控制選擇和規范方法考慮了適用法律、指令、行政命令、政策、標準或法規所引起的效力、效率和限制。

它的運作方式： RMF的七個步驟是：

1. 準備(Prepare)： 準備企業以管理安全和隱私風險的基本活動。

2. 分類(Categorize)： 根據影響分析對系統和處理、存儲及傳輸的信息進行分類。

3. 選擇(Select)： 根據風險評估選擇保護系統的控制措施集。

4. 實施(Implement)： 部署控制措施并記錄其部署方式。

5. 評估(Assess)： 確定控制措施是否到位、按預期運行并產生所需結果。

6. 授權(Authorize)：由高級管理人員根據風險做出授權系統運行的決策。

7. 監控(Monitor)：持續監控控制措施的實施情況和系統的風險。

值得注意的地方：RMF“提供了一個程序化和有序的流程，幫助企業將安全性嵌入到整體風險管理過程中，從而使企業與聯邦法規保持一致，”Botzen說。

Vancil指出，NIST框架很有幫助，因為它提供了一個完整的計劃，用于發現、評估和減少風險。“它還企業了在系統開發生命周期中納入安全和風險管理任務，確保從一開始就考慮安全問題。”

OCTAVE

它是什么： 運營關鍵威脅、資產和漏洞評估(OCTAVE)是由卡內基梅隆大學(CMU)的計算機應急響應小組(CERT)開發的一個框架，用于識別和管理信息網絡安全風險。

它的作用： 該模型定義了一種全面的評估方法，使企業能夠識別對其任務重要的信息資產、這些資產面臨的威脅以及可能使這些資產暴露于威脅中的漏洞。

它的運作方式： 根據CMU的軟件工程研究所，通過將信息資產、威脅和漏洞整合在一起，企業可以開始理解哪些信息處于風險之中。基于這種理解，他們可以設計和實施一種保護策略，以減少其信息資產的整體風險暴露。

值得注意的地方： OCTAVE有兩個版本：OCTAVE-S，這是一種簡化的方法，適用于具有扁平層級結構的小型企業，OCTAVE Allegro，則是一個更全面的框架，適用于大型企業或具有復雜結構的企業。

Vancil說：“OCTAVE非常適合那些希望確保其IT風險管理與業務目標一致的公司，因為它處理的是企業風險和戰略問題。它對重要資產的發現和漏洞評估的關注，幫助企業正確地進行安全努力。”

該框架“從企業的角度識別和管理風險，這對于了解不同風險如何影響各種業務運營至關重要，”Botzen說。

TARA

它是什么： 威脅評估與補救分析(TARA)是一種工程方法學，用于識別和評估網絡安全漏洞，并選擇能夠緩解這些漏洞的對策，根據MITRE(一個專注于包括網絡安全在內的技術領域研究與開發的非營利企業)的說法。

它的作用： 該框架是MITRE系統安全工程實踐組合的一部分，側重于在采購過程的早期階段改善系統的網絡安全衛生和彈性。

它的運作方式： TARA使用一個存儲數據的目錄來為識別可能被用于利用系統漏洞的攻擊向量的過程提供信息，同時還提供潛在的對策，以防止這些漏洞被利用或減輕其影響。

值得注意的地方： TARA最初于2010年開發，已在超過30次網絡風險評估中使用。它可以幫助企業基于整體業務影響來決定哪些風險需要認真對待，Botzen說。

Vancil表示，這一框架“非常適合專注于威脅的風險研究。它幫助團隊確定他們面臨的威脅以及如何阻止這些威脅。這種方法在威脅不斷變化的環境中特別有效。”