risk assessment framework：风险评估框架

风险评估框架（RAF，risk assessment framework）是一个策略，用于优先考虑和分享有关信息技术（IT）基础设施安全风险的信息。

　　好的风险评估框架所组织和呈现的信息，技术和非技术人员都可以理解。它有三个重要组成部分：共享的词汇、连贯的评估方法和报告制度。

　　风险评估框架（RAF）提供的共同观点可以帮助组织了解哪些系统受滥用或攻击的风险最低和哪些风险最高。风险评估框架提供的数据对积极主动地解决潜在威胁、规划预算和创造一种文化是很有用的，并且数据的价值也被理解和赞赏。

　　有一些风险评估框架是作为行业标准接受的：

• 国家标准协会的信息技术系统风险管理指南（NIST指南）。
• 计算机紧急事务响应小组的可操作的关键威胁、资产和薄弱点评估（OCTAVE）。
• 信息系统审计与控制协会的信息及相关技术控制目标（COBIT）。

　　要建立风险管理框架，一个组织可以使用或修改NIST指南、OCTAVE或COBIT或创建一个适合组织业务需求的室内框架。要构建框架就应该：

　　1.清查和分类所有IT资产。
　　资产包括硬件、软件、数据、流程和外部系统的接口。

　　2.识别威胁。
　　除了对系统的恶意访问或恶意攻击等威胁外，还要考虑自然灾害或停电。

　　3.确定相应的安全漏洞。
　　关于安全漏洞的数据可从安全性测试和系统扫描中获得。同时，也应考虑有关已知软件或供应商问题的零散信息。

　　4.优先潜在风险。
　　确定三个阶段的优先次序：评估现有的安全控制、确定违反这些控制的可能性和影响、分配风险等级。

　　5.记录风险和确定行动。
　　这是一个持续的过程，为问题报告预置计划。报告应该记录所有IT资产的风险程度，确定组织愿意容忍和接受的风险级别，并在每个实施和维护安全控制中确定程序。

最近更新时间：2009-12-06 翻译：曾芸芸EN