risk assessment framework (RAF)：

风险评估框架(RAF)是一个优先战略和分享的信息安全风险的信息技术(IT)的基础设施。
一个好的英国皇家空军组织和展示信息,技术和非技术两peonnel undetand。它有三个重要部分:一个共享的词汇,coistent评估方法和报告制度。
常见视图的英国皇家空军提供了帮助一个组织看到系统滥用或攻击的低风险和高风险。一个皇家空军提供的数据是有用的预先应对潜在威胁,计划预算和创建一个文化中,数据是undetood和欣赏的价值。
有几个风险评估框架,接受为行业标准,包括:
风险管理指南信息技术系统(NIST指南)的国家Ititute标准。
操作至关重要的威胁,资产,和脆弱性评估从计算机紧急响应小组(八度)。
信息及相关技术的控制目标(COBIT)信息系统审计与控制协会。
创建一个风险管理框架,一个组织可以使用或修改NIST指南,八度或COBIT或者创建一个框架内部符合组织的业务需求。然而框架构建,它应该:
1。库存和归类所有IT资产。资产包括硬件、软件、数据、流程和外部系统的接口。
2。识别的威胁。自然disaste或停电应coidered除了威胁如恶意访问系统或恶意软件攻击。@ 3 !确定相应的漏洞。数据可以从安全漏洞检测和sca系统。轶事信息已知的软件和/或供应商问题也应该coidered。
4。优先考虑潜在的风险。优先级有三个sub-phases:评估现有的安全控制,确定违约的可能性和影响基于这些控件,和分配风险水平。
5。文档的风险并确定行动。这是一个持续的过程,预先确定的时间表发出报告。报告应该文档的风险水平,资产近定义什么是风险水平组织愿意容忍和接受和识别程序在每个实现和维护安全控制风险水平。
这是适合发表在2010年10月

最近更新时间：2015-08-28 EN