IT 風險評估框架有哪些？

• COBIT

  來自ISACA(國際信息系統審計協會)的“信息和相關技術的控制目標”(COBIT)是IT管理和治理的框架。它旨在以業務為中心，并為IT管理定義了一組通用流程。每個流程都融合了流程輸入和輸出、關鍵活動、目標、績效度量和基本成熟度模型等因素。

• TARA

  據非營利組織MITRE(從事包括網絡安全在內的技術領域研究和開發)稱，威脅評估和補救分析(TARA)是一種工程方法，用于識別和評估網絡安全漏洞并部署對策來緩解它們。

• FAIR

  信息風險因素分析(FAIR)是對導致風險的因素以及它們如何相互影響的分類法。該框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones開發，主要為數據丟失事件的頻率和幅度建立準確的概率。

• OCTAVE

  運營關鍵威脅、資產和漏洞評估(OCTAVE)由卡內基梅隆大學的計算機應急小組(CERT)開發，是用于識別和管理信息安全風險的框架。它定義了一種綜合評估方法，允許組織識別對其目標很重要的信息資產、對這些資產的威脅以及可能使這些資產面臨威脅的漏洞。

• NIST風險管理框架

  美國國家標準與技術研究所（NIST）的風險管理框架（RMF）提供了一個全面、可重復和可測量的七步流程，企業可用此流程來管理信息安全和隱私風險。它也與一套NIST的標準和指南相關聯，支持風險管理計劃的實施，以滿足《聯邦信息安全現代化法案》（FISMA）的要求。

回答所涉及的環境：聯想天逸510S、Windows 10。