虽然确定网络风险还有解释的余地,但几个被广泛接受的框架提供了更直接的途径。这些是各种组织为指导他们完成这一过程而制定的标准。这些标准通常包括衡量威胁、确定网络防御的优先级、实施这些控制措施以及评估网络安全成熟度的具体方法。
有些公司会制定自己的框架,但遵循预先制定的框架对您的业务有益。由于这些标准来自行业权威机构,因此满足这些标准可以帮助您与潜在合作伙伴或客户建立信任。以下是最常见的四种风险管理框架。
1. NIST CSF
最受欢迎的风险管理框架可能是美国国家标准与 卡塔尔whatsapp 数据 技术研究院 (NIST) 网络安全框架 (CSF)。NIST CSF 由三个主要部分组成:
核
核心概述了期望的网络安全结果。
实施层
实施层将实践组织成多个层次,代表多级安全。
个人资料
这些配置文件根据组织的期望层级和其他独特考虑因素提供了获取核心列出的结果的特定路径。
2. ISO
国际标准化组织 (ISO) 为网络安全风险管理提供了多个框架。第一个也是最相关的是 ISO/ISE 27000,它涵盖了十多项用于发现和管理网络安全威胁的标准。
ISO 还管理 ISO 31000 标准。ISO 31000 并不是专门的网络安全标准,而是一个包括网络风险管理在内的整体业务风险管理框架。如果您的公司面临网络犯罪以外的各种威胁,请考虑这个框架。
3. 国防部 RMF
国防部 (DoD) 风险管理框架 (RMF) 是一套更针对行业的标准。顾名思义,该框架是国防部用来评估和解决其网络安全威胁和防御的框架。它包括严格的标准,分为以下六个步骤:
分类
选择
实施
评估
授权
监视器
国防部在其网络安全成熟度模型认证中要求在大多数层级中进行风险管理。CMMC 适用于该部门所有超过 300,000 名承包商。
尽管该框架是为国防部承包商设计的,但您不必从事国防工业即可从中受益。其高标准和具体指导使其成为任何公司的理想选择。
4. 公平
信息风险因素分析 (FAIR) 框架旨在传播有关信息风险的意识和行动。全球许多行业领导者都遵守这些标准。除了为企业提供指导外,FAIR 还与大学合作,重点关注网络安全教育。