IT风险评估框架有哪些？

COBIT

来自ISACA(国际信息系统审计协会)的“信息和相关技术的控制目标”(COBIT)是IT管理和治理的框架。它旨在以业务为中心，并为IT管理定义了一组通用流程。每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。

TARA

据非营利组织MITRE(从事包括网络安全在内的技术领域研究和开发)称，威胁评估和补救分析(TARA)是一种工程方法，用于识别和评估网络安全漏洞并部署对策来缓解它们。

FAIR

信息风险因素分析(FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发，主要为数据丢失事件的频率和幅度建立准确的概率。

OCTAVE

运营关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学的计算机应急小组(CERT)开发，是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法，允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

NIST风险管理框架

美国国家标准与技术研究所（NIST）的风险管理框架（RMF）提供了一个全面、可重复和可测量的七步流程，企业可用此流程来管理信息安全和隐私风险。它也与一套NIST的标准和指南相关联，支持风险管理计划的实施，以满足《联邦信息安全现代化法案》（FISMA）的要求。