欧盟网络安全署发布可互操作的风险管理框架

本报告提出了一种评估风险管理 (RM) 框架和方法的潜在互操作性的方法，并介绍了相关结果。用于评估互操作性的方法源于对文献的广泛研究，  导致使用为此目的而挑选出来的某些 RM 框架功能。这些被确定为与互操作性评估相关的特性，对每个框架/方法都进行了全面的描述和分析。更具体地说，对于某些功能特征，我们使用四级量表来评估每种方法和每组组合特征的互操作性级别。

为了评估 RM 框架和方法论之间的互操作性，首先考虑每个框架的固有互操作性级别，考虑其相应的功能特性。这些特性有助于风险识别、估计和处理的互操作性，并进一步分析以提供全面的评估。结果通过所有确定的框架或方法的表格详细显示。

用于确定互操作性级别的信息是指一个框架是基于资产还是基于场景，采用的方法是定量的还是定性的，以及资产分类和估值方法、威胁和漏洞的分类，风险是如何计算的，以及如何进行有关度量和剩余风险的相应计算。

总结了框架之间的互操作性潜力，提供了它们之间可能的协作组合的概述。最后，该报告为 ENISA 的可互操作欧盟风险管理领域提供了建议，以供考虑在 2022 年及之后的工作计划中考虑。

‍

原文始发于微信公众号（山石网科安全技术研究院）：欧盟网络安全署发布可互操作的风险管理框架