CIS RAM 风险评估方法核心内容5篇目录归集及常见问题

作者：Sender Su 来源：原创内容发布日期：2022-05-09 最后修改日期：2022-05-09

　　CIS风险评估方法（Risk Assessment Method by Center of Internet Security，缩写CIS RAM）整体介绍和评估方法核心内容共5篇文章的目录归集如下：

微信链接：

CIS RAM：如何合理地承受风险？

系列#1：风险评估方法核心介绍

系列#2：风险评估方法过程参数定义

系列#3：制定风险接受准则、风险建模和评估风险

网页链接：

系列#3：制定风险接受准则、风险建模和评估风险

系列#4：实施防护措施、处理风险和总结

　　最后在本篇中总结一下关于CIS RAM的常见问题。

什么是CIS RAM？

　　CIS RAM 是一种信息安全风险评估方法，可帮助企业组织针对CIS关键安全控制措施集（CIS控制措施）所提出的网络安全最佳实践，来实施和评估企业组织自身的安全态势。由于信息风险因企业而异，CIS RAM有助于企业组织“合理”使用CIS控制措施，以解决不同环境下的企业组织的使命、目标和责任义务。

谁创造了CIS RAM？

　　CIS RAM是由HALOCK安全实验室与CIS互联网安全中心合作开发的。HALOCK多年来一直提供CIS RAM方法，并得到了执法当局、监管机构、律师、企业高管和技术领袖的积极回应。HALOCK和CIS在2018年合作将这些方法公开为CIS RAM v1.0版本，到了2021年升级为CIS RAM v2.0版本。CIS是DoCRA理事会的创始成员之一，该理事会维护着CIS RAM所建立的风险分析标准。DoCRA理事会是由需要关于风险分析和风险管理方面的实践标准的成员组织组成，并对分析风险的方法和降低风险的防护措施感兴趣。DoCRA为执法当局、监管机构和信息安全专业人员提供了彼此都能熟悉和掌握的风险评估方法，为这些不同的领域创建了一套“通用翻译器”。

CIS RAM的构成是如何的？

　　CIS RAM是一系列的文档，首要的是CIS RAM Core核心文档。它是CIS RAM的“基本”版本，提供了CIS RAM风险评估的基本原则和实践，旨在帮助读者快速理解和实施风险评估方法。CIS RAM的其它系列文档，对三种不同能力级别的企业组织进行了区分定义并提供了三种不同的方法实现相应的支持。对于需要了解比CIS RAM 核心文档更多指引信息的个人，CIS RAM系列文档包括如何进行风险评估的方法的演示。这些文档都包含了帮助读者完成风险评估的材料，比如示例、模板、练习、背景材料等，以及对风险分析技术的进一步指导。

谁可以使用CIS RAM进行评估？

　　读者需要使用专业色彩的判断方法来进行风险评估。专业判断将有助于确定评估的范围，从而确定企业组织的使命、目标和义务、决定将评估哪些风险、识别脆弱性和可预见的威胁、估计风险预期和影响、建议风险处理防护措施等。

CIS RAM系列文档中还包括了什么其他内容？

　　相关内容包括有：

使用定性和定量模型估计威胁的预期和影响；
将CIS RAM的原则和实践与其他风险评估方法相结合，如信息风险因素分析（Factor Analysis for Information Risk，FAIR）和应用信息经济学（Applied Information Economics，AIE）；
向非技术的主管人员衡量和报告风险情报。

CIS RAM是否可以替代其他风险评估标准？

　　这是否定的。CIS RAM实际是符合现有的风险信息技术，并对已有的信息安全风险评估标准和方法，如ISO 27005、NIST特别出版物800-30等构成了补充关系。通过符合这些标准和方法，CIS RAM确保读者将按照已建立的（权威的）实践进行风险评估。

　　通过补充这些方法，CIS RAM帮助读者评估风险和防护措施，掌握使用“应有关注”（due care）的概念，法律界和监管机构使用它来确定企业组织是否作为“理性的人”（reasonable man）而实现了尽职尽责。此外，CIS RAM还支持基于美国法律体系的监管机构、诉讼律师和一般法律界所使用的合理性的成本-效益分析定义。

为什么要采用CIS RAM这种风险评估方法？

　　虽然业界已经有多种既定的风险评估标准，但CIS RAM是第一个提供非常具体的指示来分析信息安全风险，且被监管机构将其定义为“合理”的，执法机构将其评估为符合“应有关注”。CIS RAM强调安全意外事件在可能对他人造成的伤害和防护措施会对企业组织造成的负担之间的平衡。这种平衡是“合理性”的基础。

CIS RAM风险评估过程是否需要很长时间才能完成？

　　新用户能够在遵循CIS RAM说明的第一天内设计其风险评估，包括对几种风险的分析。企业组织在此之后所花费的时间，在很大程度上取决于评估的范围和遵循的指导程度。

使用差距评估（Gap Assessment）方法有什么不足？

　　由于CIS控制措施因其在防止网络攻击方面的关键性而处于优先地位，所以CIS控制措施的差距评估已经内置包含了对风险的定义。然而，每个企业组织都面临着自己独有的风险，需要通过自己的资源来投资于防范安全事件。

　　CIS RAM能帮助企业确定使用CIS控制措施是否足以应对风险对其环境的影响预期，以及提议的防护措施是否比它们旨在防止的风险会造成更大的负担。这有助于将安全问题转化为商业术语，并帮助监管机构和执法当局确定防护措施是否合理，并证明企业组织实现了应有的关注。

风险评估不是只是主观的练习吗？

　　风险评估通常是以猜测的形式进行，使用“高”、“中”和“低”这样的排名去确定差距。但CIS RAM还能帮助企业组织将风险评分与可能对自己和他人造成的潜在危害联系起来。此外，CIS RAM还为估计可预见性提供了指导，因此，风险所带来的影响和对发生风险的预期都可以用简单的语言传达给无论是技术人员抑或非技术人员。

我可以使用其它风险评估方法来评估CIS控制措施吗？

　　是的。CIS并不要求把CIS RAM作为评估信息安全风险的唯一方法。CIS确实建议审查CIS RAM Core核心文档中列出的原则和实践，以确保信息安全风险评估对非技术管理、监管机构和执法当局都有意义。

CIS RAM有无社区可以开展讨论？

参见：