どのリスク分析手法を使用する必要がありますか?
[〜#〜] fair [〜#〜] のことを聞いたことがありますが、それはかなりすばらしいようです。
他にどのような方法論がありますか?それらはどのように機能しますか?
他と比較した場合の利点と欠点は何ですか?
いつそれぞれが適切ですか?
別のArea51提案 から。
2つの方法の基本的な違いは、FAIRは定量的であるのに対し、GAITは定性的であるということです。結論として、GAITはSAS70、SOX、Cobitなどの他の方法の1つであり、残りは、セキュリティやITリスクの金銭的価値について何も伝えないチェックリストの演習になります。
通常、特定の種類のリスクに合わせて調整されているほとんどの関連リスク分析フレームワークのカバレッジについては、Krag BrotbyのInformation Security Management Metricsの本を読むことをお勧めします(たとえば、情報セキュリティ管理プログラムの財務分析またはリスク管理プログラムは、ROSI、ALE/SLEを使用できます) 、VAR、費用対効果など)。
FISAPとIIA GAITも確認することをお勧めします
[〜#〜]歩容[〜#〜] の+1。ぜひよく見てください!