寻找开放式风险评估方法

Question

我正在寻找一种完全开放的量化风险评估方法。

大多数方法对它们施加了使用或许可限制。

我将open定义为类似于或CC BY-SA许可证的方法。

我看上去很漂亮，八度，克拉姆和其他几个都有严格的许可。

Answer 1

我对你要找的第一个建议是SOMAP。他们的网站声称开源，但我不确定它完全满足你的需求。

这个问题类似于另一个问题，但我将让您决定是否有任何有价值的东西。

在政府领域，国家标准技术研究所(NIST)有专门的出版物800-37，该出版物最初取自FITSAF的风险评估标准，因此值得提及。

这本书，“信息安全管理手册，第六版”，解释了安全风险评估通常是基于一个价值链模型。另一本书，如何在5天或更短时间内完成风险评估，涵盖作者的FRAAP过程。有几本书很快就出来了，看起来能最好地回答你的问题。一个是来自同母出版社和作者埃文惠勒。另一部由道格拉斯·兰多尔( Douglas Landoll )著，在其第二版。安德鲁·A·符拉迪米罗夫(AndrewA.Vladimirov)最近出版了一本书，但我还没有读过。

Answer 2

OSSTMM可能是候选人，但不确定是否获得许可:有关详细信息，请参见这里