Wentz的風險模型 (Wentz’s Risk Model)結合了孔雀模型(Peacock Mode)、洋蔥模型(Onion Model)、戒指模型(Rink Model)和中性風險的概念。
-
風險的中性概念是基於ISO 31000的風險定義,中性風險突顯了把握機會與避免威脅的商業思維,以及資訊安全的角色不僅是一個必要的業務推動者(enabler),也是一個能創造價值的業務驅動者(driver)。
-
孔雀模型則是依據美國法規(44 U.S.C, Sec 3502)所定義的資訊系統所延伸出來的模型,資訊系統被比喻成一隻孔雀。
-
洋蔥模型旨在強調分層防禦(layered defense)與縱深防禦(defense in depth),以及引入安全控制框架(security control framework)的概念。
-
戒指模型則是由生NIST一般風險模型所衍生,主要用來定義及明確的表達資訊安全領域的風險。
The Effective CISSP: Security and Risk Management對於資安及風險有更詳細的介紹喔!
原始出處: Wentz’s Risk Model