我建议阅读 Krag Brotby 的《信息安全管理指标》一书，了解通常针对特定风险类型定制的大多数相关风险分析框架（例如，信息安全管理计划的财务分析或风险管理计划可以使用 ROSI、ALE/SLE 、VAR、成本效益等）。

我还建议查看 FISAP 和 IIA GAIT

这两种方法的根本区别在于 GAIT 是定性的，而 FAIR 是定量的。归根结底，GAIT 是另一种方法，例如 SAS70、SOX、Cobit 和其他方法，最终将成为一个清单练习，它不会告诉你任何关于你的安全性或 IT 风险的货币价值的信息。

+1步态。绝对推荐好好看看！