您可以使用 OpenSAMM 或 BSIMM 框架在安全性方面对您的开发过程进行基准测试。之后，您可以计算未实施/不完整的安全实践的风险，以包括在您的主要基于 CSF 的风险评估中。

这个问题有点令人困惑。您是否只审查应用程序的安全性？还是它们也包含在环境中？回答问题

如何在企业层面进行风险评估？

深度防御是一种理解，即需要以整体方法解决多层安全问题。看这张照片

https://blog.knowbe4.com/hubfs/Defense_in_Depth.jpg

和维基：https://en.wikipedia.org/wiki/Defense_in_depth_(computing)

有多种方法可以解决此问题，但首先您必须定义范围，这在您的问题中似乎缺失。包括网络安全吗？是否包括“端点”？网络钓鱼是否属于您的范围。它只是应用程序安全吗？物理安全呢？当您说数据丢失防护时，您是在谈论数据库中的信息泄漏还是限制公司笔记本电脑将公司文件向外发送？您必须先明确范围，然后才能提出明确的计划。一旦你这样做了：

https://en.wikipedia.org/wiki/Cyber​​_security_standards#ANSI/ISA_62443_(Formerly_ISA-99)

62443 系列标准涵盖了您上面提到的大部分领域，包括 SDLC。它是“笨重的”，并且不要求在许多证书中进行特定测试，但也很健壮，并且提供了一个很好的测试“信封”。

OWASP 有一个用于开发安全代码和安全编码实践的框架，并且他们有评估模板：

https://www.owasp.org/index.php/OWASP_Security_Knowledge_Framework

https://www.owasp.org/index.php/OWASP_ASVS_Assessment_tool

对于更经典的方法，请使用 Microsoft 的基线框架：

https://en.wikipedia.org/wiki/Microsoft_Baseline_Security_Analyzer

这将涵盖基于 Windows 的环境的大多数安全级别。

US-Cert 具有以下框架：

https://www.us-cert.gov/sites/default/files/c3vp/framework_guidance/commercial-facilities-framework-implementation-guide-2015-508.pdf

https://www.us-cert.gov/sites/default/files/resources/ncats/VADR%20Sample%20Report_508C.pdf

https://www.us-cert.gov/resources/ncats

SANS 的 BASE 也涵盖了很多领域：

https://www.sans.org/reading-room/whitepapers/auditing/base-security-assessment-methodology-1587

也不要忘记合规性。Hippa、PCI、SOX 等所有可用信息，您可以通过互联网搜索轻松找到。

我首选的此活动首选平台是Atomic Red Team，它与您分享您的目标。然而，在该层之下有很多知识需要了解——其中大部分都在 DevOps 中的动手安全一书中得到了很好的介绍。还有许多人事和管理取证远远超出技术层。

关于网络风险，还有更多需要了解的信息，最好是SimpleRisk。如果您想与企业主交谈，请知道在效率层有很多需要纠正的地方（在投资回报率和生产力方面），但网络风险最终是关于通过不确定性的镜头来防止损失。

这本书《开发网络安全计划和政策》，第 3 版，最好地涵盖了这一点，它说企业在 15% 的网络安全预算中只能容忍 3% 的最低资本回报率。如果您想展示控制措施如何衡量，请务必查看《如何衡量网络安全风险中的任何内容》一书。