Wentz的风险模型

Wentz的风险模型 (Wentz’s Risk Model)结合了孔雀模型(Peacock Mode)、洋葱模型(Onion Model)、戒指模型(Rink Model)和中性风险的概念。

• 风险的中性概念是基於ISO 31000的风险定义，中性风险突显了把握机会与避免威胁的商业思维，以及资讯安全的角色不仅是一个必要的业务推动者(enabler)，也是一个能创造价值的业务驱动者(driver)。
• 孔雀模型则是依据美国法规(44 U.S.C, Sec 3502)所定义的资讯系统所延伸出来的模型，资讯系统被比喻成一只孔雀。
• 洋葱模型旨在强调分层防御(layered defense)与纵深防御(defense in depth)，以及引入安全控制框架(security control framework)的概念。
• 戒指模型则是由生NIST一般风险模型所衍生，主要用来定义及明确的表达资讯安全领域的风险。

The Effective CISSP: Security and Risk Management对於资安及风险有更详细的介绍喔！

原始出处: Wentz’s Risk Model