Выкладываю майндкарту по документу ITU-T X.1208 " A cybersecurity indicator of risk to enhance confidence and security in the use of telecommunication/information and communication technologies", который, на мой взгляд, является одним из полезнейших для выбора метрик ИБ и построения процесса измерения ИБ. Он как ISO 27004, только лучше)))
Майндкарта (в PDF тут):
