美國SP800-37風險管理框架標準作為SP800系列標準的重要組成部分,多年來一直根據(jù)形勢和技術(shù)發(fā)展變化不斷進行更新演變。本文在深入研究SP800-37標準的基礎(chǔ)上,梳理標準內(nèi)容的歷史演進和變化,解讀風險管理框架標準最新版本的主要內(nèi)容,并對標準的特點進行了總結(jié)和分析。 

【文章來源】：保密科學技術(shù). 2019,(11)

【文章頁數(shù)】：9 頁

【部分圖文】：

全組織的風險管理方法

與準備組織執(zhí)行R M F的一級和二級活動不同，三級活動從信息系統(tǒng)的角度處理風險，并由組織和任務(wù)/業(yè)務(wù)流程級別的風險決策指導和通知。一級和二級的風險決策可能影響系統(tǒng)級控制的選擇和實施。組織建立控制的可追溯性，以滿足控制的安全和隱私要求。建立這樣的可追溯性確保在系統(tǒng)設(shè)計、開發(fā)、實施、操作、維護和處置過程中滿足所有需求。風險管理層級的每一級都是成功執(zhí)行RMF的受益者，這加強了風險管理過程的迭代性，在該過程中，安全和隱私風險在不同的組織級別被構(gòu)建、評估、響應(yīng)和監(jiān)控。如果在組織層面沒有充分的風險管理準備，安全和隱私活動可能會變得過于昂貴，因為需要太多熟練的安全和隱私專業(yè)人員，且會產(chǎn)生無效的解決方案。3.1.2風險管理框架（RMF）步驟

盡管上文按順序列出了R M F步驟，但可按非順序執(zhí)行準備步驟之后的步驟。在完成準備步驟中的任務(wù)后，對于系統(tǒng)或一組常見控制，首次執(zhí)行RMF的組織通常按順序執(zhí)行剩余的步驟。然而，在風險管理過程中可能存在許多點，其中由于系統(tǒng)類型、高級領(lǐng)導層做出的風險決策，需要偏離順序。一旦組織處于監(jiān)視步驟中，事件可能指示步驟的非連續(xù)執(zhí)行。例如，風險或系統(tǒng)功能的變更可能需要重新訪問RMF中的一個或多個步驟來解決變更。3.1.3 RMF中的安全與隱私

【參考文獻】：
期刊論文
[1]從《聯(lián)邦信息安全管理法案》看美國信息安全管理[J]. 楊碧瑤,王鵬.  保密科學技術(shù). 2012(08)
[2]SP 800-37面向聯(lián)邦信息系統(tǒng)的風險管理框架應(yīng)用研究[J]. 許玉娜,陳星,羅鋒盈.  信息技術(shù)與標準化. 2012(03)
[3]美國家標準和技術(shù)研究院信息安全標準化系列研究(七) 聯(lián)邦信息安全管理法案實施項目進展研究[J]. 許玉娜.  信息技術(shù)與標準化. 2011(10)
[4]美國國家標準和技術(shù)研究院信息安全標準化系列研究（三） SP 800系列信息安全標準研究[J]. 王惠蒞,楊晨,張明天,楊建軍.  信息技術(shù)與標準化. 2011(05)
[5]美國聯(lián)邦信息安全風險管理框架及其相關(guān)標準研究[J]. 嚴霄鳳,高熾揚.  信息安全與通信保密. 2009(02)



本文編號：3322106