美國SP800-37風(fēng)險管理框架標(biāo)準(zhǔn)作為SP800系列標(biāo)準(zhǔn)的重要組成部分,多年來一直根據(jù)形勢和技術(shù)發(fā)展變化不斷進行更新演變。本文在深入研究SP800-37標(biāo)準(zhǔn)的基礎(chǔ)上,梳理標(biāo)準(zhǔn)內(nèi)容的歷史演進和變化,解讀風(fēng)險管理框架標(biāo)準(zhǔn)最新版本的主要內(nèi)容,并對標(biāo)準(zhǔn)的特點進行了總結(jié)和分析。 

【文章來源】：保密科學(xué)技術(shù). 2019,(11)

【文章頁數(shù)】：9 頁

【部分圖文】：

全組織的風(fēng)險管理方法

與準(zhǔn)備組織執(zhí)行R M F的一級和二級活動不同，三級活動從信息系統(tǒng)的角度處理風(fēng)險，并由組織和任務(wù)/業(yè)務(wù)流程級別的風(fēng)險決策指導(dǎo)和通知。一級和二級的風(fēng)險決策可能影響系統(tǒng)級控制的選擇和實施。組織建立控制的可追溯性，以滿足控制的安全和隱私要求。建立這樣的可追溯性確保在系統(tǒng)設(shè)計、開發(fā)、實施、操作、維護和處置過程中滿足所有需求。風(fēng)險管理層級的每一級都是成功執(zhí)行RMF的受益者，這加強了風(fēng)險管理過程的迭代性，在該過程中，安全和隱私風(fēng)險在不同的組織級別被構(gòu)建、評估、響應(yīng)和監(jiān)控。如果在組織層面沒有充分的風(fēng)險管理準(zhǔn)備，安全和隱私活動可能會變得過于昂貴，因為需要太多熟練的安全和隱私專業(yè)人員，且會產(chǎn)生無效的解決方案。3.1.2風(fēng)險管理框架（RMF）步驟

盡管上文按順序列出了R M F步驟，但可按非順序執(zhí)行準(zhǔn)備步驟之后的步驟。在完成準(zhǔn)備步驟中的任務(wù)后，對于系統(tǒng)或一組常見控制，首次執(zhí)行RMF的組織通常按順序執(zhí)行剩余的步驟。然而，在風(fēng)險管理過程中可能存在許多點，其中由于系統(tǒng)類型、高級領(lǐng)導(dǎo)層做出的風(fēng)險決策，需要偏離順序。一旦組織處于監(jiān)視步驟中，事件可能指示步驟的非連續(xù)執(zhí)行。例如，風(fēng)險或系統(tǒng)功能的變更可能需要重新訪問RMF中的一個或多個步驟來解決變更。3.1.3 RMF中的安全與隱私

【參考文獻】：
期刊論文
[1]從《聯(lián)邦信息安全管理法案》看美國信息安全管理[J]. 楊碧瑤,王鵬.  保密科學(xué)技術(shù). 2012(08)
[2]SP 800-37面向聯(lián)邦信息系統(tǒng)的風(fēng)險管理框架應(yīng)用研究[J]. 許玉娜,陳星,羅鋒盈.  信息技術(shù)與標(biāo)準(zhǔn)化. 2012(03)
[3]美國家標(biāo)準(zhǔn)和技術(shù)研究院信息安全標(biāo)準(zhǔn)化系列研究(七) 聯(lián)邦信息安全管理法案實施項目進展研究[J]. 許玉娜.  信息技術(shù)與標(biāo)準(zhǔn)化. 2011(10)
[4]美國國家標(biāo)準(zhǔn)和技術(shù)研究院信息安全標(biāo)準(zhǔn)化系列研究（三） SP 800系列信息安全標(biāo)準(zhǔn)研究[J]. 王惠蒞,楊晨,張明天,楊建軍.  信息技術(shù)與標(biāo)準(zhǔn)化. 2011(05)
[5]美國聯(lián)邦信息安全風(fēng)險管理框架及其相關(guān)標(biāo)準(zhǔn)研究[J]. 嚴(yán)霄鳳,高熾揚.  信息安全與通信保密. 2009(02)



本文編號：3322106