風險管理框架是由美國國家標準技術研究院(NIST)于2010年制定和發布,之后被美國國防部(DoD)采用,以作為信息安全組織對風險管理流程進行增強和標準化的準則。幾乎所有希望加強網絡安全和風險管理的公司都可以使用該框架。
風險管理是通過實施有助于進行早期風險檢測和處理的安全控制措施來保護組織機構資產和系統的手段。風險管理框架通過將網絡安全和風險管理融入到系統開發過程的早期階段,以幫助企業將更多體系和監督機制引入到系統開發生命周期中,從而實現這一目標。
雖然要求聯邦機構在為政府平臺開發系統時遵循該風險管理框架,但該框架也可以幫助非政府企業進行IT風險管理。
風險類別
將風險分為七個高級類別有助于企業更好地了解風險來自何處,或風險可能來自何處。通過以這種方式對風險進行分類,組織機構可以快速縮小他們在開發周期中需要關注的范圍,以解決所有問題,并對如何建立安全策略有更清晰的了解。
風險類別包括:
•基礎架構:基礎架構風險包括在組織內部與計算機、網絡硬件和服務可靠性有關的所有風險。
•項目:項目風險包括與預算、時間表和質量有關的所有風險。
•應用程序:應用程序風險包括可能影響性能或系統運行能力的所有風險。
•信息資產:信息資產風險包括信息資產的損壞、丟失或未經授權的披露。
•業務連續性:業務連續性風險包括任何可能影響到維持某一可靠系統快速正常運行的能力的風險。
•外部:外部風險包括可能影響安全性的IT部門控制范圍之外的任何風險。
•戰略:戰略風險主要是對IT流程與相關業務戰略保持一致性會造成干擾的風險。
風險管理框架的步驟
風險管理框架是通過對信息安全實施嚴格的控制來幫助企業使風險管理標準化。風險管理框架的最新版本于2018年發布,您需要遵循其七個步驟來正確地實施。風險管理框架的七步方法的最終目標是進入運行授權(ATO)階段,即允許系統在政府環境中運行的階段。
以下是如何通過遵循風險管理框架的七個步驟來進入運行授權階段:
1.準備:美國國家標準技術研究院在風險管理框架的第2修訂版中增加了此步驟,其認識到組織機構要想從風險管理框架中獲得最大價值而進行準備的重要性,并且特別強調溝通工作。正如美國國家標準技術研究院所解釋的那樣,“準備工作是在企業的組織、任務和業務流程以及信息系統層面執行一些基本操作,以幫助組織機構利用風險管理框架來管理其安全和隱私風險。”
2.分類:此步驟涉及到相關系統如何處理、存儲和傳輸信息。它要求您定義系統如何??與其他IT系統和網絡交互,了解需要采取哪些合規性措施,并制定系統的體系架構描述。
3.選擇:該選擇步驟包括根據步驟一中風險的類別為安全控制措施設置基準。在此步驟中,您會根據風險所屬的類別來決定要實施哪些基本安全控制措施。
4.實施:第三步涉及到實施第二步中制定的安全措施。在此步驟中,您應該確保充分記錄實施過程,以便在下一步完成后需要重新查看實施工作。
5.評估:在第四步中,應確保所有工作都按預期執行,并將控制措施正確地應用到系統中。此“評估”步驟是檢查在第一步中制定的類別和基本安全控制措施是否在實施過程中得到正確實施。如果沒有正確實施,您需要返回到“實施”步驟,直到所有工作順利運行為止,然后才能繼續執行第五步。
6.授權:這是您最終想通過使用風險管理框架所執行的步驟。您可以根據評估階段的表現進入第五步。當您已正確實施類別和安全控制措施后,即可開始允許或拒絕該系統進行運行授權(ATO)。如果拒絕系統進行該操作,則“授權”步驟將被推遲到所有工作檢查完畢為止。
7.監控:當系統控制措施實施到位后,就需要對其進行持續監控。第五步所授予的“運行授權”有效期僅為三年,一旦到期,就需要重復整個過程。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號