風險管理框架是由美國國家標準技術研究院(NIST)于2010年制定和發(fā)布,之后被美國國防部(DoD)采用,以作為信息安全組織對風險管理流程進行增強和標準化的準則。幾乎所有希望加強網絡安全和風險管理的公司都可以使用該框架。
風險管理是通過實施有助于進行早期風險檢測和處理的安全控制措施來保護組織機構資產和系統(tǒng)的手段。風險管理框架通過將網絡安全和風險管理融入到系統(tǒng)開發(fā)過程的早期階段,以幫助企業(yè)將更多體系和監(jiān)督機制引入到系統(tǒng)開發(fā)生命周期中,從而實現(xiàn)這一目標。
雖然要求聯(lián)邦機構在為政府平臺開發(fā)系統(tǒng)時遵循該風險管理框架,但該框架也可以幫助非政府企業(yè)進行IT風險管理。
風險類別
將風險分為七個高級類別有助于企業(yè)更好地了解風險來自何處,或風險可能來自何處。通過以這種方式對風險進行分類,組織機構可以快速縮小他們在開發(fā)周期中需要關注的范圍,以解決所有問題,并對如何建立安全策略有更清晰的了解。
風險類別包括:
•基礎架構:基礎架構風險包括在組織內部與計算機、網絡硬件和服務可靠性有關的所有風險。
•項目:項目風險包括與預算、時間表和質量有關的所有風險。
•應用程序:應用程序風險包括可能影響性能或系統(tǒng)運行能力的所有風險。
•信息資產:信息資產風險包括信息資產的損壞、丟失或未經授權的披露。
•業(yè)務連續(xù)性:業(yè)務連續(xù)性風險包括任何可能影響到維持某一可靠系統(tǒng)快速正常運行的能力的風險。
•外部:外部風險包括可能影響安全性的IT部門控制范圍之外的任何風險。
•戰(zhàn)略:戰(zhàn)略風險主要是對IT流程與相關業(yè)務戰(zhàn)略保持一致性會造成干擾的風險。
風險管理框架的步驟
風險管理框架是通過對信息安全實施嚴格的控制來幫助企業(yè)使風險管理標準化。風險管理框架的最新版本于2018年發(fā)布,您需要遵循其七個步驟來正確地實施。風險管理框架的七步方法的最終目標是進入運行授權(ATO)階段,即允許系統(tǒng)在政府環(huán)境中運行的階段。
以下是如何通過遵循風險管理框架的七個步驟來進入運行授權階段:
1.準備:美國國家標準技術研究院在風險管理框架的第2修訂版中增加了此步驟,其認識到組織機構要想從風險管理框架中獲得最大價值而進行準備的重要性,并且特別強調溝通工作。正如美國國家標準技術研究院所解釋的那樣,“準備工作是在企業(yè)的組織、任務和業(yè)務流程以及信息系統(tǒng)層面執(zhí)行一些基本操作,以幫助組織機構利用風險管理框架來管理其安全和隱私風險。”
2.分類:此步驟涉及到相關系統(tǒng)如何處理、存儲和傳輸信息。它要求您定義系統(tǒng)如何??與其他IT系統(tǒng)和網絡交互,了解需要采取哪些合規(guī)性措施,并制定系統(tǒng)的體系架構描述。
3.選擇:該選擇步驟包括根據(jù)步驟一中風險的類別為安全控制措施設置基準。在此步驟中,您會根據(jù)風險所屬的類別來決定要實施哪些基本安全控制措施。
4.實施:第三步涉及到實施第二步中制定的安全措施。在此步驟中,您應該確保充分記錄實施過程,以便在下一步完成后需要重新查看實施工作。
5.評估:在第四步中,應確保所有工作都按預期執(zhí)行,并將控制措施正確地應用到系統(tǒng)中。此“評估”步驟是檢查在第一步中制定的類別和基本安全控制措施是否在實施過程中得到正確實施。如果沒有正確實施,您需要返回到“實施”步驟,直到所有工作順利運行為止,然后才能繼續(xù)執(zhí)行第五步。
6.授權:這是您最終想通過使用風險管理框架所執(zhí)行的步驟。您可以根據(jù)評估階段的表現(xiàn)進入第五步。當您已正確實施類別和安全控制措施后,即可開始允許或拒絕該系統(tǒng)進行運行授權(ATO)。如果拒絕系統(tǒng)進行該操作,則“授權”步驟將被推遲到所有工作檢查完畢為止。
7.監(jiān)控:當系統(tǒng)控制措施實施到位后,就需要對其進行持續(xù)監(jiān)控。第五步所授予的“運行授權”有效期僅為三年,一旦到期,就需要重復整個過程。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。