美国SP 800-37风险管理框架标准的变化及特点

发布时间：2021-08-04 17:29

　　美国SP800-37风险管理框架标准作为SP800系列标准的重要组成部分,多年来一直根据形势和技术发展变化不断进行更新演变。本文在深入研究SP800-37标准的基础上,梳理标准内容的历史演进和变化,解读风险管理框架标准最新版本的主要内容,并对标准的特点进行了总结和分析。 

【文章来源】：保密科学技术. 2019,(11)

【文章页数】：9 页

【部分图文】：

全组织的风险管理方法

与准备组织执行R M F的一级和二级活动不同，三级活动从信息系统的角度处理风险，并由组织和任务/业务流程级别的风险决策指导和通知。一级和二级的风险决策可能影响系统级控制的选择和实施。组织建立控制的可追溯性，以满足控制的安全和隐私要求。建立这样的可追溯性确保在系统设计、开发、实施、操作、维护和处置过程中满足所有需求。风险管理层级的每一级都是成功执行RMF的受益者，这加强了风险管理过程的迭代性，在该过程中，安全和隐私风险在不同的组织级别被构建、评估、响应和监控。如果在组织层面没有充分的风险管理准备，安全和隐私活动可能会变得过于昂贵，因为需要太多熟练的安全和隐私专业人员，且会产生无效的解决方案。3.1.2风险管理框架（RMF）步骤

尽管上文按顺序列出了R M F步骤，但可按非顺序执行准备步骤之后的步骤。在完成准备步骤中的任务后，对于系统或一组常见控制，首次执行RMF的组织通常按顺序执行剩余的步骤。然而，在风险管理过程中可能存在许多点，其中由于系统类型、高级领导层做出的风险决策，需要偏离顺序。一旦组织处于监视步骤中，事件可能指示步骤的非连续执行。例如，风险或系统功能的变更可能需要重新访问RMF中的一个或多个步骤来解决变更。3.1.3 RMF中的安全与隐私

【参考文献】：
期刊论文
[1]从《联邦信息安全管理法案》看美国信息安全管理[J]. 杨碧瑶,王鹏.  保密科学技术. 2012(08)
[2]SP 800-37面向联邦信息系统的风险管理框架应用研究[J]. 许玉娜,陈星,罗锋盈.  信息技术与标准化. 2012(03)
[3]美国家标准和技术研究院信息安全标准化系列研究(七) 联邦信息安全管理法案实施项目进展研究[J]. 许玉娜.  信息技术与标准化. 2011(10)
[4]美国国家标准和技术研究院信息安全标准化系列研究（三） SP 800系列信息安全标准研究[J]. 王惠莅,杨晨,张明天,杨建军.  信息技术与标准化. 2011(05)
[5]美国联邦信息安全风险管理框架及其相关标准研究[J]. 严霄凤,高炽扬.  信息安全与通信保密. 2009(02)



本文编号：3322106