风险管理和安全是大多数组织,尤其是政府行业最关心的问题。风险管理框架将安全性嵌入到开发的早期阶段,以帮助加快交付速度,同时避免风险。风险管理框架由美国国家标准与技术研究院(NIST)于2010年制定并发布,随后被美国国防部(DoD)采纳为信息安全组织加强和标准化风险管理流程的指南。几乎所有希望加强网络安全和风险管理的公司都可以使用该框架。风险管理是通过实施促进早期风险检测和处理的安全控制来保护组织的资产和系统的方法。风险管理框架通过将网络安全和风险管理集成到系统开发过程的早期阶段来实现这一点,以帮助组织在系统开发生命周期中引入更多的纪律和监督机制。虽然联邦机构在为政府平台开发系统时需要遵循风险管理框架,但该框架也可以帮助非政府企业进行IT风险管理。风险类别将风险分为七个高级类别有助于组织更好地了解风险来自何处或可能来自何处。通过以这种方式对风险进行分类,组织可以快速缩小在开发周期中需要关注的范围以解决任何问题,并更清楚地了解如何建立安全策略。风险类别包括:基础设施:基础设施风险包括组织内与计算机、网络硬件和服务可靠性相关的所有风险。项目:项目风险包括与预算、进度和质量相关的所有风险。应用程序:应用程序风险包括可能影响系统运行性能或能力的所有风险。信息资产:信息资产风险包括信息资产的损坏、丢失或未经授权的披露。业务连续性:业务连续性风险包括可能影响维持可靠系统快速启动和运行能力的任何风险。外部:外部风险包括IT部门无法控制的任何可能影响安全的风险。战略:战略风险主要是破坏IT流程与相关业务战略的一致性的风险。风险管理框架的步骤风险管理框架通过实施对信息安全的严格控制来帮助公司标准化风险管理。最新版本的风险管理框架于2018年发布,您需要遵循其七个步骤才能正确使用。风险管理框架七步法的最终目标是授权操作(ATO)阶段,该阶段允许系统在政府环境中运行。以下是按照风险管理框架的七个步骤进入操作授权阶段的方法:准备:美国国家标准与技术研究院将此步骤添加到风险管理的修订版2管理框架中准备最大化价值的重要性,特别强调沟通工作。正如美国国家标准与技术研究院所解释的那样,“准备就绪是在企业的组织、任务和业务流程以及信息系统级别实施基本行动,以帮助组织使用风险管理框架管理其安全和隐私风险。”分类:这一步涉及相关系统如何处理、存储和传输信息。它要求您定义系统如何??与其他IT系统和网络交互,了解需要采取哪些合规措施,并制定系统的架构描述。选择:此选择步骤涉及根据第一步中的风险类别对安全控制进行基准测试。在此步骤中,您将根据风险类别决定实施哪些基本安全控制。实施:第三步涉及实施第二步中制定的安全措施。在此步骤中,您应确保完整记录实施过程,以防在下一步完成后需要重新访问实施工作。评估:在第四步中,应确保所有工作都按预期执行,并且对系统进行适当的控制。这个“评估”步骤是检查第一步制定的类别和基本安全控制措施在实施过程中是否得到了正确实施。如果未正确实施,您需要返回“实施”步骤,直到一切顺利运行,然后再继续执行第五步。授权:这是您使用风险管理框架最终要执行的步骤。您可以根据您在评估阶段的表现继续执行第五步。正确实施类别和安全控制后,您可以开始允许或拒绝系统操作授权(ATO)。如果系统拒绝该操作,则“授权”步骤将被推迟,直到所有工作都已检查完毕。监控:一旦系统控制到位,就需要对其进行持续监控。第五步授予的“经营许可”有效期只有三年,一旦过期,整个过程需要重来。
