如何经过风险管理框架保障信息安全
发布时间:2022-07-25 09:31:34 所属栏目:安全 来源:互联网
导读:风险管理和安全性是大多数组织机构最关心的问题,尤其是政府产业。风险管理框架将安全性融入到了早期开发阶段,以帮助加快交付速度,同时避免风险。 虽然要求联邦机构在为政府平台开发系统时遵循该风险管理框架,但该框架也可以帮助非政府企业进行IT风险管理
|
风险管理和安全性是大多数组织机构最关心的问题,尤其是政府产业。风险管理框架将安全性融入到了早期开发阶段,以帮助加快交付速度,同时避免风险。 虽然要求联邦机构在为政府平台开发系统时遵循该风险管理框架,但该框架也可以帮助非政府企业进行IT风险管理。 风险管理框架是通过对信息安全实施严格的控制来帮助企业使风险管理标准化。风险管理框架的最新版本于2018年发布,您需要遵循其七个步骤来正确地实施。风险管理框架的七步方法的最终目标是进入运行授权(ATO)阶段,即允许系统在政府环境中运行的阶段。  以下是如何通过遵循风险管理框架的七个步骤来进入运行授权阶段: 准备:美国国家标准技术研究院在风险管理框架的第2修订版中增加了此步骤,其认识到组织机构要想从风险管理框架中获得最大价值而进行准备的重要性,并且特别强调沟通工作。正如美国国家标准技术研究院所解释的那样,“准备工作是在企业的组织、任务和业务流程以及信息系统层面执行一些基本操作,以帮助组织机构利用风险管理框架来管理其安全和隐私风险。” 分类:此步骤涉及到相关系统如何处理、存储和传输信息。它要求您定义系统如何与其他IT系统和网络交互,了解需要采取哪些合规性措施,并制定系统的体系架构描述。 选择:该选择步骤包括根据步骤一中风险的类别为安全控制措施设置基准。在此步骤中,您会根据风险所属的类别来决定要实施哪些基本安全控制措施。 实施:第三步涉及到实施第二步中制定的安全措施。在此步骤中,您应该确保充分记录实施过程,以便在下一步完成后需要重新查看实施工作。 评估:在第四步中,应确保所有工作都按预期执行,并将控制措施正确地应用到系统中。此“评估”步骤是检查在第一步中制定的类别和基本安全控制措施是否在实施过程中得到正确实施。如果没有正确实施,您需要返回到“实施”步骤,直到所有工作顺利运行为止,然后才能继续执行第五步。 授权:这是您最终想通过使用风险管理框架所执行的步骤。您可以根据评估阶段的表现进入第五步。当您已正确实施类别和安全控制措施后,即可开始允许或拒绝该系统进行运行授权(ATO)。如果拒绝系统进行该操作,则“授权”步骤将被推迟到所有工作检查完毕为止。 监控:当系统控制措施实施到位后,就需要对其进行持续监控。第五步所授予的“运行授权”有效期仅为三年,一旦到期,就需要重复整个过程。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号