风险管理和安全性是大多数组织机构最关心的问题,尤其是政府产业。风险管理框架将安全性融入到了早期开发阶段,以帮助加快交付速度,同时避免风险。
风险管理框架是由美国国家标准技术研究院(NIST)于2010年制定和发布,之后被美国国防部(DoD)采用,以作为信息安全组织对风险管理流程进行增强和标准化的准则。几乎所有希望加强网络安全和风险管理的公司都可以使用该框架。
风险管理是通过实施有助于进行早期风险检测和处理的安全控制措施来保护组织机构资产和系统的手段。风险管理框架通过将网络安全和风险管理融入到系统开发过程的早期阶段,以帮助企业将更多体系和监督机制引入到系统开发生命周期中,从而实现这一目标。
虽然要求联邦机构在为政府平台开发系统时遵循该风险管理框架,但该框架也可以帮助非政府企业进行IT风险管理。
风险类别
将风险分为七个高级类别有助于企业更好地了解风险来自何处,或风险可能来自何处。通过以这种方式对风险进行分类,组织机构可以快速缩小他们在开发周期中需要关注的范围,以解决所有问题,并对如何建立安全策略有更清晰的了解。
风险类别包括:
- 基础架构:基础架构风险包括在组织内部与计算机、网络硬件和服务可靠性有关的所有风险。
- 项目:项目风险包括与预算、时间表和质量有关的所有风险。
- 应用程序:应用程序风险包括可能影响性能或系统运行能力的所有风险。
- 信息资产:信息资产风险包括信息资产的损坏、丢失或未经授权的披露。
- 业务连续性:业务连续性风险包括任何可能影响到维持某一可靠系统快速正常运行的能力的风险。
- 外部:外部风险包括可能影响安全性的IT部门控制范围之外的任何风险。
- 战略:战略风险主要是对IT流程与相关业务战略保持一致性会造成干扰的风险。
风险管理框架的步骤
风险管理框架是通过对信息安全实施严格的控制来帮助企业使风险管理标准化。风险管理框架的最新版本于2018年发布,您需要遵循其七个步骤来正确地实施。风险管理框架的七步方法的最终目标是进入运行授权(ATO)阶段,即允许系统在政府环境中运行的阶段。
以下是如何通过遵循风险管理框架的七个步骤来进入运行授权阶段:
- 准备:美国国家标准技术研究院在风险管理框架的第2修订版中增加了此步骤,其认识到组织机构要想从风险管理框架中获得最大价值而进行准备的重要性,并且特别强调沟通工作。正如美国国家标准技术研究院所解释的那样,“准备工作是在企业的组织、任务和业务流程以及信息系统层面执行一些基本操作,以帮助组织机构利用风险管理框架来管理其安全和隐私风险。”
- 分类:此步骤涉及到相关系统如何处理、存储和传输信息。它要求您定义系统如何与其他IT系统和网络交互,了解需要采取哪些合规性措施,并制定系统的体系架构描述。
- 选择:该选择步骤包括根据步骤一中风险的类别为安全控制措施设置基准。在此步骤中,您会根据风险所属的类别来决定要实施哪些基本安全控制措施。
- 实施:第三步涉及到实施第二步中制定的安全措施。在此步骤中,您应该确保充分记录实施过程,以便在下一步完成后需要重新查看实施工作。
- 评估:在第四步中,应确保所有工作都按预期执行,并将控制措施正确地应用到系统中。此“评估”步骤是检查在第一步中制定的类别和基本安全控制措施是否在实施过程中得到正确实施。如果没有正确实施,您需要返回到“实施”步骤,直到所有工作顺利运行为止,然后才能继续执行第五步。
- 授权:这是您最终想通过使用风险管理框架所执行的步骤。您可以根据评估阶段的表现进入第五步。当您已正确实施类别和安全控制措施后,即可开始允许或拒绝该系统进行运行授权(ATO)。如果拒绝系统进行该操作,则“授权”步骤将被推迟到所有工作检查完毕为止。
- 监控:当系统控制措施实施到位后,就需要对其进行持续监控。第五步所授予的“运行授权”有效期仅为三年,一旦到期,就需要重复整个过程。