风险管理和安全性是大多数组织机构最关心的问题,尤其是政府产业。风险管理框架将安全性融入到了早期开发阶段,以帮助加快交付速度,同时避免风险。
风险管理框架是由美国国家标准技术研究院(NIST)于2010年制定和发布,之后被美国国防部(DoD)采用,以作为信息安全组织对风险管理流程进行增强和标准化的准则。几乎所有希望加强网络安全和风险管理的公司都可以使用该框架。
风险管理是通过实施有助于进行早期风险检测和处理的安全控制措施来保护组织机构资产和系统的手段。风险管理框架通过将网络安全和风险管理融入到系统开发过程的早期阶段,以帮助企业将更多体系和监督机制引入到系统开发生命周期中,从而实现这一目标。
虽然要求联邦机构在为政府平台开发系统时遵循该风险管理框架,但该框架也可以帮助非政府企业进行IT风险管理。
风险类别
将风险分为七个高级类别有助于企业更好地了解风险来自何处,或风险可能来自何处。通过以这种方式对风险进行分类,组织机构可以快速缩小他们在开发周期中需要关注的范围,以解决所有问题,并对如何建立安全策略有更清晰的了解。
风险类别包括:
- 基础架构:基础架构风险包括在组织内部与计算机、网络硬件和服务可靠性有关的所有风险。
- 项目:项目风险包括与预算、时间表和质量有关的所有风险。
- 应用程序:应用程序风险包括可能影响性能或系统运行能力的所有风险。
- 信息资产:信息资产风险包括信息资产的损坏、丢失或未经授权的披露。
- 业务连续性:业务连续性风险包括任何可能影响到维持某一可靠系统快速正常运行的能力的风险。
- 外部:外部风险包括可能影响安全性的IT部门控制范围之外的任何风险。
- 战略:战略风险主要是对IT流程与相关业务战略保持一致性会造成干扰的风险。
风险管理框架是通过对信息安全实施严格的控制来帮助企业使风险管理标准化。风险管理框架的最新版本于2018年发布,您需要遵循其七个步骤来正确地实施。风险管理框架的七步方法的最终目标是进入运行授权(ATO)阶段,即允许系统在政府环境中运行的阶段。
以下是如何通过遵循风险管理框架的七个步骤来进入运行授权阶段: