風(fēng)險(xiǎn)管理和安全性是大多數(shù)組織機(jī)構(gòu)最關(guān)心的問題，尤其是政府產(chǎn)業(yè)。風(fēng)險(xiǎn)管理框架將安全性融入到了早期開發(fā)階段，以幫助加快交付速度，同時(shí)避免風(fēng)險(xiǎn)。

[[333913]]

風(fēng)險(xiǎn)管理框架是由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)于2010年制定和發(fā)布，之后被美國(guó)國(guó)防部(DoD)采用，以作為信息安全組織對(duì)風(fēng)險(xiǎn)管理流程進(jìn)行增強(qiáng)和標(biāo)準(zhǔn)化的準(zhǔn)則。幾乎所有希望加強(qiáng)網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理的公司都可以使用該框架。

風(fēng)險(xiǎn)管理是通過實(shí)施有助于進(jìn)行早期風(fēng)險(xiǎn)檢測(cè)和處理的安全控制措施來保護(hù)組織機(jī)構(gòu)資產(chǎn)和系統(tǒng)的手段。風(fēng)險(xiǎn)管理框架通過將網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理融入到系統(tǒng)開發(fā)過程的早期階段，以幫助企業(yè)將更多體系和監(jiān)督機(jī)制引入到系統(tǒng)開發(fā)生命周期中，從而實(shí)現(xiàn)這一目標(biāo)。

雖然要求聯(lián)邦機(jī)構(gòu)在為政府平臺(tái)開發(fā)系統(tǒng)時(shí)遵循該風(fēng)險(xiǎn)管理框架，但該框架也可以幫助非政府企業(yè)進(jìn)行IT風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)類別

將風(fēng)險(xiǎn)分為七個(gè)高級(jí)類別有助于企業(yè)更好地了解風(fēng)險(xiǎn)來自何處，或風(fēng)險(xiǎn)可能來自何處。通過以這種方式對(duì)風(fēng)險(xiǎn)進(jìn)行分類，組織機(jī)構(gòu)可以快速縮小他們?cè)陂_發(fā)周期中需要關(guān)注的范圍，以解決所有問題，并對(duì)如何建立安全策略有更清晰的了解。

風(fēng)險(xiǎn)類別包括：

• 基礎(chǔ)架構(gòu)：基礎(chǔ)架構(gòu)風(fēng)險(xiǎn)包括在組織內(nèi)部與計(jì)算機(jī)、網(wǎng)絡(luò)硬件和服務(wù)可靠性有關(guān)的所有風(fēng)險(xiǎn)。
• 項(xiàng)目：項(xiàng)目風(fēng)險(xiǎn)包括與預(yù)算、時(shí)間表和質(zhì)量有關(guān)的所有風(fēng)險(xiǎn)。
• 應(yīng)用程序：應(yīng)用程序風(fēng)險(xiǎn)包括可能影響性能或系統(tǒng)運(yùn)行能力的所有風(fēng)險(xiǎn)。
• 信息資產(chǎn)：信息資產(chǎn)風(fēng)險(xiǎn)包括信息資產(chǎn)的損壞、丟失或未經(jīng)授權(quán)的披露。
• 業(yè)務(wù)連續(xù)性：業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)包括任何可能影響到維持某一可靠系統(tǒng)快速正常運(yùn)行的能力的風(fēng)險(xiǎn)。
• 外部：外部風(fēng)險(xiǎn)包括可能影響安全性的IT部門控制范圍之外的任何風(fēng)險(xiǎn)。
• 戰(zhàn)略：戰(zhàn)略風(fēng)險(xiǎn)主要是對(duì)IT流程與相關(guān)業(yè)務(wù)戰(zhàn)略保持一致性會(huì)造成干擾的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理框架的步驟

風(fēng)險(xiǎn)管理框架是通過對(duì)信息安全實(shí)施嚴(yán)格的控制來幫助企業(yè)使風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)化。風(fēng)險(xiǎn)管理框架的最新版本于2018年發(fā)布，您需要遵循其七個(gè)步驟來正確地實(shí)施。風(fēng)險(xiǎn)管理框架的七步方法的最終目標(biāo)是進(jìn)入運(yùn)行授權(quán)(ATO)階段，即允許系統(tǒng)在政府環(huán)境中運(yùn)行的階段。

以下是如何通過遵循風(fēng)險(xiǎn)管理框架的七個(gè)步驟來進(jìn)入運(yùn)行授權(quán)階段：

1. 準(zhǔn)備：美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院在風(fēng)險(xiǎn)管理框架的第2修訂版中增加了此步驟，其認(rèn)識(shí)到組織機(jī)構(gòu)要想從風(fēng)險(xiǎn)管理框架中獲得最大價(jià)值而進(jìn)行準(zhǔn)備的重要性，并且特別強(qiáng)調(diào)溝通工作。正如美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院所解釋的那樣，“準(zhǔn)備工作是在企業(yè)的組織、任務(wù)和業(yè)務(wù)流程以及信息系統(tǒng)層面執(zhí)行一些基本操作，以幫助組織機(jī)構(gòu)利用風(fēng)險(xiǎn)管理框架來管理其安全和隱私風(fēng)險(xiǎn)。”
2. 分類：此步驟涉及到相關(guān)系統(tǒng)如何處理、存儲(chǔ)和傳輸信息。它要求您定義系統(tǒng)如何​​與其他IT系統(tǒng)和網(wǎng)絡(luò)交互，了解需要采取哪些合規(guī)性措施，并制定系統(tǒng)的體系架構(gòu)描述。
3. 選擇：該選擇步驟包括根據(jù)步驟一中風(fēng)險(xiǎn)的類別為安全控制措施設(shè)置基準(zhǔn)。在此步驟中，您會(huì)根據(jù)風(fēng)險(xiǎn)所屬的類別來決定要實(shí)施哪些基本安全控制措施。
4. 實(shí)施：第三步涉及到實(shí)施第二步中制定的安全措施。在此步驟中，您應(yīng)該確保充分記錄實(shí)施過程，以便在下一步完成后需要重新查看實(shí)施工作。
5. 評(píng)估：在第四步中，應(yīng)確保所有工作都按預(yù)期執(zhí)行，并將控制措施正確地應(yīng)用到系統(tǒng)中。此“評(píng)估”步驟是檢查在第一步中制定的類別和基本安全控制措施是否在實(shí)施過程中得到正確實(shí)施。如果沒有正確實(shí)施，您需要返回到“實(shí)施”步驟，直到所有工作順利運(yùn)行為止，然后才能繼續(xù)執(zhí)行第五步。
6. 授權(quán)：這是您最終想通過使用風(fēng)險(xiǎn)管理框架所執(zhí)行的步驟。您可以根據(jù)評(píng)估階段的表現(xiàn)進(jìn)入第五步。當(dāng)您已正確實(shí)施類別和安全控制措施后，即可開始允許或拒絕該系統(tǒng)進(jìn)行運(yùn)行授權(quán)(ATO)。如果拒絕系統(tǒng)進(jìn)行該操作，則“授權(quán)”步驟將被推遲到所有工作檢查完畢為止。
7. 監(jiān)控：當(dāng)系統(tǒng)控制措施實(shí)施到位后，就需要對(duì)其進(jìn)行持續(xù)監(jiān)控。第五步所授予的“運(yùn)行授權(quán)”有效期僅為三年，一旦到期，就需要重復(fù)整個(gè)過程。