Entry № 825
NIST 风险管理框架
NIST 风险管理框架 是什么?
NIST 风险管理框架NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。
NIST 风险管理框架(RMF)在 NIST SP 800-37 Revision 2 中描述,主要适用于美国联邦信息系统及其承包商,同时被其他行业广泛采用。RMF 包含七个步骤:Prepare(准备)、Categorize(按 FIPS 199 与 SP 800-60 进行分类)、Select(从 SP 800-53 中选择控制)、Implement(实施)、Assess(按 SP 800-53A 评估)、Authorize(授予运行授权 ATO)以及 Monitor(持续监控)。RMF 将安全、隐私以及网络供应链风险管理贯穿系统生命周期,为 FISMA、FedRAMP 和 CMMC 等项目提供运营支撑。它与 NIST 网络安全框架(CSF)互补,作为基于风险的控制落地引擎。
● 示例
- 01
联邦机构完成 RMF 的 Authorize 步骤,为新的云工作负载颁发运行授权(ATO)。
- 02
承包商利用 Monitor 步骤跟踪 POA&M 项与持续监控指标,以维护 FedRAMP 系统。
● 常见问题
NIST 风险管理框架 是什么?
NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。 它属于网络安全的 合规与框架 分类。
NIST 风险管理框架 是什么意思?
NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。
如何防御 NIST 风险管理框架?
针对 NIST 风险管理框架 的防御通常结合技术控制与运营实践,详见上方完整定义。
NIST 风险管理框架 还有哪些其他名称?
常见的别称包括: RMF, NIST SP 800-37。