NIST SP 800-30
NIST SP 800-30 是什么?
NIST SP 800-30NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。
NIST SP 800-30 修订版 1《风险评估指南》由美国国家标准与技术研究院(NIST)发布,是 NIST 风险管理框架的重要组成部分。其定义了风险评估的四步流程:准备评估、实施评估、沟通结果与维护评估。文档说明了如何识别威胁源与威胁事件、脆弱性、可能性与影响,并将其组合为定性或半定量的风险等级。它是面向组织、业务与信息系统三层风险评估的参考标准,广泛应用于美国联邦机构、承包商以及众多私营机构,通常与 SP 800-37 和 SP 800-39 配合使用。
● 示例
- 01
联邦承包商使用 SP 800-30 的表格来为 ATO 文件评估威胁的可能性与影响。
- 02
银行基于 SP 800-30 模板评估第三方 SaaS 供应商风险后再签约。
● 常见问题
NIST SP 800-30 是什么?
NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。 它属于网络安全的 合规与框架 分类。
NIST SP 800-30 是什么意思?
NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。
NIST SP 800-30 是如何工作的?
NIST SP 800-30 修订版 1《风险评估指南》由美国国家标准与技术研究院(NIST)发布,是 NIST 风险管理框架的重要组成部分。其定义了风险评估的四步流程:准备评估、实施评估、沟通结果与维护评估。文档说明了如何识别威胁源与威胁事件、脆弱性、可能性与影响,并将其组合为定性或半定量的风险等级。它是面向组织、业务与信息系统三层风险评估的参考标准,广泛应用于美国联邦机构、承包商以及众多私营机构,通常与 SP 800-37 和 SP 800-39 配合使用。
如何防御 NIST SP 800-30?
针对 NIST SP 800-30 的防御通常结合技术控制与运营实践,详见上方完整定义。
NIST SP 800-30 还有哪些其他名称?
常见的别称包括: SP 800-30, 风险评估实施指南。
● 相关术语
- compliance№ 736
NIST SP 800-37
NIST 风险管理框架,定义了一套覆盖系统全生命周期、用于管理安全与隐私风险的七步流程。
- compliance№ 738
NIST SP 800-61
NIST 发布的《计算机安全事件处置指南》,描述政府与行业事件响应团队普遍采用的四阶段生命周期。
- compliance№ 236
CRISC
ISACA 颁发的 IT 风险与控制专业认证,涵盖治理、IT 风险评估、风险响应与报告、控制选择四个领域。
- compliance№ 176
CISM
ISACA 颁发的管理层信息安全资格,涵盖治理、风险、项目建设与事件管理四大领域,面向信息安全经理。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。