NIST SP 800-37
NIST SP 800-37 是什么?
NIST SP 800-37NIST 风险管理框架,定义了一套覆盖系统全生命周期、用于管理安全与隐私风险的七步流程。
NIST SP 800-37 修订版 2《信息系统与组织风险管理框架(RMF)》由美国国家标准与技术研究院发布。它确立了一个七步生命周期流程,用于管理安全与隐私风险:准备(Prepare)、分类(Categorize)、选择(Select)、实施(Implement)、评估(Assess)、授权(Authorize)与监控(Monitor)。该出版物将安全、隐私与供应链风险管理整合为单一框架,与 FISMA、OMB A-130 通告以及 NIST 网络安全框架保持一致。除适用于美国联邦信息系统外,承包商、国防工业基础以及各州、地方、部落和大量私营机构也采用它来作出可重复的运营授权(ATO)决策。
● 示例
- 01
联邦项目经理依据 RMF 七步流程为一个新的 SaaS 工作负载完成 ATO。
- 02
国防承包商从 CSP 继承通用控制,并在 RMF 的实施阶段加以文档化。
● 常见问题
NIST SP 800-37 是什么?
NIST 风险管理框架,定义了一套覆盖系统全生命周期、用于管理安全与隐私风险的七步流程。 它属于网络安全的 合规与框架 分类。
NIST SP 800-37 是什么意思?
NIST 风险管理框架,定义了一套覆盖系统全生命周期、用于管理安全与隐私风险的七步流程。
NIST SP 800-37 是如何工作的?
NIST SP 800-37 修订版 2《信息系统与组织风险管理框架(RMF)》由美国国家标准与技术研究院发布。它确立了一个七步生命周期流程,用于管理安全与隐私风险:准备(Prepare)、分类(Categorize)、选择(Select)、实施(Implement)、评估(Assess)、授权(Authorize)与监控(Monitor)。该出版物将安全、隐私与供应链风险管理整合为单一框架,与 FISMA、OMB A-130 通告以及 NIST 网络安全框架保持一致。除适用于美国联邦信息系统外,承包商、国防工业基础以及各州、地方、部落和大量私营机构也采用它来作出可重复的运营授权(ATO)决策。
如何防御 NIST SP 800-37?
针对 NIST SP 800-37 的防御通常结合技术控制与运营实践,详见上方完整定义。
NIST SP 800-37 还有哪些其他名称?
常见的别称包括: SP 800-37, RMF, 风险管理框架。
● 相关术语
- compliance№ 735
NIST SP 800-30
NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。
- compliance№ 738
NIST SP 800-61
NIST 发布的《计算机安全事件处置指南》,描述政府与行业事件响应团队普遍采用的四阶段生命周期。
- compliance№ 236
CRISC
ISACA 颁发的 IT 风险与控制专业认证,涵盖治理、IT 风险评估、风险响应与报告、控制选择四个领域。
- compliance№ 176
CISM
ISACA 颁发的管理层信息安全资格,涵盖治理、风险、项目建设与事件管理四大领域,面向信息安全经理。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
● 参见
- № 175CISA