读书频道 > 网站 > 网页设计 > Web商务安全设计与开发宝典——涵盖电子商务与移动商务
9.3.7 NIST SP 800-30
12-09-14    奋斗的小年轻
收藏    我要投稿   
本书共有9章内容和4个附录,各章依次讲述了重要的背景信息和关于移动商务和移动商务安全问题的详细知识。附录提供了支撑各章节内容的重要的技术和合规主题。本书一开始介绍了电子商务时代及它对消费者购买习惯所...立即去当当网订购

SP 800-30“信息技术系统风险管理指南”与OMB A-130通报的附录Ⅲ兼容,它提供了把风险减少到一个可接受水平的非强制性指导原则。根据SP 800-30的说法,“这个指南为开发一个有效的风险管理程序奠定了基础,包括一些定义和评估与减少IT系统内的风险所需的实用指南。”

风险管理对一个组织通过以有效方式保护和管理IT资源来完成其使命非常重要。风险管理也支持信息系统的认证和鉴定。

在风险管理中担任一定角色的关键人员如下:

● 高级管理
● 首席信息官(Chief Information Officer,CIO)
● 系统和信息的所有者
● 商业和部门经理
● 信息系统安全官员(Information System Security Officer,ISSO)
● IT安全从业人员
● 安全意识培训师

NIST SP 800-30把风险定义为“既定威胁源利用特定潜在漏洞的可能性和该负面事件对组织造成的影响的函数。”

SP 800-30定义风险管理具有以下三种成分:

● 风险评估
● 风险缓解
● 风险评价和风险评估

1. 风险评估

风险评估包括以下步骤:

(1) 系统表征
(2) 威胁识别
(3) 漏洞识别
(4) 控制分析
(5) 可能性判断
(6) 影响分析
(7) 风险确定
(8) 控制建议
(9) 结果文档

2. 风险缓解

风险缓解优先考虑从风险评估活动中得出的被推荐的控制措施。要对控制措施进行成本效益分析,以把风险限制到完成组织任务所需的一个可接受的水平。为了缓解风险,您可以运用技术、管理和操作控制。

风险缓解包括以下方面:

● 风险规避
● 风险承担
● 风险限制
● 风险转移
● 风险规划
● 研发

3. 评价和评估

因为一个组织经常会经历人事、网络体系结构和信息系统的变动,所以风险管理是一个连续过程,需要不断进行评价和评估。OMB A-130通报规定美国政府机构每3年进行一次风险评估。然而,风险评估应该在必要时实施,例如对网络和计算机进行了大修之后。

4. 剩余风险

即使由于风险管理流程的需要部署了控制措施之后,还是有一些风险即剩余风险总是遗留下来。DAA有责任在认证和鉴定过程中把剩余风险考虑在内。

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站