FISMA實(shí)施項(xiàng)目的信息安全風(fēng)險管理框架
發(fā)布時間:2025-04-02 點(diǎn)擊:77
FISMA實(shí)施項(xiàng)目的信息安全風(fēng)險管理框架
引言
美國作為當(dāng)今信息化高度發(fā)達(dá)的國家,在信息安全領(lǐng)域也一直保持著領(lǐng)先水平,十分重視信息安全問題的相關(guān)研究?本文嘗試從2002年美國頒布關(guān)于信息安全的立法入手,從技術(shù)發(fā)展角度,介紹NIST提出的信息安全風(fēng)險管理框架和研發(fā)的一系列支持標(biāo)準(zhǔn)?
1.什么是FISMA
FISMA(theFederalInformationSecurityManagementActof2002,聯(lián)邦信息安全管理法案)是2002年頒布的電子政務(wù)法案中的第三章?FISMA認(rèn)可了信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性?該法案要求每個聯(lián)邦機(jī)構(gòu)開發(fā)?記錄并實(shí)施機(jī)構(gòu)范圍內(nèi)的信息安全程序,為它的信息和支持運(yùn)營和資產(chǎn)的信息系統(tǒng)(也包括由其它機(jī)構(gòu)?合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng))提供信息安全支持?
FISMA明確強(qiáng)調(diào)“基于風(fēng)險策略的安全成本-收益”?而且,為了加強(qiáng)信息系統(tǒng)安全,FISMA給聯(lián)邦機(jī)構(gòu)?NIST(NationalInstituteofStandardsandTechnology,國家標(biāo)準(zhǔn)研究院)和OMB(OfficeofManagementandBudget,預(yù)算與管理辦公室)都指派了特定的職責(zé),其中,特別要求每個機(jī)構(gòu)的領(lǐng)導(dǎo)者要實(shí)施相關(guān)策略和程序有成本收益的減少信息技術(shù)安全風(fēng)險到可接受的級別,并要求機(jī)構(gòu)每年回顧信息安全程序的執(zhí)行情況,并將結(jié)果報告給OMB,OMB根據(jù)這些數(shù)據(jù)進(jìn)行監(jiān)督,并將情況報告給國會相關(guān)機(jī)構(gòu)?
2.FISMA實(shí)施項(xiàng)目
根據(jù)FISMA要求,NIST應(yīng)幫助美國的聯(lián)邦機(jī)構(gòu)遵守FISMA,并負(fù)責(zé)為所有聯(lián)邦機(jī)構(gòu)(除國家安全系統(tǒng)之外)開發(fā)能為其運(yùn)營和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)?指南?相關(guān)方法和技術(shù)?因此,NIST于2003年啟動了FISMA實(shí)施項(xiàng)目,并主導(dǎo)開發(fā)了發(fā)展?測量和驗(yàn)證信息系統(tǒng)和服務(wù)安全性的標(biāo)準(zhǔn)?度量?測試和驗(yàn)證程序?
NIST擬定的FISMA實(shí)施項(xiàng)目包括三個階段:
階段1:完成風(fēng)險管理框架(RiskManagementframe,RMF);
階段2:建立組織根據(jù)NISTSP800-37,800-53和800-53A執(zhí)行安全評估的認(rèn)可程序;
階段3:建立支持FISMA風(fēng)險管理框架廠商工具的驗(yàn)證程序
3.FISMA實(shí)施項(xiàng)目的風(fēng)險管理框架
NIST開發(fā)的風(fēng)險管理框架可作為機(jī)構(gòu)的風(fēng)險管理程序的一部分,用于系統(tǒng)開發(fā)生命周期幫助確保每個信息系統(tǒng)都應(yīng)用了恰當(dāng)?shù)陌踩刂?而且這些控制措施經(jīng)過評估能確定其實(shí)施的正確性和按預(yù)期效果運(yùn)營的程度,并生成滿足系統(tǒng)安全性要求的預(yù)期結(jié)果?其中的風(fēng)險管理框架活動如圖1所示:
圖1FISMA風(fēng)險管理框架
1)分類:基于FISP199的影響分析(參見NISTSP800-60,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,指導(dǎo)安全種類的賦值和影響分析)對信息系統(tǒng)及系統(tǒng)中相關(guān)信息進(jìn)行分類?
2)選擇:基于FIPS199安全性分類(參見NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystems),選擇信息系統(tǒng)(上一步驟中的系統(tǒng))安全控制措施的初始集合?
3)提煉:基于信息系統(tǒng)本地環(huán)境(包括特定機(jī)構(gòu)的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計劃中?(參見NISTSP800-30,RiskManagementGuideforInformationTechnologySystems)?
4)評述:評述系統(tǒng)安全計劃中達(dá)成一致的安全控制措施集合,包括對機(jī)構(gòu)初始控制措施集合的提煉和調(diào)整的解釋和理由(參見NISTSP800-18,GuideforDevelopingSecurityPlansforInformationTechnologySystems)?
5)實(shí)施:在信息系統(tǒng)中實(shí)施安全控制措施?(參見NISTSP800-64,SecurityConsiderationsintheInformationSystemDevelopmentLifeCycle)?
6)評估:用適當(dāng)?shù)姆椒ê统绦蛟u估安全控制措施,以確定實(shí)施安全控制措施的正確性程度?是否按預(yù)期運(yùn)營,及是否生成了滿足系統(tǒng)安全要求的期望結(jié)果(參見NISTSP800-53A,GuideforAssessingtheSecurityControlsinFederalInformationSystems)?
7)確定:確定機(jī)構(gòu)運(yùn)營(包括任務(wù)?功能?形象或聲譽(yù)等方面)?資產(chǎn)?由計劃或系統(tǒng)持續(xù)運(yùn)營生成的個體等方面的風(fēng)險(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
8)批準(zhǔn):如果機(jī)構(gòu)的運(yùn)營?資產(chǎn)或個體風(fēng)險是可接受的,則批準(zhǔn)系統(tǒng)處理過程(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
9)監(jiān)控:以持續(xù)性的基本原則監(jiān)控為信息系統(tǒng)選擇的安全控制措施,包括記錄系統(tǒng)的變更,對相應(yīng)的變更執(zhí)行影響分析,并定期向官方機(jī)構(gòu)報告系統(tǒng)的安全狀態(tài)(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
4.進(jìn)展情況
2009年5月,NIST發(fā)布了由其計算機(jī)安全部研究的風(fēng)險管理框架的FAQs和快速指南(QuickStartGuides,QSGs)的進(jìn)展情況,其中第1步“分類”和第6步“監(jiān)控”的FAQs和OSGs已經(jīng)制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發(fā)中?這些FAQs和OSGs文檔將和NISTSP系列標(biāo)準(zhǔn)?FIPS標(biāo)準(zhǔn)一起指導(dǎo)風(fēng)險管理框架6步驟中每一步驟的具體實(shí)施?
2009年7月7日,NIST在其官方網(wǎng)站發(fā)布了FISMA實(shí)施項(xiàng)目開發(fā)和修訂的關(guān)鍵出版物的重要事件進(jìn)展情況,其中所列的出版物包括:
l SP800-53修訂版3:RecommendedSecurityControlsforFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2009年7月31日)
l SP800-37修訂版1:GuideforApplyingtheRiskManagementframeworktoFederalInformationSystems:ASecurityLifeCycleApproach(原聯(lián)邦信息系統(tǒng)安全性認(rèn)證認(rèn)可指南),(項(xiàng)目截至:2009年10月)
l SP800-39:IntegratedEnterprise-wideRiskManagement:Organization,Mission,andInformationSystemsView(原信息系統(tǒng)管理風(fēng)險:組織視角),(項(xiàng)目截止:2009年12月)
l SP800-53A,修訂版1:GuideforAssessingtheSecurityControlsinFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2010年1月)
l SP800-30,修訂版1:GuideforConductingRiskAssessments(原信息技術(shù)體系風(fēng)險管理指南),(項(xiàng)目截止:2010年1月)
目前FISMA項(xiàng)目的實(shí)施,是由NIST和國防部?國家情報總監(jiān)辦公室和國家安全體系委員會成立的聯(lián)合任務(wù)工作組共同開發(fā)聯(lián)邦政府及其承包方的信息安全標(biāo)準(zhǔn)和指南,上述公開出版物完成時間的調(diào)整,是與當(dāng)前項(xiàng)目實(shí)施要求的優(yōu)先級保持一致的?
5.運(yùn)營情況
FISMA為保護(hù)聯(lián)邦政府的信息?運(yùn)營和財產(chǎn)安全提供了信息技術(shù)保障框架,它要求每個聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)都負(fù)責(zé)實(shí)施把信息安全風(fēng)險降低到可接收等級的策略和過程,并且每年都根據(jù)OMB的要求,匯報其信息系統(tǒng)保密性和信息安全程序相關(guān)情況?根據(jù)各機(jī)構(gòu)匯報的信息,OMB評估系統(tǒng)這些機(jī)構(gòu)的私有性績效,并制定給國會的年度安全報告,說明各機(jī)構(gòu)系統(tǒng)安全與FISMA要求的符合情況?同時協(xié)助各機(jī)構(gòu)改進(jìn)和維護(hù)私有性績效?而且,FISMA要求指定由NIST準(zhǔn)備FISMA項(xiàng)目的年度報告,其中需要說明上一年度各項(xiàng)活動的完成情況及履行FISMA責(zé)任的后續(xù)活動詳情,目前這項(xiàng)工作由NIST的信息技術(shù)實(shí)驗(yàn)室的計算機(jī)安全部執(zhí)行?
從2004年開始,OMB每年向國會提交FISMA實(shí)施情況的年度報告?據(jù)OMB給國會的2008財年FISMA實(shí)施情況報告顯示,聯(lián)邦政府2008財年IT總投資約680億美元,其中聯(lián)邦機(jī)構(gòu)安全保障花費(fèi)62億美元,約占IT總業(yè)務(wù)量的9.2%?其中,IT安全投資主要用于系統(tǒng)認(rèn)證認(rèn)可?測試控制措施?用戶安全意識培訓(xùn)等系統(tǒng)安全相關(guān)活動?同時,根據(jù)報告中其他分析數(shù)據(jù)顯示,通過實(shí)施FISMA,聯(lián)邦政府相關(guān)機(jī)構(gòu)經(jīng)過認(rèn)證認(rèn)可的系統(tǒng)?測試的應(yīng)急計劃和安全控制措施比率逐年提高,而且報告中還給出了FISMA系統(tǒng)目錄的風(fēng)險影響等級說明列表?
6.小結(jié)
由此看出,FISMA實(shí)施項(xiàng)目的風(fēng)險管理框架相關(guān)研究成果已經(jīng)在全聯(lián)邦政府范圍內(nèi)逐步推廣應(yīng)用,督促各機(jī)構(gòu)重視信息系統(tǒng)安全?降低安全風(fēng)險的作用已初見成效?該項(xiàng)目以立法形式規(guī)定了聯(lián)邦政府信息系統(tǒng)安全要求和各部門的責(zé)任,以風(fēng)險管理框架為核心,輔以標(biāo)準(zhǔn)?指南指導(dǎo)各環(huán)節(jié)活動的具體實(shí)施,使得一個完整的?系統(tǒng)化的聯(lián)邦政府信息系統(tǒng)安全保障體系初具規(guī)模?該項(xiàng)目從立項(xiàng)到應(yīng)用經(jīng)歷了近6年時間,涉及的聯(lián)邦信息系統(tǒng)從最初的7千多個發(fā)展到1萬多個,為信息安全風(fēng)險評估的發(fā)展和應(yīng)用提供了許多實(shí)踐經(jīng)驗(yàn),值得我們從中借鑒?學(xué)習(xí)?
一字之差招致商標(biāo)紛爭,講講認(rèn)證知識產(chǎn)權(quán)貫標(biāo)的好處
深圳ISO14000認(rèn)證涉及的相關(guān)方及其施加的影響
鞍山企業(yè)iso9001質(zhì)量資質(zhì)認(rèn)證
乳制品GMP/HACCP認(rèn)證產(chǎn)品范圍有哪些?
保潔公司資質(zhì)在哪辦理 清潔保潔資質(zhì)申辦流程
IATF16949認(rèn)證體系實(shí)施步驟
@國家高新技術(shù)企業(yè),最新火炬統(tǒng)計年報填報指引及注意事項(xiàng)
申請ISO22716認(rèn)證需要支付費(fèi)用嗎
引言
美國作為當(dāng)今信息化高度發(fā)達(dá)的國家,在信息安全領(lǐng)域也一直保持著領(lǐng)先水平,十分重視信息安全問題的相關(guān)研究?本文嘗試從2002年美國頒布關(guān)于信息安全的立法入手,從技術(shù)發(fā)展角度,介紹NIST提出的信息安全風(fēng)險管理框架和研發(fā)的一系列支持標(biāo)準(zhǔn)?
1.什么是FISMA
FISMA(theFederalInformationSecurityManagementActof2002,聯(lián)邦信息安全管理法案)是2002年頒布的電子政務(wù)法案中的第三章?FISMA認(rèn)可了信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性?該法案要求每個聯(lián)邦機(jī)構(gòu)開發(fā)?記錄并實(shí)施機(jī)構(gòu)范圍內(nèi)的信息安全程序,為它的信息和支持運(yùn)營和資產(chǎn)的信息系統(tǒng)(也包括由其它機(jī)構(gòu)?合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng))提供信息安全支持?
FISMA明確強(qiáng)調(diào)“基于風(fēng)險策略的安全成本-收益”?而且,為了加強(qiáng)信息系統(tǒng)安全,FISMA給聯(lián)邦機(jī)構(gòu)?NIST(NationalInstituteofStandardsandTechnology,國家標(biāo)準(zhǔn)研究院)和OMB(OfficeofManagementandBudget,預(yù)算與管理辦公室)都指派了特定的職責(zé),其中,特別要求每個機(jī)構(gòu)的領(lǐng)導(dǎo)者要實(shí)施相關(guān)策略和程序有成本收益的減少信息技術(shù)安全風(fēng)險到可接受的級別,并要求機(jī)構(gòu)每年回顧信息安全程序的執(zhí)行情況,并將結(jié)果報告給OMB,OMB根據(jù)這些數(shù)據(jù)進(jìn)行監(jiān)督,并將情況報告給國會相關(guān)機(jī)構(gòu)?
2.FISMA實(shí)施項(xiàng)目
根據(jù)FISMA要求,NIST應(yīng)幫助美國的聯(lián)邦機(jī)構(gòu)遵守FISMA,并負(fù)責(zé)為所有聯(lián)邦機(jī)構(gòu)(除國家安全系統(tǒng)之外)開發(fā)能為其運(yùn)營和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)?指南?相關(guān)方法和技術(shù)?因此,NIST于2003年啟動了FISMA實(shí)施項(xiàng)目,并主導(dǎo)開發(fā)了發(fā)展?測量和驗(yàn)證信息系統(tǒng)和服務(wù)安全性的標(biāo)準(zhǔn)?度量?測試和驗(yàn)證程序?
NIST擬定的FISMA實(shí)施項(xiàng)目包括三個階段:
階段1:完成風(fēng)險管理框架(RiskManagementframe,RMF);
階段2:建立組織根據(jù)NISTSP800-37,800-53和800-53A執(zhí)行安全評估的認(rèn)可程序;
階段3:建立支持FISMA風(fēng)險管理框架廠商工具的驗(yàn)證程序
3.FISMA實(shí)施項(xiàng)目的風(fēng)險管理框架
NIST開發(fā)的風(fēng)險管理框架可作為機(jī)構(gòu)的風(fēng)險管理程序的一部分,用于系統(tǒng)開發(fā)生命周期幫助確保每個信息系統(tǒng)都應(yīng)用了恰當(dāng)?shù)陌踩刂?而且這些控制措施經(jīng)過評估能確定其實(shí)施的正確性和按預(yù)期效果運(yùn)營的程度,并生成滿足系統(tǒng)安全性要求的預(yù)期結(jié)果?其中的風(fēng)險管理框架活動如圖1所示:
圖1FISMA風(fēng)險管理框架
1)分類:基于FISP199的影響分析(參見NISTSP800-60,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,指導(dǎo)安全種類的賦值和影響分析)對信息系統(tǒng)及系統(tǒng)中相關(guān)信息進(jìn)行分類?
2)選擇:基于FIPS199安全性分類(參見NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystems),選擇信息系統(tǒng)(上一步驟中的系統(tǒng))安全控制措施的初始集合?
3)提煉:基于信息系統(tǒng)本地環(huán)境(包括特定機(jī)構(gòu)的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計劃中?(參見NISTSP800-30,RiskManagementGuideforInformationTechnologySystems)?
4)評述:評述系統(tǒng)安全計劃中達(dá)成一致的安全控制措施集合,包括對機(jī)構(gòu)初始控制措施集合的提煉和調(diào)整的解釋和理由(參見NISTSP800-18,GuideforDevelopingSecurityPlansforInformationTechnologySystems)?
5)實(shí)施:在信息系統(tǒng)中實(shí)施安全控制措施?(參見NISTSP800-64,SecurityConsiderationsintheInformationSystemDevelopmentLifeCycle)?
6)評估:用適當(dāng)?shù)姆椒ê统绦蛟u估安全控制措施,以確定實(shí)施安全控制措施的正確性程度?是否按預(yù)期運(yùn)營,及是否生成了滿足系統(tǒng)安全要求的期望結(jié)果(參見NISTSP800-53A,GuideforAssessingtheSecurityControlsinFederalInformationSystems)?
7)確定:確定機(jī)構(gòu)運(yùn)營(包括任務(wù)?功能?形象或聲譽(yù)等方面)?資產(chǎn)?由計劃或系統(tǒng)持續(xù)運(yùn)營生成的個體等方面的風(fēng)險(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
8)批準(zhǔn):如果機(jī)構(gòu)的運(yùn)營?資產(chǎn)或個體風(fēng)險是可接受的,則批準(zhǔn)系統(tǒng)處理過程(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
9)監(jiān)控:以持續(xù)性的基本原則監(jiān)控為信息系統(tǒng)選擇的安全控制措施,包括記錄系統(tǒng)的變更,對相應(yīng)的變更執(zhí)行影響分析,并定期向官方機(jī)構(gòu)報告系統(tǒng)的安全狀態(tài)(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
4.進(jìn)展情況
2009年5月,NIST發(fā)布了由其計算機(jī)安全部研究的風(fēng)險管理框架的FAQs和快速指南(QuickStartGuides,QSGs)的進(jìn)展情況,其中第1步“分類”和第6步“監(jiān)控”的FAQs和OSGs已經(jīng)制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發(fā)中?這些FAQs和OSGs文檔將和NISTSP系列標(biāo)準(zhǔn)?FIPS標(biāo)準(zhǔn)一起指導(dǎo)風(fēng)險管理框架6步驟中每一步驟的具體實(shí)施?
2009年7月7日,NIST在其官方網(wǎng)站發(fā)布了FISMA實(shí)施項(xiàng)目開發(fā)和修訂的關(guān)鍵出版物的重要事件進(jìn)展情況,其中所列的出版物包括:
l SP800-53修訂版3:RecommendedSecurityControlsforFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2009年7月31日)
l SP800-37修訂版1:GuideforApplyingtheRiskManagementframeworktoFederalInformationSystems:ASecurityLifeCycleApproach(原聯(lián)邦信息系統(tǒng)安全性認(rèn)證認(rèn)可指南),(項(xiàng)目截至:2009年10月)
l SP800-39:IntegratedEnterprise-wideRiskManagement:Organization,Mission,andInformationSystemsView(原信息系統(tǒng)管理風(fēng)險:組織視角),(項(xiàng)目截止:2009年12月)
l SP800-53A,修訂版1:GuideforAssessingtheSecurityControlsinFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2010年1月)
l SP800-30,修訂版1:GuideforConductingRiskAssessments(原信息技術(shù)體系風(fēng)險管理指南),(項(xiàng)目截止:2010年1月)
目前FISMA項(xiàng)目的實(shí)施,是由NIST和國防部?國家情報總監(jiān)辦公室和國家安全體系委員會成立的聯(lián)合任務(wù)工作組共同開發(fā)聯(lián)邦政府及其承包方的信息安全標(biāo)準(zhǔn)和指南,上述公開出版物完成時間的調(diào)整,是與當(dāng)前項(xiàng)目實(shí)施要求的優(yōu)先級保持一致的?
5.運(yùn)營情況
FISMA為保護(hù)聯(lián)邦政府的信息?運(yùn)營和財產(chǎn)安全提供了信息技術(shù)保障框架,它要求每個聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)都負(fù)責(zé)實(shí)施把信息安全風(fēng)險降低到可接收等級的策略和過程,并且每年都根據(jù)OMB的要求,匯報其信息系統(tǒng)保密性和信息安全程序相關(guān)情況?根據(jù)各機(jī)構(gòu)匯報的信息,OMB評估系統(tǒng)這些機(jī)構(gòu)的私有性績效,并制定給國會的年度安全報告,說明各機(jī)構(gòu)系統(tǒng)安全與FISMA要求的符合情況?同時協(xié)助各機(jī)構(gòu)改進(jìn)和維護(hù)私有性績效?而且,FISMA要求指定由NIST準(zhǔn)備FISMA項(xiàng)目的年度報告,其中需要說明上一年度各項(xiàng)活動的完成情況及履行FISMA責(zé)任的后續(xù)活動詳情,目前這項(xiàng)工作由NIST的信息技術(shù)實(shí)驗(yàn)室的計算機(jī)安全部執(zhí)行?
從2004年開始,OMB每年向國會提交FISMA實(shí)施情況的年度報告?據(jù)OMB給國會的2008財年FISMA實(shí)施情況報告顯示,聯(lián)邦政府2008財年IT總投資約680億美元,其中聯(lián)邦機(jī)構(gòu)安全保障花費(fèi)62億美元,約占IT總業(yè)務(wù)量的9.2%?其中,IT安全投資主要用于系統(tǒng)認(rèn)證認(rèn)可?測試控制措施?用戶安全意識培訓(xùn)等系統(tǒng)安全相關(guān)活動?同時,根據(jù)報告中其他分析數(shù)據(jù)顯示,通過實(shí)施FISMA,聯(lián)邦政府相關(guān)機(jī)構(gòu)經(jīng)過認(rèn)證認(rèn)可的系統(tǒng)?測試的應(yīng)急計劃和安全控制措施比率逐年提高,而且報告中還給出了FISMA系統(tǒng)目錄的風(fēng)險影響等級說明列表?
6.小結(jié)
由此看出,FISMA實(shí)施項(xiàng)目的風(fēng)險管理框架相關(guān)研究成果已經(jīng)在全聯(lián)邦政府范圍內(nèi)逐步推廣應(yīng)用,督促各機(jī)構(gòu)重視信息系統(tǒng)安全?降低安全風(fēng)險的作用已初見成效?該項(xiàng)目以立法形式規(guī)定了聯(lián)邦政府信息系統(tǒng)安全要求和各部門的責(zé)任,以風(fēng)險管理框架為核心,輔以標(biāo)準(zhǔn)?指南指導(dǎo)各環(huán)節(jié)活動的具體實(shí)施,使得一個完整的?系統(tǒng)化的聯(lián)邦政府信息系統(tǒng)安全保障體系初具規(guī)模?該項(xiàng)目從立項(xiàng)到應(yīng)用經(jīng)歷了近6年時間,涉及的聯(lián)邦信息系統(tǒng)從最初的7千多個發(fā)展到1萬多個,為信息安全風(fēng)險評估的發(fā)展和應(yīng)用提供了許多實(shí)踐經(jīng)驗(yàn),值得我們從中借鑒?學(xué)習(xí)?
一字之差招致商標(biāo)紛爭,講講認(rèn)證知識產(chǎn)權(quán)貫標(biāo)的好處
深圳ISO14000認(rèn)證涉及的相關(guān)方及其施加的影響
鞍山企業(yè)iso9001質(zhì)量資質(zhì)認(rèn)證
乳制品GMP/HACCP認(rèn)證產(chǎn)品范圍有哪些?
保潔公司資質(zhì)在哪辦理 清潔保潔資質(zhì)申辦流程
IATF16949認(rèn)證體系實(shí)施步驟
@國家高新技術(shù)企業(yè),最新火炬統(tǒng)計年報填報指引及注意事項(xiàng)
申請ISO22716認(rèn)證需要支付費(fèi)用嗎