FISMA實(shí)施項(xiàng)目的信息安全風(fēng)險(xiǎn)管理的框架
發(fā)布時(shí)間:2025-07-10 點(diǎn)擊:27
美國作為當(dāng)今信息化高度發(fā)達(dá)的國家,在信息安全領(lǐng)域也一直保持著領(lǐng)先水平,十分重視信息安全問題的相關(guān)研究?現(xiàn)在小編就就跟大家一起去看看吧。
1.什么是FISMA
FISMA(theFederalInformationSecurityManagementActof2002,聯(lián)邦信息安全管理法案)是2002年頒布的電子政務(wù)法案中的第三章?FISMA認(rèn)可了信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性?該法案要求每個(gè)聯(lián)邦機(jī)構(gòu)開發(fā)?記錄并實(shí)施機(jī)構(gòu)范圍內(nèi)的信息安全程序,為它的信息和支持運(yùn)營和資產(chǎn)的信息系統(tǒng)(也包括由其它機(jī)構(gòu)?合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng))提供信息安全支持?
FISMA明確強(qiáng)調(diào)“基于風(fēng)險(xiǎn)策略的安全成本-收益”?而且,為了加強(qiáng)信息系統(tǒng)安全,FISMA給聯(lián)邦機(jī)構(gòu)?NIST(NationalInstituteofStandardsandTechnology,國家標(biāo)準(zhǔn)研究院)和OMB(OfficeofManagementandBudget,預(yù)算與管理辦公室)都指派了特定的職責(zé),其中,特別要求每個(gè)機(jī)構(gòu)的領(lǐng)導(dǎo)者要實(shí)施相關(guān)策略和程序有成本收益的減少信息技術(shù)安全風(fēng)險(xiǎn)到可接受的級別,并要求機(jī)構(gòu)每年回顧信息安全程序的執(zhí)行情況,并將結(jié)果報(bào)告給OMB,OMB根據(jù)這些數(shù)據(jù)進(jìn)行監(jiān)督,并將情況報(bào)告給國會相關(guān)機(jī)構(gòu)?
2.FISMA實(shí)施項(xiàng)目
根據(jù)FISMA要求,NIST應(yīng)幫助美國的聯(lián)邦機(jī)構(gòu)遵守FISMA,并負(fù)責(zé)為所有聯(lián)邦機(jī)構(gòu)(除國家安全系統(tǒng)之外)開發(fā)能為其運(yùn)營和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)?指南?相關(guān)方法和技術(shù)?因此,NIST于2003年啟動了FISMA實(shí)施項(xiàng)目,并主導(dǎo)開發(fā)了發(fā)展?測量和驗(yàn)證信息系統(tǒng)和服務(wù)安全性的標(biāo)準(zhǔn)?度量?測試和驗(yàn)證程序?
NIST擬定的FISMA實(shí)施項(xiàng)目包括三個(gè)階段:
階段1:完成風(fēng)險(xiǎn)管理框架(RiskManagementframe,RMF);
階段2:建立組織根據(jù)NISTSP800-37,800-53和800-53A執(zhí)行安全評估的認(rèn)可程序;
階段3:建立支持FISMA風(fēng)險(xiǎn)管理框架廠商工具的驗(yàn)證程序
3.FISMA實(shí)施項(xiàng)目的風(fēng)險(xiǎn)管理框架
NIST開發(fā)的風(fēng)險(xiǎn)管理框架可作為機(jī)構(gòu)的風(fēng)險(xiǎn)管理程序的一部分,用于系統(tǒng)開發(fā)生命周期幫助確保每個(gè)信息系統(tǒng)都應(yīng)用了恰當(dāng)?shù)陌踩刂?而且這些控制措施經(jīng)過評估能確定其實(shí)施的正確性和按預(yù)期效果運(yùn)營的程度,并生成滿足系統(tǒng)安全性要求的預(yù)期結(jié)果?其中的風(fēng)險(xiǎn)管理框架活動如圖1所示:
圖1FISMA風(fēng)險(xiǎn)管理框架
1)分類:基于FISP199的影響分析(參見NISTSP800-60,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,指導(dǎo)安全種類的賦值和影響分析)對信息系統(tǒng)及系統(tǒng)中相關(guān)信息進(jìn)行分類?
2)選擇:基于FIPS199安全性分類(參見NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystems),選擇信息系統(tǒng)(上一步驟中的系統(tǒng))安全控制措施的初始集合?
3)提煉:基于信息系統(tǒng)本地環(huán)境(包括特定機(jī)構(gòu)的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計(jì)劃中?(參見NISTSP800-30,RiskManagementGuideforInformationTechnologySystems)?
4)評述:評述系統(tǒng)安全計(jì)劃中達(dá)成一致的安全控制措施集合,包括對機(jī)構(gòu)初始控制措施集合的提煉和調(diào)整的解釋和理由(參見NISTSP800-18,GuideforDevelopingSecurityPlansforInformationTechnologySystems)?
5)實(shí)施:在信息系統(tǒng)中實(shí)施安全控制措施?(參見NISTSP800-64,SecurityConsiderationsintheInformationSystemDevelopmentLifeCycle)?
6)評估:用適當(dāng)?shù)姆椒ê统绦蛟u估安全控制措施,以確定實(shí)施安全控制措施的正確性程度?是否按預(yù)期運(yùn)營,及是否生成了滿足系統(tǒng)安全要求的期望結(jié)果(參見NISTSP800-53A,GuideforAssessingtheSecurityControlsinFederalInformationSystems)?
7)確定:確定機(jī)構(gòu)運(yùn)營(包括任務(wù)?功能?形象或聲譽(yù)等方面)?資產(chǎn)?由計(jì)劃或系統(tǒng)持續(xù)運(yùn)營生成的個(gè)體等方面的風(fēng)險(xiǎn)(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
8)批準(zhǔn):如果機(jī)構(gòu)的運(yùn)營?資產(chǎn)或個(gè)體風(fēng)險(xiǎn)是可接受的,則批準(zhǔn)系統(tǒng)處理過程(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
9)監(jiān)控:以持續(xù)性的基本原則監(jiān)控為信息系統(tǒng)選擇的安全控制措施,包括記錄系統(tǒng)的變更,對相應(yīng)的變更執(zhí)行影響分析,并定期向官方機(jī)構(gòu)報(bào)告系統(tǒng)的安全狀態(tài)(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
4.進(jìn)展情況
2009年5月,NIST發(fā)布了由其計(jì)算機(jī)安全部研究的風(fēng)險(xiǎn)管理框架的FAQs和快速指南(QuickStartGuides,QSGs)的進(jìn)展情況,其中第1步“分類”和第6步“監(jiān)控”的FAQs和OSGs已經(jīng)制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發(fā)中?這些FAQs和OSGs文檔將和NISTSP系列標(biāo)準(zhǔn)?FIPS標(biāo)準(zhǔn)一起指導(dǎo)風(fēng)險(xiǎn)管理框架6步驟中每一步驟的具體實(shí)施?
2009年7月7日,NIST在其官方網(wǎng)站發(fā)布了FISMA實(shí)施項(xiàng)目開發(fā)和修訂的關(guān)鍵出版物的重要事件進(jìn)展情況,其中所列的出版物包括:
lSP800-53修訂版3:RecommendedSecurityControlsforFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2009年7月31日)
lSP800-37修訂版1:GuideforApplyingtheRiskManagementframeworktoFederalInformationSystems:ASecurityLifeCycleApproach(原聯(lián)邦信息系統(tǒng)安全性認(rèn)證認(rèn)可指南),(項(xiàng)目截至:2009年10月)
lSP800-39:IntegratedEnterprise-wideRiskManagement:Organization,Mission,andInformationSystemsView(原信息系統(tǒng)管理風(fēng)險(xiǎn):組織視角),(項(xiàng)目截止:2009年12月)
lSP800-53A,修訂版1:GuideforAssessingtheSecurityControlsinFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2010年1月)
lSP800-30,修訂版1:GuideforConductingRiskAssessments(原信息技術(shù)體系風(fēng)險(xiǎn)管理指南),(項(xiàng)目截止:2010年1月)
目前FISMA項(xiàng)目的實(shí)施,是由NIST和國防部?國家情報(bào)總監(jiān)辦公室和國家安全體系委員會成立的聯(lián)合任務(wù)工作組共同開發(fā)聯(lián)邦政府及其承包方的信息安全標(biāo)準(zhǔn)和指南,上述公開出版物完成時(shí)間的調(diào)整,是與當(dāng)前項(xiàng)目實(shí)施要求的優(yōu)先級保持一致的?
5.運(yùn)營情況
FISMA為保護(hù)聯(lián)邦政府的信息?運(yùn)營和財(cái)產(chǎn)安全提供了信息技術(shù)保障框架,它要求每個(gè)聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)都負(fù)責(zé)實(shí)施把信息安全風(fēng)險(xiǎn)降低到可接收等級的策略和過程,并且每年都根據(jù)OMB的要求,匯報(bào)其信息系統(tǒng)保密性和信息安全程序相關(guān)情況?根據(jù)各機(jī)構(gòu)匯報(bào)的信息,OMB評估系統(tǒng)這些機(jī)構(gòu)的私有性績效,并制定給國會的年度安全報(bào)告,說明各機(jī)構(gòu)系統(tǒng)安全與FISMA要求的符合情況?同時(shí)協(xié)助各機(jī)構(gòu)改進(jìn)和維護(hù)私有性績效?而且,FISMA要求指定由NIST準(zhǔn)備FISMA項(xiàng)目的年度報(bào)告,其中需要說明上一年度各項(xiàng)活動的完成情況及履行FISMA責(zé)任的后續(xù)活動詳情,目前這項(xiàng)工作由NIST的信息技術(shù)實(shí)驗(yàn)室的計(jì)算機(jī)安全部執(zhí)行?
從2004年開始,OMB每年向國會提交FISMA實(shí)施情況的年度報(bào)告?據(jù)OMB給國會的2008財(cái)年FISMA實(shí)施情況報(bào)告顯示,聯(lián)邦政府2008財(cái)年IT總投資約680億美元,其中聯(lián)邦機(jī)構(gòu)安全保障花費(fèi)62億美元,約占IT總業(yè)務(wù)量的9.2%?其中,IT安全投資主要用于系統(tǒng)認(rèn)證認(rèn)可?測試控制措施?用戶安全意識培訓(xùn)等系統(tǒng)安全相關(guān)活動?同時(shí),根據(jù)報(bào)告中其他分析數(shù)據(jù)顯示,通過實(shí)施FISMA,聯(lián)邦政府相關(guān)機(jī)構(gòu)經(jīng)過認(rèn)證認(rèn)可的系統(tǒng)?測試的應(yīng)急計(jì)劃和安全控制措施比率逐年提高,而且報(bào)告中還給出了FISMA系統(tǒng)目錄的風(fēng)險(xiǎn)影響等級說明列表?
總的看來,我們現(xiàn)在知道了FISMA實(shí)施項(xiàng)目的風(fēng)險(xiǎn)管理框架相關(guān)研究成果已經(jīng)在全聯(lián)邦政府范圍內(nèi)逐步推廣應(yīng)用,督促各機(jī)構(gòu)重視信息系統(tǒng)安全?降低安全風(fēng)險(xiǎn)的作用已初見成效?該項(xiàng)目以立法形式規(guī)定了聯(lián)邦政府信息系統(tǒng)安全要求和各部門的責(zé)任,以風(fēng)險(xiǎn)管理框架為核心,輔以標(biāo)準(zhǔn)?指南指導(dǎo)各環(huán)節(jié)活動的具體實(shí)施,使得一個(gè)完整的?系統(tǒng)化的聯(lián)邦政府信息系統(tǒng)安全保障體系初具規(guī)模?該項(xiàng)目從立項(xiàng)到應(yīng)用經(jīng)歷了近6年時(shí)間,涉及的聯(lián)邦信息系統(tǒng)從最初的7千多個(gè)發(fā)展到1萬多個(gè),為信息安全風(fēng)險(xiǎn)評估的發(fā)展和應(yīng)用提供了許多實(shí)踐經(jīng)驗(yàn),值得我們從中借鑒?學(xué)習(xí)?
守合同重信用證書的10大價(jià)值,企業(yè)不可錯(cuò)過!
治“芯”病還需極紫外光刻機(jī)助力--專利事務(wù)所
初級生鮮食品配送管理體系認(rèn)證證書
如何代辦綠色環(huán)保產(chǎn)品證書費(fèi)用多少錢
商標(biāo)注冊成功之后享有哪些特權(quán)?
想知道API咨詢公司相關(guān)內(nèi)容快來了解吧!
怎樣申報(bào)ISO9001質(zhì)量管理體系認(rèn)證要多少費(fèi)用
深圳隱私信息管理體系認(rèn)證ISO/IEC 27701
1.什么是FISMA
FISMA(theFederalInformationSecurityManagementActof2002,聯(lián)邦信息安全管理法案)是2002年頒布的電子政務(wù)法案中的第三章?FISMA認(rèn)可了信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性?該法案要求每個(gè)聯(lián)邦機(jī)構(gòu)開發(fā)?記錄并實(shí)施機(jī)構(gòu)范圍內(nèi)的信息安全程序,為它的信息和支持運(yùn)營和資產(chǎn)的信息系統(tǒng)(也包括由其它機(jī)構(gòu)?合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng))提供信息安全支持?
FISMA明確強(qiáng)調(diào)“基于風(fēng)險(xiǎn)策略的安全成本-收益”?而且,為了加強(qiáng)信息系統(tǒng)安全,FISMA給聯(lián)邦機(jī)構(gòu)?NIST(NationalInstituteofStandardsandTechnology,國家標(biāo)準(zhǔn)研究院)和OMB(OfficeofManagementandBudget,預(yù)算與管理辦公室)都指派了特定的職責(zé),其中,特別要求每個(gè)機(jī)構(gòu)的領(lǐng)導(dǎo)者要實(shí)施相關(guān)策略和程序有成本收益的減少信息技術(shù)安全風(fēng)險(xiǎn)到可接受的級別,并要求機(jī)構(gòu)每年回顧信息安全程序的執(zhí)行情況,并將結(jié)果報(bào)告給OMB,OMB根據(jù)這些數(shù)據(jù)進(jìn)行監(jiān)督,并將情況報(bào)告給國會相關(guān)機(jī)構(gòu)?
2.FISMA實(shí)施項(xiàng)目
根據(jù)FISMA要求,NIST應(yīng)幫助美國的聯(lián)邦機(jī)構(gòu)遵守FISMA,并負(fù)責(zé)為所有聯(lián)邦機(jī)構(gòu)(除國家安全系統(tǒng)之外)開發(fā)能為其運(yùn)營和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)?指南?相關(guān)方法和技術(shù)?因此,NIST于2003年啟動了FISMA實(shí)施項(xiàng)目,并主導(dǎo)開發(fā)了發(fā)展?測量和驗(yàn)證信息系統(tǒng)和服務(wù)安全性的標(biāo)準(zhǔn)?度量?測試和驗(yàn)證程序?
NIST擬定的FISMA實(shí)施項(xiàng)目包括三個(gè)階段:
階段1:完成風(fēng)險(xiǎn)管理框架(RiskManagementframe,RMF);
階段2:建立組織根據(jù)NISTSP800-37,800-53和800-53A執(zhí)行安全評估的認(rèn)可程序;
階段3:建立支持FISMA風(fēng)險(xiǎn)管理框架廠商工具的驗(yàn)證程序
3.FISMA實(shí)施項(xiàng)目的風(fēng)險(xiǎn)管理框架
NIST開發(fā)的風(fēng)險(xiǎn)管理框架可作為機(jī)構(gòu)的風(fēng)險(xiǎn)管理程序的一部分,用于系統(tǒng)開發(fā)生命周期幫助確保每個(gè)信息系統(tǒng)都應(yīng)用了恰當(dāng)?shù)陌踩刂?而且這些控制措施經(jīng)過評估能確定其實(shí)施的正確性和按預(yù)期效果運(yùn)營的程度,并生成滿足系統(tǒng)安全性要求的預(yù)期結(jié)果?其中的風(fēng)險(xiǎn)管理框架活動如圖1所示:
圖1FISMA風(fēng)險(xiǎn)管理框架
1)分類:基于FISP199的影響分析(參見NISTSP800-60,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,指導(dǎo)安全種類的賦值和影響分析)對信息系統(tǒng)及系統(tǒng)中相關(guān)信息進(jìn)行分類?
2)選擇:基于FIPS199安全性分類(參見NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystems),選擇信息系統(tǒng)(上一步驟中的系統(tǒng))安全控制措施的初始集合?
3)提煉:基于信息系統(tǒng)本地環(huán)境(包括特定機(jī)構(gòu)的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計(jì)劃中?(參見NISTSP800-30,RiskManagementGuideforInformationTechnologySystems)?
4)評述:評述系統(tǒng)安全計(jì)劃中達(dá)成一致的安全控制措施集合,包括對機(jī)構(gòu)初始控制措施集合的提煉和調(diào)整的解釋和理由(參見NISTSP800-18,GuideforDevelopingSecurityPlansforInformationTechnologySystems)?
5)實(shí)施:在信息系統(tǒng)中實(shí)施安全控制措施?(參見NISTSP800-64,SecurityConsiderationsintheInformationSystemDevelopmentLifeCycle)?
6)評估:用適當(dāng)?shù)姆椒ê统绦蛟u估安全控制措施,以確定實(shí)施安全控制措施的正確性程度?是否按預(yù)期運(yùn)營,及是否生成了滿足系統(tǒng)安全要求的期望結(jié)果(參見NISTSP800-53A,GuideforAssessingtheSecurityControlsinFederalInformationSystems)?
7)確定:確定機(jī)構(gòu)運(yùn)營(包括任務(wù)?功能?形象或聲譽(yù)等方面)?資產(chǎn)?由計(jì)劃或系統(tǒng)持續(xù)運(yùn)營生成的個(gè)體等方面的風(fēng)險(xiǎn)(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
8)批準(zhǔn):如果機(jī)構(gòu)的運(yùn)營?資產(chǎn)或個(gè)體風(fēng)險(xiǎn)是可接受的,則批準(zhǔn)系統(tǒng)處理過程(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
9)監(jiān)控:以持續(xù)性的基本原則監(jiān)控為信息系統(tǒng)選擇的安全控制措施,包括記錄系統(tǒng)的變更,對相應(yīng)的變更執(zhí)行影響分析,并定期向官方機(jī)構(gòu)報(bào)告系統(tǒng)的安全狀態(tài)(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
4.進(jìn)展情況
2009年5月,NIST發(fā)布了由其計(jì)算機(jī)安全部研究的風(fēng)險(xiǎn)管理框架的FAQs和快速指南(QuickStartGuides,QSGs)的進(jìn)展情況,其中第1步“分類”和第6步“監(jiān)控”的FAQs和OSGs已經(jīng)制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發(fā)中?這些FAQs和OSGs文檔將和NISTSP系列標(biāo)準(zhǔn)?FIPS標(biāo)準(zhǔn)一起指導(dǎo)風(fēng)險(xiǎn)管理框架6步驟中每一步驟的具體實(shí)施?
2009年7月7日,NIST在其官方網(wǎng)站發(fā)布了FISMA實(shí)施項(xiàng)目開發(fā)和修訂的關(guān)鍵出版物的重要事件進(jìn)展情況,其中所列的出版物包括:
lSP800-53修訂版3:RecommendedSecurityControlsforFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2009年7月31日)
lSP800-37修訂版1:GuideforApplyingtheRiskManagementframeworktoFederalInformationSystems:ASecurityLifeCycleApproach(原聯(lián)邦信息系統(tǒng)安全性認(rèn)證認(rèn)可指南),(項(xiàng)目截至:2009年10月)
lSP800-39:IntegratedEnterprise-wideRiskManagement:Organization,Mission,andInformationSystemsView(原信息系統(tǒng)管理風(fēng)險(xiǎn):組織視角),(項(xiàng)目截止:2009年12月)
lSP800-53A,修訂版1:GuideforAssessingtheSecurityControlsinFederalInformationSystemsandOrganizations,(項(xiàng)目截止:2010年1月)
lSP800-30,修訂版1:GuideforConductingRiskAssessments(原信息技術(shù)體系風(fēng)險(xiǎn)管理指南),(項(xiàng)目截止:2010年1月)
目前FISMA項(xiàng)目的實(shí)施,是由NIST和國防部?國家情報(bào)總監(jiān)辦公室和國家安全體系委員會成立的聯(lián)合任務(wù)工作組共同開發(fā)聯(lián)邦政府及其承包方的信息安全標(biāo)準(zhǔn)和指南,上述公開出版物完成時(shí)間的調(diào)整,是與當(dāng)前項(xiàng)目實(shí)施要求的優(yōu)先級保持一致的?
5.運(yùn)營情況
FISMA為保護(hù)聯(lián)邦政府的信息?運(yùn)營和財(cái)產(chǎn)安全提供了信息技術(shù)保障框架,它要求每個(gè)聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)都負(fù)責(zé)實(shí)施把信息安全風(fēng)險(xiǎn)降低到可接收等級的策略和過程,并且每年都根據(jù)OMB的要求,匯報(bào)其信息系統(tǒng)保密性和信息安全程序相關(guān)情況?根據(jù)各機(jī)構(gòu)匯報(bào)的信息,OMB評估系統(tǒng)這些機(jī)構(gòu)的私有性績效,并制定給國會的年度安全報(bào)告,說明各機(jī)構(gòu)系統(tǒng)安全與FISMA要求的符合情況?同時(shí)協(xié)助各機(jī)構(gòu)改進(jìn)和維護(hù)私有性績效?而且,FISMA要求指定由NIST準(zhǔn)備FISMA項(xiàng)目的年度報(bào)告,其中需要說明上一年度各項(xiàng)活動的完成情況及履行FISMA責(zé)任的后續(xù)活動詳情,目前這項(xiàng)工作由NIST的信息技術(shù)實(shí)驗(yàn)室的計(jì)算機(jī)安全部執(zhí)行?
從2004年開始,OMB每年向國會提交FISMA實(shí)施情況的年度報(bào)告?據(jù)OMB給國會的2008財(cái)年FISMA實(shí)施情況報(bào)告顯示,聯(lián)邦政府2008財(cái)年IT總投資約680億美元,其中聯(lián)邦機(jī)構(gòu)安全保障花費(fèi)62億美元,約占IT總業(yè)務(wù)量的9.2%?其中,IT安全投資主要用于系統(tǒng)認(rèn)證認(rèn)可?測試控制措施?用戶安全意識培訓(xùn)等系統(tǒng)安全相關(guān)活動?同時(shí),根據(jù)報(bào)告中其他分析數(shù)據(jù)顯示,通過實(shí)施FISMA,聯(lián)邦政府相關(guān)機(jī)構(gòu)經(jīng)過認(rèn)證認(rèn)可的系統(tǒng)?測試的應(yīng)急計(jì)劃和安全控制措施比率逐年提高,而且報(bào)告中還給出了FISMA系統(tǒng)目錄的風(fēng)險(xiǎn)影響等級說明列表?
總的看來,我們現(xiàn)在知道了FISMA實(shí)施項(xiàng)目的風(fēng)險(xiǎn)管理框架相關(guān)研究成果已經(jīng)在全聯(lián)邦政府范圍內(nèi)逐步推廣應(yīng)用,督促各機(jī)構(gòu)重視信息系統(tǒng)安全?降低安全風(fēng)險(xiǎn)的作用已初見成效?該項(xiàng)目以立法形式規(guī)定了聯(lián)邦政府信息系統(tǒng)安全要求和各部門的責(zé)任,以風(fēng)險(xiǎn)管理框架為核心,輔以標(biāo)準(zhǔn)?指南指導(dǎo)各環(huán)節(jié)活動的具體實(shí)施,使得一個(gè)完整的?系統(tǒng)化的聯(lián)邦政府信息系統(tǒng)安全保障體系初具規(guī)模?該項(xiàng)目從立項(xiàng)到應(yīng)用經(jīng)歷了近6年時(shí)間,涉及的聯(lián)邦信息系統(tǒng)從最初的7千多個(gè)發(fā)展到1萬多個(gè),為信息安全風(fēng)險(xiǎn)評估的發(fā)展和應(yīng)用提供了許多實(shí)踐經(jīng)驗(yàn),值得我們從中借鑒?學(xué)習(xí)?
守合同重信用證書的10大價(jià)值,企業(yè)不可錯(cuò)過!
治“芯”病還需極紫外光刻機(jī)助力--專利事務(wù)所
初級生鮮食品配送管理體系認(rèn)證證書
如何代辦綠色環(huán)保產(chǎn)品證書費(fèi)用多少錢
商標(biāo)注冊成功之后享有哪些特權(quán)?
想知道API咨詢公司相關(guān)內(nèi)容快來了解吧!
怎樣申報(bào)ISO9001質(zhì)量管理體系認(rèn)證要多少費(fèi)用
深圳隱私信息管理體系認(rèn)證ISO/IEC 27701