NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法

它的结构分为3个层级：组织视图、业务任务和信息系统视图。

800-37是NIST SP 800-37的简称，即NIST 800-37。800-37可以应用于所有行业，如军事、航空等。对于IT行业来说，它是一个通过引用多个NIST标准来进行风险管理的框架，包括：FIPS 199、NIST 800-53B、NIST 800-53A等。

概要

风险管理框架（RMF）用于管理安全和隐私风险，将风险保持在一个适当的水平，包括：

• 信息安全分类
• 控制选择
• 实施
• 评估
• 授权
• 监测

简介

1.1 背景

风险管理是：

• 在整个SDLC中促进安全和隐私能力；
• 通过持续的监测过程，保持对安全和隐私状况的认识；
• 高级领导人和行政人员促进关于风险的决策；

2.1 全组织的风险管理

管理安全和隐私风险涉及整个组织。

第一级组织视图

高级领导人的愿景、目标、目的。

第二级业务任务

中层领导规划、管理关于开发、实施、运营和维护的项目，以支持任务和商业流程。

第三级信息系统视图

信息系统应用中层领导的项目。应对风险，执行风险决策。

如何进行RMF(关键词：准备)

识别业务功能，信息系统的流程；

识别关键的利益相关者（包括外部）；

确定资产（包括信息系统）的优先次序；

了解对信息系统的威胁；

了解对个人的不利影响；

进行风险评估；

识别安全和隐私要求并确定其优先次序；

确定授权范围；

开发安全和隐私架构；

在系统软件的开发生命周期中追踪所有的风险控制。

2.2 风险管理框架的步骤和结构

实施RMF的步骤。

1. 按损失的影响对系统进行分类。要了解更多信息，请阅读SP 800-30和FIPS 199。
2. 选择（定制）控制手段（相关文档见NIST 800-53B）。
3. 实施控制。
4. 评估（跟踪）控制手段。
5. 在确定风险可以接受的基础上，授权系统或共同（继承）控制手段。
6. 监测（跟踪）系统和控制手段（相关文档见NIST 800-53A）。

实施RMF的灵活性

组织可以做以下调整：以不同的顺序执行任务，强调特定的任务，绑定任务，包括CSF网络安全框架来加强RMF的要求。

2.3RMF中的信息安全和隐私

RMF需要两个方案来保护可标识个人信息PII：

安全方案

保护信息免受未经授权的访问、使用、披露、破坏、修改或销毁，以提供保密性、完整性和可用性。

隐私计划

遵守隐私要求以保护个人。

2.7 安全和隐私态势

安全和隐私态势代表：

• 基于信息保障资源（如政策、程序）的信息系统和信息资源（如人员、设备、资金和信息技术）的状况，以及
• 管理防御的能力；以及
• 遵守适用的隐私要求并管理隐私风险；以及
• 随着情况的变化而作出反应。

2.8 供应链风险管理

供应链风险管理（SCRM）政策（见NIST 180-161）涉及供应链风险。

建立信任关系并与内部和外部利益相关者沟通。

3.2 归类

3.3 选择(控制手段)

3.4 实施（对计划的控制）。

3.5 评估(计划)

这一步是可选的，因为3.3 SELECT和3.4 IMPLEMENTATION已经完成了大部分工作。

3.6 授权（高级管理官员的计划）

该步骤是可选的，因为在3.1分类和3.2选择中存在批准任务。

3.7 监控

小贴士

网络安全框架简介是在RMF中实施准备TASK P-4的另一种方式。

SDLC过程是RMF实施的最佳实践。

缩略语

SDLC, 软件开发生命周期

SCRM, 供应链风险管理

参考资料

National Institute of Standards and Technology, December 2018, NIST Special Publication 800-37 Revision 2 Risk Management Framework for Information Systems and Organizations A System Life Cycle Approach for Security and Privacy, https://doi.org/10.6028/NIST.SP.800-37r2

PNNL, November 2018, Risk Management Framework Process Map, PNNL-28347.

Veracode, 2008, Understanding NIST 800‐37 FISMA Requirements.