用户投稿安全控制是风险处理的一部分,风险评估之后进行。安全控制的範围是根据风险评估的结果确定的。根据NIST SDLC和ISO 22301,业务影响分析(BIA)不会评估风险。但是,官方研究指南(OSG)中引入的BIA确实包括了风险评估。
-NIST SDLC和RMF
.业务影响分析(BIA)可以识别关键流程和资源,以支持在业务连续性计划範围内定义的产品和服务的交付。约束和目标,例如最大可容忍的停机时间(MTD),恢复点目标(RPO),恢复时间目标(RTO)等,在BIA中确定。
.对系统的风险评估是在BIA之后进行的,然后是风险处理,风险处理选择了一组安全控制措施,这些安全控制措施已分配并设计用于安全体系结构设计作为解决方案。认证和鉴定的详细计划指导C&A流程,以便可以评估和授权系统运行。
参考
.成熟度模型
.安全框架和成熟度模型
资料来源: Wentz Wu QOTD-20210116
微信扫一扫打赏
支付宝扫一扫打赏
