简介:美国国家标准与技术研究所(NIST)推出风险管理框架(RMF) 2.0 更新最终版,为公司企业定义及管理风险提供全新详细指南。RMF 2.0 于12月20日正式发布,是历经7个月咨询与意见收集的成果。RMF 2.0 的正式名称为“NIST特 ...
|
RMF 2. 0 作者之一,NIST的 Ron Ross 在媒体通告中写道:RMF 2.0 赋予了联邦机构强有力的管理工具,使他们能以统一的框架管理安全和隐私风险。新框架的发布确保合规意味着真正的网络安全和隐私风险管理,而不仅仅是照着静态的控制措施列表划勾。 RMF 2.0 本身是个长达183页的报告,任何人都能免费下载。报告指出,实现该RMF的组织机构将能最大化自动化工具的使用,大幅提升安全分类管理和控制选择、评估与监视的效率。 RMF中写道:本框架为在充满复杂高级威胁,职能使命及系统和组织性漏洞经常变化发展的动态环境中有效管理安全和隐私风险提供了动态而灵活的方法。本框架无关策略与技术,方便IT资源与IT现代化工作的持续升级,可支持并确保转型期间基本任务与服务的持续提供。 RMF 2.0 包含多项任务,其中就有列出组织机构中所有风险管理角色及策略这一项。确定常用控制并实现持续监视策略是RMF的另一大重点。风险本身是 RMF 2.0 的核心,要求组织机构执行涵盖所有需保护资产的风险评估。
行业反应NIST的网络安全指南已成为多家监管、风险及合规(GRC)供应商产品组合中的基本元素。多名业内专家对RMF的改良更新及其对网络安全的促进作用满腔热忱。 RSA风险管理策略师 Steve Schlarma 表示:他们将 NIST RMF 视为NIST风险管理操作建议的进一步精炼,以及在企业安全、个人隐私和组织性风险管理领域持续指导的桥梁。他们一直以来都坚信,想要高效管理信息安全,企业必须采取基于风险的方法。 迈克菲首席策略官和政府事务主管 Tom Gann 也支持 RMF 2.0。他指出,NIST网络安全框架呈现出的是识别及管理组织机构网络安全风险的渐进式合理方法。 Fidelis Cybersecurity 首席数据科学家 Abdul Rahman 评论道,本次 RMF 2.0 更新重点强调了对个人敏感数据的保护。 One Identity 产品市场营销经理兼合规专家 Istvan Molnar 同样认为 RMF 2.0 中对隐私的强调值得一提。Molnar称, RMF 2.0 文档特别指出了组织机构需考虑该如何推进并制度化隐私和信息安全项目之间的协作,确保这两个领域的目标在过程中每一步都相辅相成。 Molnar表示:值得一提的是,该报告不仅仅提到了访问,还有‘系统行为’,比仅仅关注数据访问控制更进了一步。而且,该框架提倡在整个系统开发生命周期中将风险管理融入信息系统的安全及隐私功能中。 Forcepoint首席信息官 Meerah Rajavel 认为 RMF 2.0 有3个关键点,首先就是数字及网络安全正成为董事会议程的中心议题。
其次就是该框架重视IT/OT和供应链,这些都是关键基础设施防御的重中之重。 最后一个重要元素就是将隐私与风险关联了起来,有助于其他合规操作,比如GDPR、加州隐私法案等等。 本文仅代表作者个人观点,不代表巅云官方发声,对观点有疑义请先联系作者本人进行修改,若内容非法请联系平台管理员,邮箱2522407257@qq.com。更多相关资讯,请到巅云www.rzxsoft.cn学习互联网营销技术请到巅云建站www.rzxsoft.cn。 |
