NIST SP 800-37 信息系统和组织的风险管理框架安全和隐私的系统生命周期方法

它的结构分为3个层级：组织视图、业务任务和信息系统视图。

800-37是NIST SP 800-37的简称，即NIST 800-37。800-37可以应用于所有行业，如军事、航空等。对于IT行业来说，它是一个通过引用多个NIST标准来进行风险管理的框架，包括：FIPS 199、NIST 800-53B、NIST 800-53A等。

概要

风险管理框架（RMF）用于管理安全和隐私风险，将风险保持在一个适当的水平，包括：

信息安全分类
控制选择
实施
评估
授权
监测

简介

1.1 背景

风险管理是：

在整个SDLC中促进安全和隐私能力；
通过持续的监测过程，保持对安全和隐私状况的认识；
高级领导人和行政人员促进关于风险的决策；

2.1 全组织的风险管理

管理安全和隐私风险涉及整个组织。

第一级组织视图

高级领导人的愿景、目标、目的。

第二级业务任务

中层领导规划、管理关于开发、实施、运营和维护的项目，以支持任务和商业流程。

第三级信息系统视图

信息系统应用中层领导的项目。应对风险，执行风险决策。

如何进行RMF(关键词：准备)

识别业务功能，信息系统的流程；

识别关键的利益相关者（包括外部）；

确定资产（包括信息系统）的优先次序；

了解对信息系统的威胁；

了解对个人的不利影响；

进行风险评估；

识别安全和隐私要求并确定其优先次序；

确定授权范围；

开发安全和隐私架构；

在系统软件的开发生命周期中追踪所有的风险控制。

2.2 风险管理框架的步骤和结构

实施RMF的步骤。

按损失的影响对系统进行分类。要了解更多信息，请阅读SP 800-30和FIPS 199。
选择（定制）控制手段（相关文档见NIST 800-53B）。
实施控制。
评估（跟踪）控制手段。
在确定风险可以接受的基础上，授权系统或共同（继承）控制手段。
监测（跟踪）系统和控制手段（相关文档见NIST 800-53A）。

实施RMF的灵活性

组织可以做以下调整：以不同的顺序执行任务，强调特定的任务，绑定任务，包括CSF网络安全框架来加强RMF的要求。

2.3RMF中的信息安全和隐私

RMF需要两个方案来保护可标识个人信息PII：

安全方案

保护信息免受未经授权的访问、使用、披露、破坏、修改或销毁，以提供保密性、完整性和可用性。

隐私计划

遵守隐私要求以保护个人。

2.7 安全和隐私态势

安全和隐私态势代表：

基于信息保障资源（如政策、程序）的信息系统和信息资源（如人员、设备、资金和信息技术）的状况，以及
管理防御的能力；以及
遵守适用的隐私要求并管理隐私风险；以及
随着情况的变化而作出反应。

2.8 供应链风险管理

供应链风险管理（SCRM）政策（见NIST 180-161）涉及供应链风险。

建立信任关系并与内部和外部利益相关者沟通。

3.2 归类

任务	成果
任务C-1系统描述	按系统创建一个资产清单组，参数包括：系统版本或发行号；制造商和供应商信息；网络拓扑结构等。
任务C-2 安全分类	系统的影响程度（见FIPS199）。
任务C-3批准	由高级管理团队批准TASK C-1和TASK C-2。

3.3 选择(控制手段)

任务	成果
任务S-1至S-4：控制选择和调整方向	根据NIST SP 800-53B选择和定制控制。你可以在定制程序上创建定制的控制。
任务S-5持续监测战略	NIST SP 800-53A的控制评估。你可以在任务S1-S4中为定制的控制创建自定义评估。
任务S-6 计划审查和批准	由高级管理团队批准。

3.4 实施（对计划的控制）。

任务	成果
任务I-1、I-2	把控制放到SDLC设计阶段，隐私计划，以确保控制是可行的。如果需要的话，调整控制措施。

3.5 评估(计划)

这一步是可选的，因为3.3 SELECT和3.4 IMPLEMENTATION已经完成了大部分工作。

3.6 授权（高级管理官员的计划）

该步骤是可选的，因为在3.1分类和3.2选择中存在批准任务。

3.7 监控

任务	成果
任务M-1系统和环境的变化	当操作环境发生变化（如配置变化）时，更新安全和隐私计划。可能需要更新控制措施。
任务M-2、M-3、M-4、M-5	更新安全和隐私评估报告
TASK M-6	持续审查系统的安全和隐私状况，以确定风险是否仍然可以接受。
TASK M-7	系统拆除后的处置控制。

小贴士

网络安全框架简介是在RMF中实施准备TASK P-4的另一种方式。

SDLC过程是RMF实施的最佳实践。

缩略语

SDLC, 软件开发生命周期

SCRM, 供应链风险管理

参考资料

National Institute of Standards and Technology, December 2018, NIST Special Publication 800-37 Revision 2 Risk Management Framework for Information Systems and Organizations A System Life Cycle Approach for Security and Privacy, https://doi.org/10.6028/NIST.SP.800-37r2

PNNL, November 2018, Risk Management Framework Process Map, PNNL-28347.

Veracode, 2008, Understanding NIST 800‐37 FISMA Requirements.