操作授权 (Authorization to Operate:ATO)

-NIST SDLC 和 RMF

RMF：授权系统（ Authorize System）
授权是授权系统运行的官方管理决策。
为了促进基於风险的合理决策，决策基於有关技术和非技术保障措施的实施和有效性的可靠和最新信息。其中包括：
• 技术特性（它们是否按预期运行？）；
• 操作政策和实践（系统是否按照规定的政策和实践操作？）；
• 总体安全性（是否存在防护措施未解决的威胁？）；和
• 剩余风险（是否在可接受的水平残留？）
来源：NIST SP 800-12 R1

风险管理（Risk Management）
将对所有已识别的风险进行定量、定性或两者兼而有之的分析，以确定风险敞口。风险评估是根据风险暴露程度决定需要处理哪些风险并确定其优先级。不符合风险评估标准的已识别风险将不会得到处理或解决。

-ISO 31000

-风险评估

资料来源： Wentz Wu QOTD-20210821
My Blog: https://choson.lifenet.com.tw/