开发一个新的资讯系统,先应首先进行“识别系统处理的资料类型”

-NIST SDLC 和 RMF

对系统进行分类意味着识别其处理的资料类型，以通过资料类型在机密性、完整性和可用性方面的影响级别的高水印来确定其影响级别。
安全控制框架，例如 NIST SP 800-53 R5，通常提供安全控制集作为基线。组织可以使用安全控制基线作为初始范围，并根据风险评估产生的安全需求和要求对其进行调整。
资讯系统所有者应准备一个授权包，其中包含安全和隐私计划、安全和隐私评估报告以及行动计划和里程碑（用於纠正措施和改进），并将其提交给适当的授权操作授权 (ATO) .

参考
. NIST 风险管理框架

资料来源： Wentz Wu QOTD-20210704
My Blog: https://choson.lifenet.com.tw/