NIST SDLC和RMF

安全控制是风险处理的一部分，风险评估之後进行。安全控制的范围是根据风险评估的结果确定的。根据NIST SDLC和ISO 22301，业务影响分析（BIA）不会评估风险。但是，官方研究指南（OSG）中引入的BIA确实包括了风险评估。

-NIST SDLC和RMF
. 业务影响分析（BIA）可以识别关键流程和资源，以支持在业务连续性计划范围内定义的产品和服务的交付。约束和目标，例如最大可容忍的停机时间（MTD），恢复点目标（RPO），恢复时间目标（RTO）等，在BIA中确定。
. 对系统的风险评估是在BIA之後进行的，然後是风险处理，风险处理选择了一组安全控制措施，这些安全控制措施已分配并设计用於安全体系结构设计作为解决方案。认证和监定的详细计划指导C＆A流程，以便可以评估和授权系统运行。

参考
. 成熟度模型
. 安全框架和成熟度模型

资料来源： Wentz Wu QOTD-20210116