安全控制是风险处理的一部分,风险评估之後进行。安全控制的范围是根据风险评估的结果确定的。根据NIST SDLC和ISO 22301,业务影响分析(BIA)不会评估风险。但是,官方研究指南(OSG)中引入的BIA确实包括了风险评估。
-NIST SDLC和RMF
. 业务影响分析(BIA)可以识别关键流程和资源,以支持在业务连续性计划范围内定义的产品和服务的交付。约束和目标,例如最大可容忍的停机时间(MTD),恢复点目标(RPO),恢复时间目标(RTO)等,在BIA中确定。
. 对系统的风险评估是在BIA之後进行的,然後是风险处理,风险处理选择了一组安全控制措施,这些安全控制措施已分配并设计用於安全体系结构设计作为解决方案。认证和监定的详细计划指导C&A流程,以便可以评估和授权系统运行。
参考
. 成熟度模型
. 安全框架和成熟度模型
资料来源: Wentz Wu QOTD-20210116
>>: 修复:Windows 10中的USB装置无法辨识/识别
1.前言 哈喽各位小夥伴,不知不觉系列文章已经进行一半了(感觉要解锁成就了),不知道各位在看完前几篇...
今天要写的是状态压缩 DP在记录状态的时候有许多不同的方式,如果要记录的状态太多,或需要使用的维度太...
今日文章目录 事前准备 图文卡片 CSS概述 实例练习(待补充...) 图文卡片 我们时常在网页上...
部属.net core程序到IIS上 这里用local IIS测试 预先需要先安装 .NET Cor...
读到Dispatcher有种越来越难的感觉QQ 这些太高深的东西对於小萌新来说真的好杀热情阿 估计今...