美国联邦信息安全风险管理框架.pdf

美国联邦信息系统安全 风险管理框架与800-53 左晓栋，2013年3月29日 中国电子信息安全研究院 云计算安全应用及标准研讨会 目 录  联邦信息安全管理法（FISMA ）的主要要求  NIST相关文档  NIST SP 800-53 2 云计算安全应用及标准研讨会 FISMA  《联邦信息安全管理法》 （FISMA ）颁布于2002年，确立了美 国联邦信息系统安全的总体制度框架，明确了管理责任。  目的  定义  OMB主任的权力和职责  联邦各机构的职责  年度的独立评估  联邦信息安全事件中心  国家安全系统  NIST的职责 3 云计算安全应用及标准研讨会 FISMA  定义 术语“信息安全”指保护信息和信息系统，防止未经授权的访问、 使用、泄露、中断、修改或破坏，以提供—— （A ）完整性，防止对信息进行不适当的修改或破坏，包括 确保信息的不可否认性和真实性； （B ）保密性，信息的访问和披露要经过授权，包括保护个 人隐私和专属信息的手段；以及 （C ）可用性，确保可以及时可靠地访问和使用信息。 4 云计算安全应用及标准研讨会 FISMA  定义 （A ）术语“国家安全系统”指的是任何由（联邦）机构、（联邦）机构的合同商或 其他代表（联邦）机构的组织所使用或运行的信息系统（包括任何电信系统）—— （ⅰ）其功能、运行或使用—— （Ⅰ）涉及到情报活动； （Ⅱ）涉及到与国家安全相关的密码活动； （Ⅲ ）涉及到军队的指挥和控制； （Ⅳ ）涉及到武器或武器系统的装备；或 （Ⅴ）以（B ）条为前提，对直接实现军队或情报使命至为关键的装备 （ⅱ）含有根据行政令或国会法案制定的准则，出于对国防或外交政策利益而被列为 涉密的信息，这些系统要持续得到特定流程的保护。 （B ）第（A ）（ⅰ）（Ⅴ）中的系统不包括用在日常行政管理和业务应用的系统 （包括薪水支付、财务、后勤和人事管理应用）。 5 云计算安全应用及标准研讨会 FISMA  定义 联邦信息系统——术语“联邦信息系统”指由行政机构、行政机构的 合同商或者代表行政机构的其他组织使用或运行的信息系统。 6 云计算安全应用及标准研讨会 FISMA OMB （管理和预算办公室）主任的职责  要求联邦各机构确定并实施信息安全保护措施。这些信息安全保护措施 应与下述信息和信息系统的风险及其被非授权访问、使用、泄露、中断、 修改或破坏后导致的后果程度匹配：  （A ）由联邦机构或代表联邦机构的其他组织收集或保有的信息；或 