浅析美国NIST《风险管理框架》.docxVIP

浅析美国NIST《风险管理框架》 前言 《风险管理框架》（Risk Management Framework，RMF）是NIST于2010年出版的特别出版物800-37rev1。NIST开发的此框架，提供一种灵活、动态的方法有效管理高度多样化的环境中贯穿系统全生命周期与信息系统相关的安全风险。当下，美国政府的各个机构都必须遵守RMF并将其融入信息系统管控流程。2019年RMF被写入国防部指示中，许多机构组织都在为遵守RMF制定各自的执行指南。美联邦政府信息系统如此普适的风险管理框架，是基于什么样的背景出台发布？其机理和内容是怎样的？正在整个联邦发挥着怎样的作用？本文基于以上疑问对RMF进行解析研究。 一、RMF出台背景和契机 由于多种原因，使得IT系统安全性、合规性和IT运营保持一致一直是联邦生态系统中的一项持续挑战。关于联邦系统IT安全的案例比比皆是，例如很多合规但是并不安全的系统大量存在，以及对工具的巨额投资，然而这些工具并不能改变系统安全性。GAO于2018年及2021年先后发布两份关于美武器系统网络安全形势的报告，其中暴露由于国防部行动指导偏差，致使大量“合规”但不安全的武器系统投入使用。RMF正是基于这样的背景和契机发布出台并不断完善更新，给予联邦各信息系统以规范灵活的安全指导。 RMF的出台： 一是NIST对美联邦法典第44条《联邦信息安全现代化法案》（FISMA）履行