【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

綠盟科技發表於2020-10-10

《NIST評估資訊保安持續監控(ISCM)專案:評估方法》一文可用於:

· 為組織各風險管理級別(定義見NIST SP 800-39《管理資訊保安風險:組織、任務與資訊系統視角》)開展ISCM專案評估提供指導;

· 闡述了ISCM專案評估與重要安全概念和過程的相關性,如NIST風險管理框架(RMF)、全組織風險管理級別、組織治理、ISCM指標和持續授權;

· 介紹了有效的ISCM專案評估所具備的特點;

· 提出了ISCM專案評估標準(同時提供了參考來源),組織可採用這些標準進行ISCM專案評估,或基於這些標準制定適合本組織的評估標準;

· 介紹了透過評估程式進行ISCM專案評估的方法,該評估程式在相關配套檔案(包含ISCM專案評估要素一覽表)中進行了定義,用以開發可複用的評估流程。

目標讀者為持續監控資訊保安態勢和組織風險管理的個人,包括:

· 負責評審組織ISCM專案的個人,包括進行技術評審的管理人員和評估人員(如系統評估人、內部和第三方評估員/評估團隊、獨立驗證/認證評估師、審計人員和系統負責人);

· 承擔任務/業務負責人或受託人責任的個人(如聯邦機構負責人、執行長和首席財務官);

· 需要考慮ISCM功能的系統開發/整合負責人(如專案經理、系統負責人、資訊科技產品開發人員、系統開發人員、系統整合商、企業架構師、資訊保安架構師和通用控制元件提供方);

· 承擔系統和/或安全管理/監督職責的個人(如高層領導人、風險管理人員、授權人、資訊長、首席資訊保安官),這類人員需在一定程度上依賴於持續監控過程中輸出的安全相關資訊做出基於風險的決策;

· 負責系統和安全控制評估與監控的個人(如系統評估人、評估員/評估團隊、獨立驗證/認證評估師、審計人員、系統負責人或系統安全主管)。

連載3將介紹評估的組成部分和ISCM專案的總體評估流程。ISCM專案評估流程明確了組織如何進行ISCM能力評估,包括:(i)組織和評估機構為準備ISCM專案評估而開展的活動,(ii)ISCM專案評估計劃的制定,(iii)ISCM專案評估的實施和評估結果的分析和報告,以及(iv)評估後報告分析和後續活動。

ISCM專案評估流程概述

成功的ISCM專案評估需要考慮組織ISCM能力有關各方的需求,包括系統負責人、授權人、資訊長、首席資訊保安官、隱私事務高階機構官員/首席隱私官,執行長/機構負責人、安全和隱私工作人員、監察長或其他審計機構、RE(f)和負責風險管理的高階官員。建立評估前、評估中和評估後期望至關重要,可確保獲得可接受的結果,即輸出必要的資訊,便於組織領導判斷ISCM專案是否足以滿足組織的需求,進而影響授權決策,決定是上線新系統還是繼續使用當前系統(持續授權)。整個過程如圖7所示,詳細資訊見下文。

雖然評估依賴於評估人員手動進行,但會將自動化ISCM過程的輸入作為證據,進行判斷。例如,ISCM輸出的報告可以透過組織儀表盤或安全資訊和事件管理(SIEM)元件提供給評估人員;然後評估人員基於該報告對一個或多個特定評估要素做出判斷。接下來,評估人員或工具(若有)收集和彙總來自各級別的評估參與者的判斷結果,生成針對整個組織的判斷,構成最終評估結果的基礎。

依據本指南制定的ISCM專案評估方法評估的是ISCM專案本身,而不是ISCM專案的運營結果。ISCM專案評估的目標不是:(i)重新測試安全控制的有效性或操作程式,(ii)評估ISCM實施情況,或(iii)驗證ISCM專案的特定輸出。ISCM專案評估通常不審查單個控制措施評估的結果,而是檢查被評估組織的各部分是否按照ISCM戰略以組織確定的頻率進行控制評估。

理想情況下,ISCM專案評估流程應可以複用,以確保結果的一致性。透過使用本指南3.3節中描述的ISCM專案評估要素,可確保評估流程的複用性,為評估人員提供關於潛在評估物件、檢查點、單獨評估要素的評估目標以及目標面談人員角色等方面的指導。此外,各ISCM評估要素的“備註”屬性就如何對評估要素進行判斷提供了指導,有的還提供了有效判斷值,供評估人員選擇。

下文闡述了組織或評估人員如何調整本章提出的方法,根據自己的實際需求進行評估。

ISCM專案評估直接評估組織內定義和實施的ISCM專案,而不是評估實現ISCM能力的單個具體元件,如單個通用控制措施、混合控制措施和特定系統控制措施。ISCM專案評估驗證評估要素某一方面是否到位,例如,驗證是否按照指定頻率針對特定行動執行了特定程式。ISCM專案評估不會評估ISCM能力的單個自動化功能、手動功能或運營功能。

1. ISCM專案評估計劃

ISCM專案評估計劃為ISCM專案評估的實施提供指導。ISCM專案評估計劃包含ISCM專案評估過程計劃階段所作的決策,方法如下:

· 對於第三方評估,評估團隊制定ISCM專案評估計劃,並提交給組織進行審批。最終版本將在啟動會議上交給評估參與者。

· 對於自評,ISCM專案評估計劃由關鍵評估人員和組織管理層內部制定。ISCM專案評估計劃由組織領導批准,並將根據ISCM專案評估結果採取行動。最終版本將在啟動會議上交給評估參與者。

ISCM專案評估計劃包括但不限於以下內容:

· 評估型別

· 評估範圍

· 人員配置來源

· 評估人員角色及職責

· 時間表與期限

· 關鍵里程碑

· 按順序進行和同時進行的活動

· 針對特定組織風險管理級別的評估人員合併判斷方法

· 針對多個組織風險管理級別的評估人員合併判斷方法

· 後勤資訊

· 評估調整決策和實施

· 報告型別(草稿和終稿)

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

圖4:ISCM專案評估流程

2. ISCM專案評估流程階段

ISCM專案評估由一系列的活動組成,是一種基於現有評估方法的邏輯性、系統性方法。ISCM專案評估流程有三個階段:

1. ISCM專案評估規劃(規劃階段)

2. 進行ISCM專案評估(實施階段)

3. 報告ISCM專案評估結果(報告階段)

每次ISCM專案評估行動都要根據組織的需要和適用評估要素進行定製。ISCM專案評估可分為自評和第三方評估,如2.3.1節所述。圖4說明了ISCM專案評估三大階段中的具體活動。

2.1 規劃階段

ISCM專案評估的規劃階段明確了評估過程,並將專案評估的實施進行了固化,如圖5所示。

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

圖5:ISCM專案評估流程(規劃階段)

規劃活動針對一系列重要問題,涉及ISCM專案評估的實施方式(自評或第三方評估)、成本、計劃表、人員配備和後勤保障。規劃假設各評估要素適用於一個或多個組織級別。參與者僅在一個適用級別對一個要素做出一個判斷,且這種判斷與他/她在其他適用級別所做的判斷無關。

要實現全面的ISCM專案評估,評估負責人確保ISCM的所有領域都由知情員工進行評價,具體如下:

· 進行第三方ISCM專案評估的團隊成員或瞭解ISCM專案評估範圍內的所有能力,或接觸過ISCM專案評估各領域,具有實操經驗。此外,評估人員還需要具有必要的相關技能和經驗,確保能夠提供準確、一致的判斷和實用的改進建議。

· 進行自評的個人對本ISCM領域非常瞭解。

在詳細規劃之前,需要評審初始的基礎工件(例如,組織級ISCM戰略和組織結構圖)。然後,根據初始工件集的相關資訊,更新ISCM專案評估計劃,調整以下內容:

· 組織的行動力

· 被評審的評估物件以及參與人員

· 完成ISCM專案評估的期限

· 組織有效管理評估所需的關鍵里程碑決策點

· 連續活動和並行活動

組織要執行以下關鍵規劃活動:

· 獲得組織批准,為ISCM專案評估設立一名執行發起人;

· 確定評估的目標、嚴格性和範圍;

· 確保組織領導瞭解要評估的任務/業務流程,任務/業務流程已拉通,方便評估人員獲取評估相關要素所需的資訊;

· 上報組織的重要領導,說明即將進行ISCM專案評估,分配必要的資源進行評估;

· 安排啟動會;

· 確保ISCM相關工件已到位,可供評估人員使用(例如,成文政策和操作程式、計劃、規範、設計、記錄、ISCM報告、系統文件、資訊交換協議、以往評估結果、法律要求等);

· 對於自評,確定並從組織中選擇具有相關知識的評估人員/團隊,同時考慮評估人員的獨立性問題。

確定評估範圍時,組織可能認為區域性評估(如2.3.2節所述)較為合適,也就是說,計劃會限制待評估組織的流程階段數量,指定哪些部分將接受評估。該形式被組織批准後,相關工件將提供給評估團隊,方便他們在啟動會之前檢查詳細的背景資訊,進而縮短評估時間。

評估團隊需做如下準備工作:

· 與組織的相關管理人員會面,就ISCM專案評估的目標、嚴格性和範圍進行溝通,達成一致;

· 在組織內指定執行ISCM專案評估所需的聯絡人;

· 全面瞭解組織的運作,包括組織結構、任務、職能、業務流程和員工角色;

· 確定ISCM專案評估的重點領域(如問題領域、高優先順序/可見性計劃);

· 全面瞭解任務/業務流程內的系統對評估過程的支援性;

· 瞭解每個系統的結構(待評估的系統架構);

· 對於第三方評估,選擇有能力的評估人員/評估團隊,如果評估人員屬於組織(即內部第三方評估),則要考慮獨立性問題。

組織和評估領導人共同開展以下活動:

· 規劃籌備組織領導和評估人員之間的啟動會議;

· 在組織和評估人員之間建立溝通橋樑,儘量減少對ISCM實施的模糊認識或誤解以及ISCM專案評估期間發現的任何不足/缺陷;

· 制定完成評估和定期檢查的時間表,監測和管理進度。

啟動會議的目的是確認行動決策,回答問題,解決後勤問題以及任何其他問題。與會者包括以下組織人員:組織高階領導(CIO、SAISO/CISO、RE[F])、任務/業務負責人、系統負責人、系統安全主管、被選中參與或支援ISCM專案評估的其他人員,以及行政支援人員,包括後勤和組織聯絡人。評審機構領導和高階評審人員也會參加啟動會議。

2.2 實施階段

ISCM專案評估按ISCM專案評估計劃進行,該計劃或會在啟動會議期間進行修改。要成功進行ISCM專案評估,至關重要的是獲取欲評審ISCM專案和評估範圍內系統相關的工件且能夠聯絡上相關組織人員。圖6說明了ISCM專案評估過程的實施階段。

ISCM專案評估按ISCM專案評估計劃進行,該計劃或會在啟動會議期間進行修改。要成功進行ISCM專案評估,至關重要的是獲取欲評審ISCM專案和評估範圍內系統相關的工件且能夠聯絡上相關組織人員。圖6說明了ISCM專案評估過程的實施階段。

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

圖6:ISCM專案評估流程(實施階段)

實施階段的目標是瞭解組織的ISCM專案在下列各方面發揮的作用:

· 規劃、制定組織級ISCM戰略以及建立ISCM專案;

· 規劃、實施可選任務/業務流程ISCM戰略;

· 為被評估的各任務/業務流程內的所有系統規劃、實施系統級ISCM戰略;

· 實現、執行和維持ISCM能力;

· 分析ISCM結果,確定組織安全態勢;

· 響應ISCM結果,降低組織風險;

· 向各級組織通報ISCM結果;

· 以組織規定的頻率檢測所實施控制措施的差距和不足,判斷控制措施是否足夠有效、可以達到預期目的;

· 回顧、更新和改進ISCM專案。

可使用基本的電子表格、PPT和Word文件記錄、儲存評估要素和評估原始資料並提交評估人員和組織領導。有些商業工具基於特定的評估標準,面向系統和組織專案評估,可用於評估;但是,本文件不為任何商業資訊科技產品、應用程式或系統背書。

組織可部署工具進行評估,並以本文中的評估要素作為評估工具以及評估工具需求庫的基礎。可以開發評估工具來支援判斷決策,包括協作方法、Delphi模型、評估人員投票和調查知情人員。

2.2.1證據收集

ISCM專案評估資訊是從組織人員和ISCM輸出(報告)中獲取的,而不是與ISCM能力直接互動。根據組織結構、角色和評估範圍,對組織各級人員進行訪談,以獲取相關資訊並對評估要素做出判斷。

在收集ISCM安全相關資訊以瞭解控制有效性時,自動化是主要方法,但有些控制是手動監控的。所以,ISCM專案評估還可以從手動收集的資料中獲取ISCM結果。ISCM專案評估可獲得的證據包括但不限於:

檔案:

· 組織級ISCM戰略

· 組織級ISCM政策(可能單獨成文,也可能包含在ISCM戰略中)

· 任務/業務流程ISCM戰略(可選)

· 系統級ISCM戰略

· ISCM實施操作過程

· 系統安全計劃

ISCM透過如下方式輸出的安全相關資訊:

· 儀表板或其他動態監控系統和元件(如SIEMs)生成的報告

· 手動生成的報告

· 為各級別領導編寫的報告,包括CIO、CISO、RE(f)員工、AO、任務/業務區域管理人員、通用控制提供商、系統負責人和ISSO

· 與下列各類人士訪談獲得的資訊:

· 組織領導

· 系統負責人和系統安全主管

· 系統管理員

· 風險管理人

· 授權人

如果適用的話,當前ISCM專案評估可使用之前的ISCM專案評估結果(如監察長報告、審計、漏洞掃描、物理安全檢查、先前的安全或隱私評估、開發測試和評估以及廠商缺陷補救活動)。

2.2.2證據分析

資訊收集後由評估人員手動分析,並將結果輸入到當前庫或評估工具中,用以建立圖表。透過資訊分析,可以判斷ISCM專案對各相關評估要素的滿足程度。

在各組織級別進行判斷,以確定ISCM專案對該級別特定評估要素是否充分滿足。若參與評估的多個人員或小組在同一級別做出不同判斷,則評估人員會將這些判斷進行彙總,形成唯一判斷,如2.2.8節和2.2.9節所述。例如,評估人員可以對系統級判斷進行彙總,形成唯一判斷,涵蓋對所有被評估系統就特定評估要素做出的所有判斷。

在ISCM專案評估工作中,評估人員會審查工件,與員工面談,分析收集到的資訊。每天結束時,可與相關組織聯絡人進行簡短討論,以澄清和確認所發現的問題,進一步提出問題,並確認第二天的活動。

系統級ISCM專案評估可以由系統開發人員、系統整合商、安全控制評估員、系統審計員、系統負責人、組織的安全人員以及AO和AO人員實施或支援。ISCM專案評估人員將所有被審查系統的可用資訊彙集在一起。如有必要,評估人員可透過修改評估要素的評估程式和方法來增強系統級評估,收集ISCM專案相關係統的額外或特殊資訊。

任務/業務流程ISCM專案評估可由任務/業務負責人、通用控制供應商、安全控制評估員和CISO員工安全專家實施或支援。組織級ISCM專案評估可由組織的CIO、SAISO/CISO和RE(f)員工實施或支援。

在各組織級別對某評估要素做出唯一判斷後,根據需要對這些判斷進行合併,形成最終判斷。當對所有要素都做出唯一判斷後,實施階段結束。

2.3 報告階段

報告階段(圖7)是評估人員參與的最後一個階段。ISCM專案評估的報告階段定義了ISCM專案評估的輸出成果。

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

圖7:ISCM專案評估流程(報告階段)

在評估的報告階段,評估人員起草評估報告初稿。ISCM專案評估結論由評估人員根據分析資訊手動得出。評估人員根據ISCM專案評估的結論,提出ISCM專案的改進建議,這些建議可在非“滿足”(或“正確”)項的評估判斷註釋中提供。評估過程輸出定性結果和建議,幫助組織集中精力改進ISCM專案。組織會收到一份報告初稿,內容包括調查結果和提供的建議。報告初稿由組織領導(包括執行發起人)審查,以修訂錯誤並澄清誤解或含糊之處。根據組織的反饋,評估人員更新報告,形成終稿。ISCM專案評估報告見2.2.12節。

3.1評估後響應(跟進)

組織負責對ISCM專案評估結果進行響應。組織需要分析ISCM專案評估報告終稿中的調查結果,確定合理響應措施,根據組織的風險承受能力確定響應行動的優先順序,並指定角色負責執行響應行動,明確完成時間。計劃好的響應行動可以記錄在系統、任務/業務流程或組織級行動計劃和里程碑中,或以組織要求的格式記錄。根據調查結果和組織對調查結果的響應,相應更新ISCM專案相關檔案(如ISCM戰略、政策等)。組織還可以重新評估相關ISCM專案評估要素,驗證已完成的響應行動。

ISCM專案評估要素

ISCM專案評估要素定義了適用於所評估ISCM專案各個方面的評估標準。為了確定是否“滿足”ISCM專案評估要素,評估人員需要使用相關評估程式來獲取和審查證據。同一組織級別的所有評估要素適用同樣的評估程式。

針對特定評估任務新增或修改ISCM專案評估要素時,評估程式資訊也要相應增加或修改,同時,其他屬性(如“備註”)資訊也需要新增或修改。關於如何定製ISCM專案評估過程以及評估要素,見3.5節。

ISCM專案評估要素能夠促進ISCM專案評估過程的可重複性,並提供了必要的靈活性,以便根據範圍、組織結構、政策和程式、操作考慮、系統和網路架構以及風險承受能力定製評估方案。

1. 評估要素資訊欄位

評估要素的資訊欄位,包括評估要素的上下文資訊或屬性,定義如下:

· ID:唯一標識評估要素並代表ISCM階段序號(見2.1.2節)的有序字串。

· 評估要素描述:為評估ISCM專案某一方面而定義的評估標準。評估要素描述是評估人員用來確定目標是否達成目標或目標達成程度的說明。

· 級別:SP800-39中定義的適用組織風險管理級別。將ISCM評估要素應用於組織風險管理級別的更多資訊,見2.1.3節。

· 來源:ISCM專案評估要素所參考的權威出版物或實踐。

· 評估程式:評估程式屬性包含多個部分,規定了評估人員需要執行的一系列操作,以便收集證據,確定評估目標是否已實現。每個評估程式包括(i)一個評估目標,(ii)多個可能的評估方法,以及(iii)ISCM專案評估所針對的物件,具體如下:

評估目標:評估目標是與評估要素描述相關的判斷語句。判斷語句(即“確定是否……”)針對的是評估要素描述的內容,用以確定ISCM專案的相關內容是否滿足該要素來源中規定的基本ISCM原則/要求,或對這些原則/要求的滿足程度。應用評估程式對ISCM專案的某一方面評估後會輸出評估結果,表示是否滿足了評估要素或對評估要素的滿足程度。

可能的評估方法和物件:評估程式還對建議的評估方法和適用物件提出了規範要求。評估方法定義了評估人員活動的性質和範圍。可用於ISCM專案評估的可能方法包括:

· 檢視:審查、檢查、觀察、研究或分析一個或多個評估物件的過程。檢視的目的是促進理解,澄清誤解,獲取證據。

· 訪談:與個人或小組進行討論以促進理解、澄清誤解或獲取證據的過程。

組織和評估人員協調行動,獲取證據,證明組織為保障ISCM專案有效性所做的努力。在所有三種評估方法中,證據都用於基於判斷語句做出具體判斷,以確認評估程式的目標。

評估物件是應用評估方法的潛在專案(證據)。評估物件包括規範、機制輸出、活動和個人,幫助評估人員判斷ISCM專案的某個方面是否滿足評估要素或對該評估要素的滿足程度。規範是文件型構件,包括:

· ISCM戰略

· ISCM專案政策和程式

· 系統安全計劃

· 安全需求

· ISCM自動化功能規範

· ISCM技術架構設計

機制輸出是系統或操作環境中使用的特定軟硬體或韌體監控功能或防禦措施所生成的報告或通知,例如:

· 安全儀表盤報告

· SIEM報告

· 網路防火牆報告

活動是人類參與的與系統相關的監控活動,例如:

· 執行手動監控操作

· 評審ISCM報告

· 按程式行事

· 做出基於風險的決策

· 備註:“備註”屬性為評估人員提供各方面的補充指導,包括評估要素、特定物件檢查點建議、補充資訊/參考資料的來源等。“備註”提供的特殊情況或依賴性方面的補充資訊可供評估人員參考。

· 級別說明:將評估要素分配到特定風險管理級別的理由。

· 父要素:父要素表示與上一流程階段評估要素的聯絡,父要素與當前要素評估的是相同的ISCM方面或主題。“定義”階段要素沒有父要素。

NISTIR 8212(ISCMAx工具)中的關鍵要素:評估要素可分為關鍵要素和非關鍵要素,對評分方式有不同的影響。為方便使用者使用,本欄與NISTIR8212一致。組織可根據組織風險評審重要性並修改值(是或否)。

· 鏈標籤:ISCM專案評估要素可以聯結在一起,提供可追溯性,對相關要素進行分組,形成一條鏈(見2.2.5節)。每個鏈標籤提供一個簡短的描述性名稱,代表一組相關的ISCM專案評估要素。

· 鏈分類:用於對評估要素進行分類的字串,以便將它們歸併到對應鏈中,按流程階段在鏈內進行排序。

組織不需要採用評估程式中包含的所有評估方法和物件;相反,可以靈活選擇方法和物件,並確定評估所需的工作量和所需的保障(即哪些評估方法和評估物件對於獲得預期結果最有效)。

2. 評估要素的使用

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

表5:評估要素格式

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

表6:評估要素示例

舉例說明如何基於表6中的示例要素使用評估要素。

使用示例評估項資訊

步驟1到步驟4解釋瞭如何使用表6中的示例評估要素的資訊欄位來對示例評估要素做出判斷。

1. 對於1-002評估要素:

有基於組織級ISCM戰略建立的ISCM專案。

按下述方法對物件使用可能的評估方法:

· 檢視:組織級ISCM戰略、ISCM政策和程式檔案、ISCM設計檔案、ISCM CONOP

· 訪談:SAISO、ISCM POC

獲取證據,對下述ISCM評估目標作出判斷:確定是否有基於組織級ISCM戰略的ISCM專案。

2. 根據需要,使用與“定義”階段和檢視列表及訪談列表中的級別1相關的資訊來確定ISCM評估目標是否達成。

3. 使用備註:“ISCM專案由基於組織級ISCM戰略的ISCM政策和程式組成,包括指導ISCM實施的ISCM檔案(如ISCM技術架構和ISCM CONOP)”,澄清評估要素的含糊表述或目的。

4. 判斷評估要素的滿足程度(“滿足”或“未滿足”),將判斷結果輸入評估工具或結果庫。對於“未滿足”判斷,在註釋中給出理由。

定製ISCM專案評估流程

定製是評估人員和被評估組織之間為滿足組織需求而進行的合作過程。評估流程各階段(如3.2節所述)和評估任務可以定製。透過定製,可將評估任務與組織的特殊情況對齊,例如,ISCM專案不成熟時,可進行有限(增量)評估。對於針對整個組織的評估專案,定製後,不同的子組織可根據不同的風險環境確定不同的實施程度。評估要素和評估程式有足夠的靈活性,可以根據組織的需要進行調整。

根據組織對ISCM專案的具體實施情況,可能需要定製ISCM專案評估方案。例如,在為聯邦機構定製評估方案時,要保證方案有助於確定組織的ISCM專案是否符合有關部門對聯邦機構的ISCM要求。定製ISCM專案評估方案時須與評估機構協調,確保ISCM專案評估能夠按照要求驗證ISCM的各方面。所有定製決策都要記錄在ISCM專案評估計劃中。

調整ISCM專案評估範圍。在定製活動開始時,應確定ISCM專案的評估範圍,例如針對ISCM專案的實施要評估哪些系統和系統元件(使用者端點、伺服器、網路元件等),以提供可信的評估證據。

調整ISCM專案評估範圍要了解組織的ISCM要求和約束,並在必要時修改評估要素。例如,可根據組織結構(子組織的數量和規模等)或ISCM成熟度(如任務/業務流程之間的ISCM成熟度差異)進行調整。

評估範圍由組織領導決定。如2.3.2和3.4節所述,可從一覽表中選取部分評估要素,以縮小範圍(例如,進行小範圍評估或根據ISCM流程階段的數量進行增量評估時)。評估範圍也可限定於特定的風險管理級別(例如,僅1級[組織]範圍或僅3級[系統級]範圍)。

修改評估要素。定製評估方案可能會要求對評估要素的欄位/屬性進行修改。新技術帶來新概念時,可對評估要素進行修改以反映這種變化。如2.2.7節所述,評估要素集可透過新增或修改要素進行定製。

如果ISCM專案評估中用到某個工具,而根據設計用途該工具並不適用於修改後的某些評估要素及其屬性,那麼對這些評估要素的修改可能會帶來問題。

ISCM專案評估結論

ISCM專案評估可為組織提供ISCM專案設計、實施、運營和治理等方面的改進建議。評估結束時,評估人員提交報告初稿,與組織領導討論並解決意見分歧,最後提交報告終稿。

ISCM專案評估過程有時會很緊張和短暫,有時會很輕鬆。評估結束後,組織人員可能會與評估團隊進行會談。後續合作中也可能會有這種會談。

評估後行動。ISCM專案評估可按預定的時間間隔重複進行,例如當組織的ISCM專案制定過程中出現某些里程碑時,或當先前評估的響應行動完成、確認行動結束後。隨著組織ISCM專案的成熟,後續評估的範圍可能會擴大。

(全文完)


完整版pdf:

http://blog.nsfocus.net/wp-content/uploads/2020/09/NIST_ISCM_0930.pdf

譯者宣告:

【公益譯文】NIST評估資訊保安持續監控專案指南:評估方法(三)

小蜜蜂翻譯組公益譯文專案,旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐,將網路安全戰略性文件翻譯為中文,為網路安全從業人員提供參考,促進國內安全組織在相關方面的思考和交流。

相關文章