安全控制是風險處理的一部分,風險評估之後進行。安全控制的範圍是根據風險評估的結果確定的。根據NIST SDLC和ISO 22301,業務影響分析(BIA)不會評估風險。但是,官方研究指南(OSG)中引入的BIA確實包括了風險評估。
-NIST SDLC和RMF
. 業務影響分析(BIA)可以識別關鍵流程和資源,以支持在業務連續性計劃範圍內定義的產品和服務的交付。約束和目標,例如最大可容忍的停機時間(MTD),恢復點目標(RPO),恢復時間目標(RTO)等,在BIA中確定。
. 對系統的風險評估是在BIA之後進行的,然後是風險處理,風險處理選擇了一組安全控制措施,這些安全控制措施已分配並設計用於安全體系結構設計作為解決方案。認證和鑑定的詳細計劃指導C&A流程,以便可以評估和授權系統運行。
參考
. 成熟度模型
. 安全框架和成熟度模型
資料來源: Wentz Wu QOTD-20210116