1 / 9⼩蜜蜂 翻译组【 公 益译 ⽂ 】 NIST评 估 信 息 安 全 持 续监 控 项 ⽬ 指 南 ： 评 估 ⽅ 法 （ ⼆ ） blog.nsfocus.net /nist-iscm-2-0921 《NIST评 估信息安全持 续监 控（ ISCM ）项 ⽬： 评 估 ⽅法》⼀⽂可⽤于： 为组织各风险管理 级别（ 定 义见 NIST SP 800-39 《管理信息安全 风险：组织、 任 务 与 信息系 统视 ⾓》） 开 展ISCM项⽬评 估 提供指 导 ； 阐述了 ISCM项⽬评 估与 重要安全 概 念和 过 程的相 关 性，如 NIST 风险 管理 框 架（ RMF ）、全 组织风险 管 理级别、组织治理、 ISCM 指 标 和持 续 授 权 ； 介绍了有效的 ISCM 项 ⽬ 评 估 所具 备 的特点； 提出了 ISCM项⽬评 估 标 准（同 时 提供了 参 考 来 源）， 组织 可采⽤ 这 些 标 准 进 ⾏ ISCM 项 ⽬ 评 估， 或基于 这些标准制定适合本 组织 的 评 估 标 准； 介绍了通过评 估程序 进 ⾏ ISCM 项 ⽬ 评 估 的⽅法， 该评 估 程序在相 关 配套⽂件（包含 ISCM 项 ⽬ 评 估 要素 ⼀览表）中进⾏了定 义， ⽤以 开发 可 复 ⽤的 评 估 流程。 ⽬标读者为持续监 控信息安全 态势 和 组织风险 管理的 个 ⼈，包括： 负责评审组织 ISCM 项 ⽬的 个 ⼈，包括 进 ⾏技 术评审 的管理⼈ 员 和 评 估 ⼈ 员（ 如系 统评 估 ⼈、 内 部和第三 ⽅评 估员 /评 估团队、 独 ⽴ 验证 / 认证评 估 师、审计 ⼈ 员 和系 统负责 ⼈）； 承 担任务 /业务负责 ⼈或受托⼈ 责 任的 个 ⼈（如 联 邦机 构负责 ⼈、⾸席 执 ⾏官和⾸席 财务 官）； 需要考虑 ISCM功能的系 统开发 / 集成 负责 ⼈（如 项 ⽬ 经 理、系 统负责 ⼈、信息技 术产 品 开发 ⼈ 员、 系 统开 发⼈员、系统集成商、企 业 架 构师、 信息安全架 构师 和通⽤控件提供⽅）； 承 担系统和 /或安全管理 / 监 督 职责 的 个 ⼈（如⾼ 层领导 ⼈、 风险 管理⼈ 员、 授 权 ⼈、⾸席信息官、⾸席信 息安全官），这类 ⼈ 员 需在⼀定程度上依 赖 于持 续监 控 过 程中 输 出的安全相 关 信息做出基于 风险 的 决 策； 负责系统和安全控制 评 估与 监 控的 个 ⼈（如系 统评 估 ⼈、 评 估 员 / 评 估 团队、 独 ⽴ 验证 / 认证评 估 师、审 计⼈员、系统负责 ⼈或系 统 安全主管）。 连载 2 内容介绍了对组织风险 管理中的 ISCM 进 ⾏ 评 估 的基 础 和 类 型。 ISCM项⽬评 估的基 础 ISCM项⽬评 估过 程包含信息收集和 证 据分析。 组织 可利⽤所收集的信息和已 确认 的 证 据 进 ⾏如下活 动： 识别改进组织 ISCM 项 ⽬（包括 ISCM 战 略）的具 体 机 会 ； 判 断组织领导或员 ⼯ 对 ISCM 项 ⽬以及 该项 ⽬在 风险 管理流程中所 处 位置的了解程度； 判 断组织对 ISCM项 ⽬在各 级别 的适⽤性以及 ISCM 功能在全 组织 集成度的了解程度； 识别组织安全和风险 管理 项 ⽬的 潜 在改 进 机 会， 包括 ISCM 能⼒ 与 组织风险 管理功能之 间 的 联 系； 重点考虑 与组织 ISCM 项 ⽬相 关 的 风险应对 决 策和相 关风险缓 解活 动 ； 确认组织已解 决系 统 和 运 ⾏ 环 境中 识别 出 来 的安全 问题 和缺陷； ⽀持监控活动和信息安全 态势 感知； 评 估持续授权的准 备 情 况 ； 为未 来或计划中 ISCM 项 ⽬的 设计 提供指 导 或 评 估 现 有 ISCM 项 ⽬中所做的 计划 性 变 更。2 / 9ISCM项⽬评 估会检查 通⽤控制措施、混合控制措施和特定系 统 控制措施的控制 评 估 流程，判 断 组织 是否 对 控制 措施进⾏了评 估。 本⽂ 并 未要求在 评 估 ISCM 项 ⽬ 时评 估 单 个 控制措施或 检查 控制措施的 评 估 结 果。必要 时， 组织可修改 ISCM项 ⽬ 评 估 ⽅案、增加 评 估 要素 来 评 估 单 个 控制措施，也可引⼊控制 评 估 流程。本章其余部分 将 逐⼀解释 ISCM项 ⽬ 评 估 的各 个 环节。 1.1 ISCM项⽬评 估标准 ISCM项⽬评 估⽅案 为评 估 ISCM 项 ⽬定 义 了各 个 ⽅⾯的 评 估 标 准（如安全 状况 监 控政策和程序、通⽤控制措施 评 估政策、配置管理程序、安全 状况 报 告）。本⽂ 档 定 义 的 评 估 标 准以评 估要素为核⼼。以下是评 估 要素⽰ 例： 有基于组织级 ISCM 战 略建⽴的 ISCM 项 ⽬。（ 评 估 要素 1-002 ） 有组织级安全 状况 监 控政策。（ 评 估 要素 1-008 ） 按照规定频率和程序 进 ⾏安全 状况 监 控。（ 评 估 要素 3-007 ） 有组织级政策要求 将 ISCM 结 果 输 ⼊到 风险评 估 流程。（ 评 估 要素 1-011 ） 按照程序，对 ISCM 项 ⽬ 发现 的 风险进 ⾏ 响应 措施 确 定和 优 先 级设 置。（ 评 估 要素 3-023 ） 有ISCM指标及相应评审 程序。（ 评 估 要素 2-024 ） 回顾 ISCM战略，确 定如何提⾼已知和新型威 胁响应 能⼒。（ 评 估 要素 6-005 ） 若ISCM相关陈述的 来 源跨越多 个 ISCM 阶 段， 则 要分成多 个 评 估 要素，每 个（ 唯⼀）要素 对应 ⼀ 个 流程 阶 段。 评 估要素也 会从其他 ISCM 功能和原 则 中提取，如 开发 ⼈ 员、 操作⼈ 员、评 估 ⼈ 员 根据 经验 和 联 邦指 导 所建 议 的功能和原则。 要素的选择取 决于 评 估 范 围（见 2.3.2 节），评 估 范 围 受 2.1.2 节 中定 义 的 风险 管理 级别 或 ISCM 流程 阶 段的限 制。例如，评 估范 围 受限情 况 下，按如下原 则选 取 评 估 要素： 对于 1级风险管理， 仅选择 适⽤于 1 级 的要素。注意：适⽤于 1 、 2 级 的要素和适⽤于 1 、 2 、 3 级 的要素都在 这 个集合中。 对于 “定义 ”和 “⽴项 ” 阶 段， 从 ⼀ 览 表或 组织 定 义 的 评 估 要素集中 仅选择 适⽤于 ISCM 流程 阶 段 1 和 2 的要 素。注意：每 个要素只适⽤于⼀ 个 流程 阶 段，多 个 阶 段 连续进 ⾏，⽆ 论 何 种 情 况， “ 定 义 ” 阶 段均不可省 略。 有些评 估要素 会评 估 RMF 过 程所 输 出信息（如 当 前 风险 ⽔平、 风险 承受⽔平、威 胁 和漏洞信息）的使⽤，因⽽ 在⼀定程度上超出了 ISCM 项 ⽬的范 围 ；有些要素 则评 估 ISCM 项 ⽬是否能 够输 出安全相 关 信息（如安全 状况 报 告、安全指标），为组织实 施 RMF 提供 参 考； 还 有些 评 估 要素可能 与SP800-53中某些控制措施重 叠， 但 ISCM 项⽬评 估并不考虑 或 评 估个 别 控制措施的有效性。 组织或评 估⼈员可以基于本⽂ 档 提供的 评 估 要素和 评 估 程序，制定⾃⼰的 评 估 ⽅案， 输 出 评 估 ISCM 项 ⽬所需的 证据，判 断评 估标 准所 规 定的 ISCM 要求是否已 实现。 评 估要素也可以视为对 当 前所 开发 ISCM 项 ⽬的要求。 组织 可根据 这 些要素， 设计 ISCM 项 ⽬所需的功能、政策 和程序。评 估要素 还 可⽤于 评 估 ISCM 规划 或 设计， 如 ISCM 技 术 架 构、 操作步 骤 和 ISCM 战 略。 1.2 ISCM项⽬评 估要素 来源 ISCM项⽬评 估要素的 来 源包括： 2014年《联邦信息安全 现 代化法案》（ FISMA ）【FISMA2014】；3 / 9⾏政指令，包括⽩宫计划 和⾏政命令； 涉及ISCM要求的 OMB 备 忘 录【OMB M-1 1-33】； OMB通知 A-130（ 2016 ）【OMB A-130】； NIST风险管理指南和 ISCM 指南【SP800-37】【SP800-39】【SP800- 137】； 从ISCM、安全⼯程、 网络 安全、系 统 ⼯程和信息技 术 等集 体从 业经历 所 获 取的 专业经验。 1.3 ISCM项⽬评 估要素 属性 每⼀ISCM项⽬评 估 要素均有多 个属 性，⽅便 评 估 ISCM 项 ⽬的 实 施情 况。 在 ISCM 项 ⽬ 评 估 要素⼀ 览 表中， 这 些 属性按列展⽰，具 体 如下： ISCM项⽬评 估要素 ID ISCM项⽬评 估要素描述 风险管理级别 来源 ISCM项⽬评 估程序 备注 – 为 ISCM项 ⽬ 评 估 程序 属 性提供的 补 充信息 级别说明 ⽗要素 – 前⼀阶段的 ISCM 项 ⽬ 评 估 要素 链标签 链分类 1.4 ISCM项⽬评 估要素追溯 关 系（ 链） 可 将 ISCM项⽬评 估 要素串成 链，这样， 基于 ISCM 项 ⽬的特定⽅⾯（如安全 状况 监 控或 ISCM 指 标）， 可⽅便 地 从⼀ 个要素追溯到 与 “ ⽗要素 ” 属 性相 关 的⼀ 个 或多 个 其他要素。 评 估 要素串 联 在⼀起， 构 成 “ 链 ” ，提供追溯 关 系。这种关系链可 显 ⽰跨越 两 个 或多 个 IS