NIST RMF 风险管理框架
NIST Risk Management Framework —— 把风险管理拆成 7 个标准步骤。 跟 NIST CSF 区别:CSF 是”战略地图”,RMF 是”战术手册”。
7 个 step
| # | Step | 干啥 |
|---|---|---|
| 1 | Prepare | 准备 —— 识别要保护的资产、关键风险、责任人 |
| 2 | Categorize | 分类 —— 给系统按敏感度/影响等级打标签 |
| 3 | Select | 选控制项 —— 从 NIST 800-53 控制目录里挑合适的 |
| 4 | Implement | 实施 —— 把选定的控制项真正部署上去 |
| 5 | Assess | 评估 —— 验证这些控制项是不是真的有效 |
| 6 | Authorize | 授权 —— 高层签字接受残余风险,系统获准上线 |
| 7 | Monitor | 持续监控 —— 环境会变,定期回看 |
为什么记 RMF
不是为了背 7 个词,是为了知道:风险管理是循环,不是一次性。 Monitor 发现新风险 → 回 Prepare 重启循环。