权威国防科技信息门户
国防科技大数据智能情报平台
生产力促进中心会员招募
国防科技生产力促进中心
国外国防科技文献资料快报
公告:
国防科技生产力促进中心网上会员入会邀请函   国防科技工业准入渠道、申办程序取证务实培训班通知   DSTI推出国防军工单位电子邮件服务,特别优惠中   DSTIS国防军工信息资源内网服务系统2013年征订开始   下载黄页企业会员登记表 成为国防科技信息网会员  
风险管理框架的采用在美国国防部遇到了障碍
2018-12-03


[据联邦计算机周刊网站20181129日报道]  将美国国防部的IT系统授权流程从美国国防部信息保障认证和认可流程转移到风险管理框架(RMF),本应能够提供更好的结果。但是,合规文化似乎成为了一个障碍。



“训练人们评估风险是很困难的,”20181128日,在ACT-IAC成员会议上,美国国防部负责网络安全的副首席信息官(CIOThomas
Michelli
发表主题演讲说。“人们喜欢合规,因为它是黑白分明的。”



他说,该框架要求IT专家接受风险,包括其他人的测试结果。但是如果没有它,办事速度就会变慢。



RMF可能比以往的认证或评估方式都有效得多,”他表示。“只是人们必须有知识、技能和勇气去做这件事,然后在底部签上自己的名字,说‘我接受这个风险’。”



然而事实上,这一框架已经取得了一些成功。美国空军的敏捷软件开发工厂Kessel
Run
已经能够将RMF控制构建到F-35物流系统的代码中,Michelli说。最终,RMF将可能会使用机器学习技术,来发展并变得更加自动化,。



美国陆军正在重组其RMF战略,通过在整个组织中分散基于模板的引导来更好地满足作战需求,它们计划在未来三年全面开展。



“如果RMF得到正确的使用,它就可以变得更快,Michelli说。“这是一个不断发展的过程。”



美国国防部也在面对工业基地的供应链风险。除了专门负责评估美国国防部采办内容和评估第三方威胁的工作组之外,美国国防部还在考虑新的风险应对方法,包括双重检查行业合作伙伴的系统。



“如果你和美国国防部签订合同,你必须满足一个特定的标准:800-171,
NIST
标准,”Michelli说。“过去,在大多数情况下,我们只能认为
(行业合作伙伴)正在努力满足这一要求。现在,这一条款允许我们在发现问题时走出去,去实际评估你们是否真的在为满足这一要求努力。”(工业和信息化部电子第一研究所
刘彧宽)



相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天工程咨询中心 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
DSTI简介 | 大事记 | 网站动态 | 产品介绍 | 广告服务 | 客户服务 | 联系方式 | 共建单位 | 合作媒体  
国防科技信息网 dsti.net © 2006 - 2018 版权所有 京ICP备10013389号