国防部正在面临风险,包括向风险管理框架(RMF)的过渡和采用RMF的挑战。RMF强调风险管理,并要求持续不断的监测。然而,一些国防和情报界技术领导者发现自己在努力采用RMF。根据Splunk的调查,三分之二的受访者表示,根据安全分类,不到一半的信息系统具有基线安全控制,近一半的人表示,只有不到50%的安全控制措施是在记录部署方法的情况下实施的,近40%的人表示,他们远远没有达到RMF对频繁和持续审查的处方。这些挑战可能源于快速变化的法律和政策,以及对RMF合规的误解。为了加速向RMF环境的迁移,IT规划人员需要对系统进行分类,选择一组初始控件,实施控件,评估控制,授权现在操作,安全,并持续监控安全控制的性能。
