hero-two-bg

NIST 800-30

La Publicación Especial 800-30 del NIST, "Guía para llevar a cabo evaluaciones de riesgos", proporciona orientación a las organizaciones para realizar evaluaciones de riesgos de los sistemas de información y organizaciones federales. Amplifica la orientación en la Publicación Especial 800-39 del NIST, que describe el proceso de gestión de riesgos organizacionales.

Solicitar una demostración de Secureframe Custom Frameworksangle-right

Definición y propósito

El propósito del NIST 800-30 es ayudar a las organizaciones a realizar evaluaciones de riesgos para:

  • Identificar vulnerabilidades y amenazas a sus sistemas de información y activos.
  • Evaluar el impacto potencial de los riesgos en la organización.
  • Priorizar riesgos para mitigación y respuesta.
  • Desarrollar e implementar estrategias de mitigación de riesgos.
  • Mejorar la postura general de ciberseguridad y resistencia.

Órgano rector

El Instituto Nacional de Normas y Tecnología (NIST) es el órgano rector responsable de la serie 800 de publicaciones, incluyendo el NIST 800-30.

Última actualización

El NIST 800-30 fue publicado en 2012 y no ha tenido actualizaciones importantes.

Aplicable a

Aunque el NIST 800-30 está diseñado para que las agencias federales cumplan con los requisitos de FISMA, se anima a los gobiernos estatales, locales y tribales, así como a las organizaciones del sector privado, a utilizar estas guías también.

Controles y requisitos

El NIST 800-30 no proporciona una lista específica de controles o requisitos. En su lugar, ofrece una metodología para realizar evaluaciones de riesgos. Las organizaciones pueden utilizar otras publicaciones del NIST, como el NIST SP 800-53, para controles y requisitos específicos.

Consulte la publicación oficial del NIST 800-30 para más detalles.

Tipo, frecuencia y duración de auditoría

Dado que el NIST 800-30 es una guía para realizar evaluaciones de riesgos y no un estándar de cumplimiento, no dicta tipos específicos de auditoría, frecuencias o duraciones.

Tampoco dicta estos aspectos para las evaluaciones de riesgo. En su lugar, recomienda que las organizaciones realicen evaluaciones de riesgo de manera continua a lo largo del ciclo de vida del desarrollo del sistema. Por lo general, la frecuencia está determinada por el panorama de amenazas en evolución y los cambios en el entorno de la organización. La duración de una evaluación de riesgos también puede variar ampliamente, dependiendo de la complejidad de la organización y el alcance de la evaluación.

Cumple con los requisitos utilizando Secureframe Custom Frameworks

Solicitar una demoangle-right
cta-bg