hero-two-bg

NIST 800-30

La Publication spéciale 800-30 du NIST, "Guide pour la réalisation des évaluations des risques", fournit des conseils aux organisations pour réaliser des évaluations des risques des systèmes et des organisations d'information fédéraux. Elle amplifie les conseils donnés dans la Publication spéciale 800-39 du NIST, qui décrit le processus de gestion des risques organisationnels.

Demander une démo des Cadres Personnalisés Secureframeangle-right

Définition et objectif

Le but de la norme NIST 800-30 est d'aider les organisations à mener des évaluations des risques pour :

  • Identifier les vulnérabilités et les menaces pesant sur leurs systèmes et actifs d'information.
  • Évaluer l'impact potentiel des risques sur l'organisation.
  • Hiérarchiser les risques pour l'atténuation et la réponse.
  • Développer et mettre en œuvre des stratégies d'atténuation des risques.
  • Améliorer la posture globale de cybersécurité et la résilience.

Organe directeur

L'Institut national des normes et de la technologie (NIST) est l'organe directeur responsable de la série 800 des publications, y compris du NIST 800-30.

Dernière mise à jour

La norme NIST 800-30 a été publiée en 2012 et n'a pas eu de mises à jour majeures.

S'applique à

Bien que la norme NIST 800-30 soit conçue pour les agences fédérales afin de répondre aux exigences de la FISMA, les gouvernements des États, locaux et tribaux, ainsi que les organisations du secteur privé, sont encouragés à utiliser ces directives également.

Contrôles et exigences

La norme NIST 800-30 ne fournit pas de liste spécifique de contrôles ou d'exigences. Au lieu de cela, elle propose une méthodologie pour réaliser des évaluations des risques. Les organisations peuvent utiliser d'autres publications du NIST telles que le NIST SP 800-53 pour des contrôles et exigences spécifiques.

Veuillez vous référer à la publication officielle NIST 800-30 pour plus de détails.

Type d'audit, fréquence et durée

Puisque la norme NIST 800-30 est un guide pour réaliser des évaluations des risques et non une norme de conformité, elle ne dicte pas de types d'audits, de fréquences ou de durées spécifiques.

Elle ne dicte pas non plus ces aspects pour les évaluations des risques. Au lieu de cela, elle recommande aux organisations de réaliser des évaluations des risques de manière continue tout au long du cycle de vie du développement du système. Typiquement, la fréquence est déterminée par le paysage des menaces en évolution et les changements dans l'environnement de l'organisation. La durée d'une évaluation des risques peut également varier considérablement, en fonction de la complexité de l'organisation et de la portée de l'évaluation.

Devenez conforme en utilisant les cadres personnalisés de Secureframe

Demander une démoangle-right
cta-bg