对一个系统(主应用或通用支撑系统)或者一组互联系统(机构的内部或外部系统)实施的自评估是用于衡量IT安全保证的一种方法。IT安全保证是指对管理、运行和技术安全措施能够如期保护系统及其信息所持信心的程度。这些资产的充分安全是管理层的一项基本职责。根据管理和预算办公室(OMB)的政策,每个联邦机构都必须实施并保持安全项目,以充分保护其信息及系统资产。各机构的安全项目必须:
1、确保系统及应用的有效运行,提供适宜的保密性、完整性和可用性。
2、在适度风险和可能的后果(来自于丢失、误用、非授权访问或修改)下以相应的程度来保护信息。
各机构必须制定安全计划,确保安全职责已经分配给适宜的官员,并应确保系统在投入运行之前要经过授权,且在投入运行后还应定期检查。这些管理职责要求负责官员了解可能给系统的任务目标带来负面影响的风险及其他因素。此外,这些官员还必须知晓安全项目和控制的最新状态,从而能够做出合理的判断和投资决策,将风险减至可接受的水平。
确保机构IT安全的一个重要环节是对机构的安全项目进行常规自评估。为了使自评估行之有效,应该同时或在此之前进行风险评估。自评估不能取代风险评估。
有许多方法和工具可供机构官员判断其安全项目的最新状态,查看其是否与现行政策相吻合。理想情况下,许多这样的方法和工具应当不断实施,从而系统化标识出安全项目的不足,并在必要时建立持续改进的目标。本文提供了对非涉密的一个或一组系统进行评估的方法,指导读者完成IT安全自评估。此外,本文提供了对非涉密的一个或一组系统进行评估的结果来确定机构整体安全态势的指导。自评估的结果可以立即用于确定机构在调查表各主题中实现了《联邦IT安全评估框架》规定的哪一个级别。例如,被检查的一组系统可能达到了“物理和环境保护”中得第4级(流程和控制测试与审查级),但其逻辑访问控制可能只达到了第3级(流程和控制实施级)。
