NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

风险框架在组织层面进行时最为有效，并应在整个组织的利益相关者（包括任务、业务和系统负责人）的协商下进行。在风险框架制定过程中确定的假设、约束、风险容忍度、优先级和权衡会为风险管理策略提供信息，而风险管理策略又会影响风险评估、风险应对和风险监控活动的开展。风险框架结果会与组织人员共享，包括任务和业务负责人、信息拥有者或信息管理员、系统拥有者、授权官员、机构高级信息安全官员、机构隐私高级官员以及风险管理高级问责官员。