中文版為改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架

（水平有限，翻譯粗糙，僅供參考）1.0國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所February12,2014TableofTOC\o"1-1"\h\z\uSummary 11.0 32.0 73.0 tothe1318B:37C:39Listof1:Core72:12Listof1:Category192:Core 20執(zhí)行摘要美國(guó)的國(guó)家安全和經(jīng)濟(jì)安全取決于關(guān)鍵基礎(chǔ)設(shè)施的可靠運(yùn)作的。網(wǎng)絡(luò)安全威脅攻擊日益復(fù)雜和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的連接，把國(guó)家的安全，經(jīng)濟(jì)，風(fēng)險(xiǎn)公眾安全和健康。類似的財(cái)務(wù)和聲譽(yù)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)影響到公司的底線。它可以驅(qū)動(dòng)多達(dá)費(fèi)用及影響收入。它可能會(huì)損害一個(gè)組織的創(chuàng)新，以獲得并保持客戶的能力。為了更好地解決這些風(fēng)險(xiǎn)，總統(tǒng)于2013年2月12日，其中規(guī)定“[I]t是美國(guó)的政策，加強(qiáng)國(guó)家的安全和彈性頒布行政命令13636，”改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全?！瓣P(guān)鍵基礎(chǔ)設(shè)施和維護(hù)，鼓勵(lì)高效，創(chuàng)新，和經(jīng)濟(jì)繁榮，同時(shí)促進(jìn)安全，保安，商業(yè)機(jī)密，隱私和公民自由?！霸谥贫ㄟ@項(xiàng)政策的網(wǎng)絡(luò)環(huán)境，執(zhí)行命令為自愿風(fēng)險(xiǎn)的發(fā)展需要基于網(wǎng)絡(luò)安全框架-一套行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，幫助企業(yè)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。由此產(chǎn)生的框架，通過(guò)政府和私營(yíng)部門(mén)之間的合作創(chuàng)建的，使用共同的語(yǔ)言，無(wú)需放置額外的監(jiān)管要求，對(duì)企業(yè)在根據(jù)業(yè)務(wù)需要具有成本效益的方式處理和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該框架著重于使用業(yè)務(wù)驅(qū)動(dòng)因素，以指導(dǎo)網(wǎng)絡(luò)安全的活動(dòng)，并考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，組織風(fēng)險(xiǎn)管理程序的一部分。該框架由三部分組成：核心框架，該框架配置文件和框架實(shí)施層級(jí)。該框架的核心是一套網(wǎng)絡(luò)安全的活動(dòng)，成果，和翔實(shí)的參考資料是通用的重要基礎(chǔ)設(shè)施行業(yè)，為發(fā)展個(gè)人組織檔案的詳細(xì)指導(dǎo)。通過(guò)使用配置文件中，該框架將幫助組織調(diào)整其網(wǎng)絡(luò)安全的活動(dòng)，其業(yè)務(wù)需求，風(fēng)險(xiǎn)承受能力和資源。各層提供一個(gè)機(jī)制，組織查看和了解他們的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特性。該行政命令還要求該框架包括一個(gè)方法來(lái)保護(hù)個(gè)人隱私和公民自由時(shí)，重要的基礎(chǔ)設(shè)施組織開(kāi)展網(wǎng)絡(luò)安全的活動(dòng)。雖然流程和現(xiàn)有的需求會(huì)有所不同，該框架能夠幫助組織整合的隱私和公民自由的全面網(wǎng)絡(luò)安全計(jì)劃的一部分。該框架使組織-無(wú)論大小，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度，或網(wǎng)絡(luò)安全的復(fù)雜性-原則和風(fēng)險(xiǎn)管理的最佳實(shí)踐應(yīng)用到改善關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。該框架提供了組織和結(jié)構(gòu)到今天的多種途徑，以網(wǎng)絡(luò)安全組裝標(biāo)準(zhǔn)，準(zhǔn)則和做法，如今正在有效地業(yè)。此外，因?yàn)樗昧巳蚬J(rèn)的標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全，該框架還可以用于由位于美國(guó)以外的組織，可以作為一個(gè)典范加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全國(guó)際合作。該框架是不是一個(gè)尺寸適合所有人的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵基礎(chǔ)設(shè)施。組織將繼續(xù)有獨(dú)特的風(fēng)險(xiǎn)-不同的威脅，不同的弱點(diǎn)，不同的風(fēng)險(xiǎn)承受能力-以及他們?nèi)绾螌?shí)施該框架的行為會(huì)有所不同。組織可以決定是很重要的關(guān)鍵服務(wù)活動(dòng)，并可以優(yōu)先考慮投資，以最大限度地度過(guò)每一美元的影響。最終，該框架旨在減少和更好地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該框架是一個(gè)活的文件，并會(huì)繼續(xù)進(jìn)行更新和改善，產(chǎn)業(yè)提供了執(zhí)行的反饋。在架構(gòu)上付諸實(shí)踐，經(jīng)驗(yàn)教訓(xùn)將被整合到未來(lái)版本。這將確保它滿足關(guān)鍵基礎(chǔ)設(shè)施的業(yè)主和運(yùn)營(yíng)商的需求在新的威脅，風(fēng)險(xiǎn)和解決方案，一個(gè)充滿活力和挑戰(zhàn)性的環(huán)境。使用這種自愿框架是下一步要提高我們國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全-為個(gè)別組織的指導(dǎo)，同時(shí)增加了國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施作為一個(gè)整體的網(wǎng)絡(luò)安全態(tài)勢(shì)。1.0 框架簡(jiǎn)介美國(guó)的國(guó)家安全和經(jīng)濟(jì)安全取決于關(guān)鍵基礎(chǔ)設(shè)施的可靠運(yùn)作的。為了加強(qiáng)這一基礎(chǔ)設(shè)施的恢復(fù)力，奧巴馬總統(tǒng)2月12日頒布行政命令13636（EO），“改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，”，對(duì)于自愿網(wǎng)絡(luò)安全框架（“框架”），它提供了“優(yōu)先，靈活，可重復(fù)，基于績(jī)效的，和成本效益的方法”直接管理這些流程，信息和系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)展這一行政命令要求參與關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的提供。該框架，與業(yè)界合作開(kāi)發(fā)，提供指導(dǎo)，在管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)組織。關(guān)鍵基礎(chǔ)設(shè)施是在EO定義為“系統(tǒng)和資產(chǎn)，不論是物理或虛擬的，所以至關(guān)重要的美國(guó)的無(wú)行為能力或破壞這些制度和資產(chǎn)將會(huì)對(duì)安全，國(guó)家經(jīng)濟(jì)安全，國(guó)家公共健康或使人衰弱的影響安全，或該等事項(xiàng)的任何組合?！坝捎趤?lái)自外部和內(nèi)部的威脅越來(lái)越大的壓力，負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織需要有一個(gè)一致的，迭代的方法來(lái)識(shí)別，評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這種做法是必要的，無(wú)論一個(gè)組織的規(guī)模，威脅曝光或網(wǎng)絡(luò)安全的復(fù)雜的今天。在關(guān)鍵基礎(chǔ)設(shè)施的社區(qū)，包括公共和私營(yíng)業(yè)主和運(yùn)營(yíng)商，以及其他實(shí)體在確保國(guó)家的基礎(chǔ)設(shè)施的作用。每個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的執(zhí)行委員是由信息技術(shù)支持的功能（IT）和工業(yè)控制系統(tǒng)（ICS）.2這依賴于技術(shù)，通信和IT和ICS的互聯(lián)互通已發(fā)生變化，擴(kuò)大了潛在的漏洞和潛在的增長(zhǎng)對(duì)風(fēng)險(xiǎn)的操作。例如，ICS和ICS的操作產(chǎn)生的數(shù)據(jù)越來(lái)越多地用于提供關(guān)鍵的服務(wù)和支持業(yè)務(wù)決策，一個(gè)網(wǎng)絡(luò)安全事件對(duì)組織業(yè)務(wù)的潛在影響，資產(chǎn)，健康和個(gè)人安全和環(huán)境，應(yīng)考慮。要管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，該組織的業(yè)務(wù)驅(qū)動(dòng)因素和具體到它的使用IT和ICS安全考慮清楚的認(rèn)識(shí)是必要的。因?yàn)槊總€(gè)組織的風(fēng)險(xiǎn)是獨(dú)一無(wú)二的，隨著其使用的IT和ICS的，用于實(shí)現(xiàn)由框架所描述的結(jié)果的工具和方法會(huì)有所不同。認(rèn)識(shí)到隱私和公民自由的保護(hù)，提高公眾的信任所扮演的角色，執(zhí)行命令要求該框架包括一個(gè)方法來(lái)保護(hù)個(gè)人隱私和公民自由時(shí)，重要的基礎(chǔ)設(shè)施組織開(kāi)展網(wǎng)絡(luò)安全的活動(dòng)。許多組織已經(jīng)有了解決隱私和公民自由的過(guò)程。該方法的目的是補(bǔ)充這些過(guò)程，并提供指導(dǎo)，以促進(jìn)隱私風(fēng)險(xiǎn)管理與組織的方法，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一致的。集成的隱私和網(wǎng)絡(luò)安全可以通過(guò)增加客戶的信心，讓更多的標(biāo)準(zhǔn)化的信息共享，并在法律制度簡(jiǎn)化操作獲益的組織。1 Order13636,DCPD-201300091,12,2013./fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf2 DHSprogramprovidesaofandassociated為確保可擴(kuò)展性，使技術(shù)創(chuàng)新，架構(gòu)是技術(shù)中立的。該框架依賴于各種現(xiàn)有的標(biāo)準(zhǔn)，準(zhǔn)則和措施，使關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)商，實(shí)現(xiàn)彈性。依靠這些全球性的標(biāo)準(zhǔn)，指南和開(kāi)發(fā)，管理，及行業(yè)更新的做法，可實(shí)現(xiàn)的成果框架的工具和方法將規(guī)?？缭絿?guó)界，承認(rèn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的全球性，并發(fā)展與技術(shù)的進(jìn)步和業(yè)務(wù)要求。利用現(xiàn)有的和新興的標(biāo)準(zhǔn)，使規(guī)模經(jīng)濟(jì)和推動(dòng)有效的產(chǎn)品，服務(wù)和實(shí)踐，滿足確定市場(chǎng)需求的發(fā)展。市場(chǎng)競(jìng)爭(zhēng)也促進(jìn)了這些技術(shù)和做法，實(shí)現(xiàn)了利益相關(guān)者，這些行業(yè)很多好處更快的傳播。從這些標(biāo)準(zhǔn)，準(zhǔn)則和慣例建立，框架提供了常用的分類和機(jī)制組織：1）形容自己目前網(wǎng)絡(luò)安全的姿勢(shì);2）描述自己的目標(biāo)狀態(tài)，網(wǎng)絡(luò)安全;3）確定并優(yōu)先用于連續(xù)和重復(fù)的過(guò)程的范圍內(nèi)改善的機(jī)會(huì);4）評(píng)估向目標(biāo)狀態(tài)的進(jìn)展;5）溝通有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的內(nèi)部和外部利益相關(guān)者之間。該框架的補(bǔ)充，而不會(huì)取代，一個(gè)組織的風(fēng)險(xiǎn)管理流程和網(wǎng)絡(luò)安全方案。該組織可以利用其現(xiàn)有流程，并充分利用該框架來(lái)尋找機(jī)會(huì)，加強(qiáng)和溝通的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理，同時(shí)與行業(yè)慣例調(diào)整?？商鎿Q地，不具有現(xiàn)有的網(wǎng)絡(luò)安全方案的組織可以使用框架作為基準(zhǔn)，建立1。正如框架不是特定行業(yè)，標(biāo)準(zhǔn)，準(zhǔn)則和慣例的通用分類法，它也提供了不特定國(guó)家。在美國(guó)以外的機(jī)構(gòu)也可以使用框架來(lái)加強(qiáng)自身的網(wǎng)絡(luò)安全的努力，以及該框架可以促進(jìn)發(fā)展的共同語(yǔ)言對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全國(guó)際合作。在視圖框架工作該框架是一個(gè)基于風(fēng)險(xiǎn)的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并且由三部分組成：核心框架，該框架的實(shí)施層級(jí)和架構(gòu)配置文件。每個(gè)框架組件強(qiáng)化業(yè)務(wù)驅(qū)動(dòng)和網(wǎng)絡(luò)安全的活動(dòng)之間的聯(lián)系。下面這些部件進(jìn)行說(shuō)明。?該框架的核心是一套網(wǎng)絡(luò)安全的活動(dòng)，期望的結(jié)果，而且是通用的關(guān)鍵基礎(chǔ)設(shè)施部門(mén)適用的參考。核心呈現(xiàn)的方式，允許對(duì)網(wǎng)絡(luò)安全的活動(dòng)的溝通和跨組織的成果從行政級(jí)別來(lái)實(shí)施/運(yùn)營(yíng)層面的行業(yè)標(biāo)準(zhǔn)，準(zhǔn)則和慣例。該框架的核心是由五個(gè)并發(fā)和連續(xù)函數(shù)，確定，保護(hù)，檢測(cè)，響應(yīng)，恢復(fù)的。當(dāng)一起考慮，這些功能提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)組織的管理生命周期的一個(gè)高層次的，戰(zhàn)略的眼光。該框架的核心，然后確定相關(guān)主要類別和子類別的每個(gè)功能，并以實(shí)例參考性文獻(xiàn)，如現(xiàn)有標(biāo)準(zhǔn)，指南，并為每個(gè)子目錄的做法符合他們。?框架實(shí)施層級(jí)（“層”）提供上下文對(duì)一個(gè)組織如何觀看網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并在適當(dāng)?shù)某绦騺?lái)管理風(fēng)險(xiǎn)。層描述的程度，一個(gè)組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐中表現(xiàn)出的框架（如，風(fēng)險(xiǎn)和威脅感知，可重復(fù)和自適應(yīng)）所定義的特征。這些層在一定范圍內(nèi)表征一個(gè)組織的做法，從部分（第1層），以自適應(yīng)（第4層）。這些層級(jí)反映非正式的，無(wú)響應(yīng)的進(jìn)程來(lái)是敏捷和風(fēng)險(xiǎn)告知的方法。在第一級(jí)選擇過(guò)程中，組織應(yīng)考慮其目前的風(fēng)險(xiǎn)管理措施，威脅環(huán)境，法律和監(jiān)管規(guī)定，業(yè)務(wù)/任務(wù)目標(biāo)和組織約束。?一個(gè)框架配置文件（“檔案”）代表需要一個(gè)組織已經(jīng)從框架類別和子類別選擇的基于業(yè)務(wù)的成果。配置文件可以被定性為標(biāo)準(zhǔn)，準(zhǔn)則和慣例的對(duì)齊方式Framework核心在一個(gè)特定的實(shí)施方案。配置文件可用于通過(guò)比較“當(dāng)前”個(gè)人資料以確定改進(jìn)網(wǎng)絡(luò)安全姿勢(shì)的機(jī)會(huì)（在“按原樣”狀態(tài)）與“目標(biāo)”個(gè)人資料（在“是”的狀態(tài)）。要開(kāi)發(fā)一個(gè)配置文件，一個(gè)組織可以查看所有類別和子類別，并根據(jù)業(yè)務(wù)驅(qū)動(dòng)因素和風(fēng)險(xiǎn)評(píng)估，確定哪些是最重要的，他們可以根據(jù)需要來(lái)滿足組織的風(fēng)險(xiǎn)增加類別和子類別。當(dāng)前配置文件可以被用來(lái)支持優(yōu)先級(jí)和向著目標(biāo)配置文件進(jìn)度測(cè)量，而在其他的業(yè)務(wù)需求，包括成本效益和創(chuàng)新保理。配置文件可以被用來(lái)進(jìn)行自我評(píng)估，并在組織內(nèi)部或組織之間的溝通。風(fēng)險(xiǎn)管理是識(shí)別，評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)的持續(xù)過(guò)程。管理風(fēng)險(xiǎn)，企業(yè)應(yīng)該明白，將會(huì)發(fā)生一個(gè)事件的可能性和由此產(chǎn)生的影響。有了這些信息，企業(yè)可以決定可接受的風(fēng)險(xiǎn)水平提供服務(wù)，并可以表達(dá)這是他們的風(fēng)險(xiǎn)承受能力。隨著風(fēng)險(xiǎn)承受能力有所了解，企業(yè)可以優(yōu)先考慮網(wǎng)絡(luò)安全的活動(dòng)，使企業(yè)能夠做出關(guān)于網(wǎng)絡(luò)安全支出明智的決定。風(fēng)險(xiǎn)管理計(jì)劃的實(shí)施提供了組織量化和溝通調(diào)整其網(wǎng)絡(luò)安全計(jì)劃的能力。組織可以選擇處理以不同的方式，包括減輕風(fēng)險(xiǎn)，轉(zhuǎn)移風(fēng)險(xiǎn)，從而避免了風(fēng)險(xiǎn)，或接受的風(fēng)險(xiǎn)，這取決于對(duì)關(guān)鍵服務(wù)的遞送的潛在影響的風(fēng)險(xiǎn)。該框架使用的風(fēng)險(xiǎn)管理流程，使組織有關(guān)網(wǎng)絡(luò)安全通知和優(yōu)先決定。它支持經(jīng)常性的風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)驅(qū)動(dòng)的驗(yàn)證，以幫助企業(yè)選擇目標(biāo)國(guó)家網(wǎng)絡(luò)安全的活動(dòng)，反映了期望的結(jié)果。因此，該框架使企業(yè)能夠動(dòng)態(tài)地選擇和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理為IT和ICS的環(huán)境中直接改善的能力該框架是自適應(yīng)，提供一個(gè)靈活的，基于風(fēng)險(xiǎn)的實(shí)現(xiàn)，它可以與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理過(guò)程的一系列廣泛使用。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程的例子包括國(guó)際標(biāo)準(zhǔn)化組織（ISO）31000:20093，ISO/IEC27005:20114，國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的特別出版物（SP）800-395，以及電力界別分組網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程（RMP）guideline6。文檔概述本文檔的其余部分包含以下章節(jié)和附錄：?第2節(jié)描述了框架的組成部分：框架核心的層級(jí)，以及配置文件。?第3節(jié)介紹了該框架可以使用的例子。?附錄A給出了核心框架以表格格式：的功能，類別，子類別，并參考性文獻(xiàn)。?附錄B中包含選定的術(shù)語(yǔ)表。?附錄C列出本文件中用到的縮寫(xiě)詞。3 management–and31000:2009,2009.4 Informationtechnology––Informationmanagement,27005:2011,2011.5 ForceManagingOrganization,andInformation800-39,March2011.6 ofSubsectorManagementProcess,DOE/OE-0003,May2012.%20Final%20-%20May%202012.pdf2.0 基本框架該框架提供了一種共同語(yǔ)言的理解，管理，以及內(nèi)部和外部表達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它可以用來(lái)幫助識(shí)別和優(yōu)先降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的行動(dòng)，這是調(diào)整政策，業(yè)務(wù)和技術(shù)方法來(lái)管理這種風(fēng)險(xiǎn)的工具。它可用于在整個(gè)組織管理的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，或者它可以集中在一個(gè)組織內(nèi)的輸送關(guān)鍵服務(wù)。不同類型的實(shí)體-包括部門(mén)的協(xié)調(diào)機(jī)構(gòu)，協(xié)會(huì)和組織-可以使用框架為不同的目的，包括建立共同的配置文件中?？蚣艿暮诵腇rameworkCore該框架的核心元素結(jié)合在一起的工作方式如下：?功能組織基本的網(wǎng)絡(luò)安全活動(dòng)的最高水平。這些功能是識(shí)別，保護(hù)，檢測(cè)，響應(yīng)和恢復(fù)。他們幫助一個(gè)組織中表達(dá)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其通過(guò)組織信息化管理，使風(fēng)險(xiǎn)管理決策，應(yīng)對(duì)威脅，并從以往的活動(dòng)學(xué)習(xí)提高。該功能還配合現(xiàn)有方法的事件管理和幫助表示投資的網(wǎng)絡(luò)安全帶來(lái)的影響。例如，在規(guī)劃和演習(xí)的投資支持及時(shí)響應(yīng)和恢復(fù)行動(dòng)，導(dǎo)致對(duì)服務(wù)的交付減少的影響。?分類是一個(gè)功能的細(xì)分到網(wǎng)絡(luò)安全的成果緊密聯(lián)系在一起的綱領(lǐng)性需求和特定活動(dòng)的團(tuán)體。類別的例子包括“資產(chǎn)管理”，“訪問(wèn)控制”和“檢測(cè)過(guò)程?！?子類別進(jìn)一步劃分一個(gè)類別為技術(shù)和/或管理活動(dòng)的具體成果。他們提供了一個(gè)結(jié)果集，雖然并不詳盡，幫助支持實(shí)現(xiàn)在每個(gè)類別??的成果。子類別的例子包括：“外部信息系統(tǒng)進(jìn)行編目”，“數(shù)據(jù)的靜止是被保護(hù)的”，和“從檢測(cè)系統(tǒng)通知進(jìn)行了研究?！?參考性文獻(xiàn)的標(biāo)準(zhǔn)，準(zhǔn)則和關(guān)鍵基礎(chǔ)設(shè)施部門(mén)，說(shuō)明的方法，以實(shí)現(xiàn)與各子類別相關(guān)的結(jié)果之間的共同做法的具體章節(jié)。在核心框架提出的參考性文獻(xiàn)是說(shuō)明性的，并非詳盡無(wú)遺。他們是基于跨部門(mén)的指導(dǎo)框架開(kāi)發(fā)process.7過(guò)程中最經(jīng)常被引用的五個(gè)框架核心功能定義如下。這些功能不是為了形成一個(gè)串行路徑，或?qū)е蚂o態(tài)理想的最終狀態(tài)。相反，該??函數(shù)可以同時(shí)和連續(xù)地進(jìn)行，以形成解決了動(dòng)態(tài)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的操作培養(yǎng)。見(jiàn)附錄A的完整框架核心上市。?識(shí)別-開(kāi)發(fā)組織的理解來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的系統(tǒng)，資產(chǎn)，數(shù)據(jù)和功能。在識(shí)別功能的活動(dòng)是基本有效使用框架。了解業(yè)務(wù)環(huán)境，支持關(guān)鍵職能的資源，以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，使組織能夠集中和優(yōu)先努力，憑借其風(fēng)險(xiǎn)管理策略和業(yè)務(wù)需求保持一致。此功能在結(jié)果分類的例子包括：資產(chǎn)管理，商業(yè)環(huán)境，治理，風(fēng)險(xiǎn)評(píng)估，以及風(fēng)險(xiǎn)管理策略。?保護(hù)-制定并實(shí)施相應(yīng)的保障措施，以確保提供重要的基礎(chǔ)設(shè)施服務(wù)。保護(hù)功能支持限制或含有潛在的網(wǎng)絡(luò)安全事件的影響的能力。此功能在結(jié)果分類的例子包括：訪問(wèn)控制，意識(shí)和培訓(xùn)，數(shù)據(jù)安全，信息保護(hù)流程和程序;維護(hù);和保護(hù)技術(shù)。?檢測(cè)-制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，以識(shí)別網(wǎng)絡(luò)安全事件的發(fā)生。該檢測(cè)功能能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。此功能在結(jié)果分類的例子包括：異常和事件;安全連續(xù)監(jiān)測(cè)，以及檢測(cè)過(guò)程。?響應(yīng)-制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，以采取有關(guān)檢測(cè)到的網(wǎng)絡(luò)安全事件的行動(dòng)。7developedaoffromthe(RFI)duringthedevelopmentprocess.CompendiumandTheCompendiumbeanratherabasedonTheCompendiumandcanbeat該響應(yīng)函數(shù)支持包含一個(gè)潛在的網(wǎng)絡(luò)安全事件的影響的能力。此功能在結(jié)果分類的例子包括：響應(yīng)計(jì)劃;通訊，分析，減災(zāi);和改進(jìn)。?恢復(fù)-制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，以保持計(jì)劃的彈性和還原是由于網(wǎng)絡(luò)安全事件受損的任何功能或服務(wù)。該恢復(fù)功能支持及時(shí)恢復(fù)到正常的操作，以減少?gòu)木W(wǎng)絡(luò)安全事件的影響。此功能在結(jié)果分類的例子包括：恢復(fù)規(guī)劃;改進(jìn);和通信。框架實(shí)現(xiàn)層級(jí)該框架的實(shí)施層級(jí)（“層”）提供上下文對(duì)一個(gè)組織如何觀看網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并在適當(dāng)?shù)某绦騺?lái)管理風(fēng)險(xiǎn)。該層級(jí)的范圍從部分（第1層），以自適應(yīng)（第4層），并描述了嚴(yán)謹(jǐn)和復(fù)雜的程度增加網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理做法，其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是由業(yè)務(wù)需求了解并集成到一個(gè)組織的整體風(fēng)險(xiǎn)程度管理實(shí)踐。風(fēng)險(xiǎn)管理的考慮因素包括網(wǎng)絡(luò)安全的許多方面，包括其隱私和公民自由方面的考慮都融入的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和潛在的風(fēng)險(xiǎn)應(yīng)對(duì)組織的管理程度。第一級(jí)選擇過(guò)程中考慮企業(yè)當(dāng)前的風(fēng)險(xiǎn)管理做法，威脅環(huán)境，法律和監(jiān)管規(guī)定，業(yè)務(wù)/任務(wù)目標(biāo)和組織約束。組織應(yīng)確定所需的第一級(jí)，以確保所選擇的級(jí)別是否符合組織的目標(biāo)，是貫徹落實(shí)可行的，并降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要資產(chǎn)和資源，以接受該組織的水平。組織應(yīng)考慮利用來(lái)自聯(lián)邦政府部門(mén)和機(jī)構(gòu)，信息共享和分析中心（ISACS），現(xiàn)有的成熟度模型，或其他來(lái)源獲得的，以幫助確定自己想要的層外部指導(dǎo)。雖然組織認(rèn)定為一級(jí)（部分）鼓勵(lì)將考慮轉(zhuǎn)向方法2或更大，層級(jí)并不代表成熟度級(jí)別。發(fā)展到更高層級(jí)的鼓勵(lì)時(shí)，這樣的改變會(huì)降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并符合成本效益。成功實(shí)施該框架是基于成就組織的目標(biāo)配置文件（S），而不是在一線的決心所描述的結(jié)果時(shí)。該層定義如下：第1級(jí)：部分?風(fēng)險(xiǎn)管理程序-組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐沒(méi)有正式的，而且風(fēng)險(xiǎn)是在一個(gè)特設(shè)有時(shí)無(wú)的方式進(jìn)行管理。網(wǎng)絡(luò)安全的活動(dòng)的優(yōu)先順序，不得直接告知組織風(fēng)險(xiǎn)的目標(biāo)，威脅環(huán)境，或業(yè)務(wù)/任務(wù)需求。?集成的風(fēng)險(xiǎn)管理計(jì)劃-目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在組織層面認(rèn)識(shí)有限和整個(gè)組織的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)尚未確定。組織實(shí)施對(duì)不規(guī)則，逐案基礎(chǔ)上，由于豐富的經(jīng)驗(yàn)，或從外部來(lái)源獲得的信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。該組織可能沒(méi)有流程，使網(wǎng)絡(luò)安全信息可在組織內(nèi)共享。?外部參與-一個(gè)組織可能沒(méi)有到位的過(guò)程中參與的協(xié)調(diào)或協(xié)作與其他實(shí)體。第2層：風(fēng)險(xiǎn)知情?風(fēng)險(xiǎn)管理流程-風(fēng)險(xiǎn)管理實(shí)踐均經(jīng)管理層批準(zhǔn)，但可能不被確立為組織范圍的策略。網(wǎng)絡(luò)安全的活動(dòng)的優(yōu)先順序是直接告知組織風(fēng)險(xiǎn)的目標(biāo)，威脅環(huán)境，或業(yè)務(wù)/任務(wù)需求。?集成的風(fēng)險(xiǎn)管理計(jì)劃-目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在組織水平，但全組織的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)尚未建立的意識(shí)。風(fēng)險(xiǎn)告知，管理層批準(zhǔn)的過(guò)程和程序都定義和實(shí)現(xiàn)，以及工作人員有足夠的資源來(lái)履行其網(wǎng)絡(luò)安全的職責(zé)。網(wǎng)絡(luò)安全信息上非正式地在組織內(nèi)共享。?外部參與-組織知道它在更大的生態(tài)系統(tǒng)的作用，但還沒(méi)有正式確定了其功能，對(duì)外交流和共享信息。第3層：可重復(fù)?風(fēng)險(xiǎn)管理程序-該組織的風(fēng)險(xiǎn)管理做法被正式批準(zhǔn)，并表示為政策。組織網(wǎng)絡(luò)安全的做法是定期更新的基礎(chǔ)上的風(fēng)險(xiǎn)管理程序的應(yīng)用，以改變業(yè)務(wù)/任務(wù)要求和不斷變化的威脅和技術(shù)的景觀。?集成的風(fēng)險(xiǎn)管理計(jì)劃-有一個(gè)組織范圍內(nèi)的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。是風(fēng)險(xiǎn)告知政策，流程和程序中定義，實(shí)現(xiàn)為目的，并審查。一致的方法已到位，有效地改變應(yīng)對(duì)風(fēng)險(xiǎn)。人員具備的知識(shí)和技能，以履行其指定的角色和責(zé)任。?外部參與-組織了解其依賴關(guān)系和合作伙伴，并從這些合作伙伴，使協(xié)作和組織內(nèi)部基于風(fēng)險(xiǎn)的管理決策響應(yīng)事件接收信息。第4級(jí)：自適應(yīng)?風(fēng)險(xiǎn)管理流程-基于經(jīng)驗(yàn)教訓(xùn)，并從以往和當(dāng)前網(wǎng)絡(luò)安全的活動(dòng)所產(chǎn)生的預(yù)測(cè)指標(biāo)，該組織適應(yīng)其網(wǎng)絡(luò)安全的做法。通過(guò)不斷完善結(jié)合先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和實(shí)踐的過(guò)程中，組織積極適應(yīng)不斷變化的網(wǎng)絡(luò)安全景觀和響應(yīng)不斷變化，并及時(shí)復(fù)雜的安全威脅。?集成的風(fēng)險(xiǎn)管理計(jì)劃-有一個(gè)組織范圍內(nèi)的方法來(lái)管理使用風(fēng)險(xiǎn)告知政策，流程和程序，以解決潛在的網(wǎng)絡(luò)安全事件的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是組織文化的一部分，從以前的活動(dòng)，通過(guò)其他渠道共享信息，并在他們的系統(tǒng)和網(wǎng)絡(luò)活動(dòng)的意識(shí)不斷的認(rèn)識(shí)演進(jìn)。?外部參與-組織管理風(fēng)險(xiǎn)，并積極分享信息與合作伙伴，以確保準(zhǔn)確，及時(shí)的信息的分發(fā)和消費(fèi)的一個(gè)網(wǎng)絡(luò)安全事件發(fā)生之前，以改善網(wǎng)絡(luò)安全?？蚣芎?jiǎn)介該框架配置文件（“檔案”）是函數(shù)，類別和子類別的業(yè)務(wù)需求，風(fēng)險(xiǎn)承受能力，以及資源組織的對(duì)齊方式。一個(gè)側(cè)影使組織能夠建立一個(gè)路線圖，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是很好用的組織和部門(mén)的目標(biāo)一致，認(rèn)為法律/法規(guī)要求和行業(yè)最佳實(shí)踐，并體現(xiàn)了風(fēng)險(xiǎn)管理的優(yōu)先事項(xiàng)。鑒于許多組織的復(fù)雜性，他們可以選擇有多個(gè)配置文件，特別組件，并認(rèn)識(shí)他們的個(gè)人需求保持一致?？蚣芘渲梦募梢杂脕?lái)形容當(dāng)前的狀態(tài)或特定的網(wǎng)絡(luò)安全活動(dòng)所需的目標(biāo)狀態(tài)。當(dāng)前配置文件的指示，目前正在取得的網(wǎng)絡(luò)安全成果。目標(biāo)資料表明以實(shí)現(xiàn)所需的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)所需要的結(jié)果。配置文件支持業(yè)務(wù)/任務(wù)需求，并有助于風(fēng)險(xiǎn)的內(nèi)部和組織之間的溝通。此框架文件沒(méi)有規(guī)定個(gè)人資料模板，允許在實(shí)施的靈活性。配置文件（例如，當(dāng)前配置和目標(biāo)配置文件）的比較可發(fā)現(xiàn)差距加以解決，以滿足網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理目標(biāo)。一項(xiàng)行動(dòng)計(jì)劃，以解決這些差距可以促進(jìn)上述路線圖。減緩差距的優(yōu)先次序是由組織的業(yè)務(wù)需求和風(fēng)險(xiǎn)管理流程驅(qū)動(dòng)的。這種基于風(fēng)險(xiǎn)的方法使組織能夠衡量資源估算（如人員，資金）來(lái)實(shí)現(xiàn)具有成本效益的，優(yōu)先的方式網(wǎng)絡(luò)安全的目標(biāo)。協(xié)調(diào)框架的實(shí)施圖2描述的信息，并決定組織內(nèi)部的共同流量為以下幾個(gè)層次：?執(zhí)行?業(yè)務(wù)/流程?實(shí)施/運(yùn)營(yíng)行政級(jí)別通信的任務(wù)優(yōu)先級(jí)，可利用的資源，以及整體風(fēng)險(xiǎn)承受能力到業(yè)務(wù)/流程層面。業(yè)務(wù)/流程層面使用信息作為輸入到風(fēng)險(xiǎn)管理過(guò)程，然后與合作的實(shí)施/運(yùn)營(yíng)級(jí)通信業(yè)務(wù)需求，并創(chuàng)建一個(gè)配置文件。實(shí)施/運(yùn)營(yíng)級(jí)通信的個(gè)人資料實(shí)施進(jìn)展情況向業(yè)務(wù)/流程層面。業(yè)務(wù)/流程層面使用這些信息來(lái)進(jìn)行影響評(píng)估。業(yè)務(wù)/流程層面的管理報(bào)告，影響評(píng)估的結(jié)果，以行政級(jí)別來(lái)通知該組織的整體風(fēng)險(xiǎn)管理程序，并實(shí)施/操作對(duì)業(yè)務(wù)的影響的認(rèn)識(shí)水平。Flowswithin3.0如何使用框架基本審查網(wǎng)絡(luò)安全實(shí)踐該框架可用于與本框架的核心概括比較組織當(dāng)前網(wǎng)絡(luò)安全的活動(dòng)。通過(guò)創(chuàng)建一個(gè)當(dāng)前的配置文件，組織可以檢查它們所實(shí)現(xiàn)的核心類別和子類別描述的結(jié)果，與五高層次的功能一致的程度：識(shí)別，保護(hù)，檢測(cè)，響應(yīng)和恢復(fù)。一個(gè)組織可能會(huì)發(fā)現(xiàn)它已經(jīng)達(dá)到理想的結(jié)果，因此，網(wǎng)絡(luò)安全管理與已知的風(fēng)險(xiǎn)相稱。相反，一個(gè)組織可以判定它有機(jī)會(huì)（或需要）提高。該組織可以利用這些信息來(lái)制定一項(xiàng)行動(dòng)計(jì)劃，以加強(qiáng)現(xiàn)有的網(wǎng)絡(luò)安全實(shí)踐，并降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。一個(gè)組織也可能會(huì)發(fā)現(xiàn)，它是過(guò)度投資達(dá)到一定的成果。該組織可以使用此信息來(lái)重新確定優(yōu)先次序資源，加強(qiáng)網(wǎng)絡(luò)安全的其他行為。雖然他們并不能取代風(fēng)險(xiǎn)管理程序，這五個(gè)高水平的功能將會(huì)對(duì)高級(jí)管理人員和其他人提供了一個(gè)簡(jiǎn)潔的方式來(lái)提煉的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的基本概念，使他們能夠評(píng)估如何識(shí)別風(fēng)險(xiǎn)的管理，以及如何組織他們的書(shū)庫(kù)在高達(dá)針對(duì)現(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，準(zhǔn)則和慣例的高水平。該框架還可以幫助企業(yè)回答的基本問(wèn)題，包括“是怎樣的呢？”然后，他們可以在一個(gè)更明智的方式來(lái)加強(qiáng)其網(wǎng)絡(luò)安全的做法認(rèn)為有必要在何時(shí)何地移動(dòng)。下面的步驟說(shuō)明如何組織可以使用該框架來(lái)創(chuàng)建一個(gè)新的網(wǎng)絡(luò)安全程序或改進(jìn)現(xiàn)有的程序。應(yīng)重復(fù)這些步驟，要不斷提高網(wǎng)絡(luò)安全。第1步：優(yōu)先和范圍。該組織確定其業(yè)務(wù)/任務(wù)目標(biāo)和高層次的組織優(yōu)先事項(xiàng)。有了這些信息，組織公司對(duì)于網(wǎng)絡(luò)安全的實(shí)現(xiàn)戰(zhàn)略決策，并確定系統(tǒng)和支持選定的業(yè)務(wù)線或過(guò)程資產(chǎn)的范圍。該框架可適應(yīng)以支持組織內(nèi)的不同業(yè)務(wù)線或過(guò)程，也可以有不同的業(yè)務(wù)需求和相關(guān)的風(fēng)險(xiǎn)承受能力。第2步：東方。一旦網(wǎng)絡(luò)安全方案的范圍已確定為業(yè)務(wù)線或過(guò)程，組織確定了相關(guān)制度和資產(chǎn)，監(jiān)管要求和整體風(fēng)險(xiǎn)的方法。然后，組織識(shí)別威脅，而且，這些系統(tǒng)和資產(chǎn)脆弱性。第3步：創(chuàng)建一個(gè)當(dāng)前配置文件。該組織通過(guò)指示其分類，并從框架核心子目錄成果，目前正在實(shí)現(xiàn)開(kāi)發(fā)一個(gè)當(dāng)前配置文件。第4步：進(jìn)行風(fēng)險(xiǎn)評(píng)估。這項(xiàng)評(píng)估可能由該組織的整體風(fēng)險(xiǎn)管理過(guò)程中或以前的風(fēng)險(xiǎn)評(píng)估活動(dòng)的指導(dǎo)。該組織分析經(jīng)營(yíng)環(huán)境，以識(shí)別一個(gè)網(wǎng)絡(luò)安全事件的可能性和該事件可能對(duì)組織的影響。重要的是，組織爭(zhēng)取把新的風(fēng)險(xiǎn)和威脅和漏洞數(shù)據(jù)，以便充分理解的可能性和網(wǎng)絡(luò)安全事件的影響。第5步：創(chuàng)建目標(biāo)配置文件。該組織創(chuàng)建目標(biāo)配置文件，側(cè)重于框架類別和子類別描述了組織的期望的網(wǎng)絡(luò)安全成果的評(píng)估。組織也可以開(kāi)發(fā)自己的額外的類別和子類別占到獨(dú)特的組織風(fēng)險(xiǎn)。創(chuàng)建目標(biāo)配置文件時(shí)，該組織也可考慮影響和外部利益相關(guān)者的要求，如部門(mén)實(shí)體，客戶和業(yè)務(wù)合作伙伴。第6步：確定，分析和優(yōu)先差距。該組織比較了當(dāng)前配置和目標(biāo)配置文件，以確定差距。接著，它會(huì)創(chuàng)建一個(gè)優(yōu)先行動(dòng)計(jì)劃，以解決這些差距的借鑒使命的驅(qū)動(dòng)程序，成本/效益分析，以及對(duì)風(fēng)險(xiǎn)的理解，以達(dá)到在目標(biāo)配置文件的結(jié)果。該組織然后確定需要解決的差距的資源。以這種方式使用配置文件使組織能夠做出有關(guān)網(wǎng)絡(luò)安全的活動(dòng)明智的決定，支持風(fēng)險(xiǎn)管理，使組織能夠進(jìn)行具有成本效益的，有針對(duì)性的改進(jìn)。步驟7：實(shí)施行動(dòng)計(jì)劃。該組織決定要采取的措施的問(wèn)候的間隙，如果有的話，在先前步驟中確定的。然后它會(huì)監(jiān)視對(duì)目標(biāo)配置文件目前網(wǎng)絡(luò)安全的做法。為進(jìn)一步指導(dǎo)，框架識(shí)別有關(guān)類別和子類別的例子參考性文獻(xiàn)，但組織應(yīng)確定哪些標(biāo)準(zhǔn)，準(zhǔn)則和做法，包括那些特定行業(yè)，最適合他們的需要。根據(jù)需要不斷評(píng)估和改進(jìn)其網(wǎng)絡(luò)安全的組織可能會(huì)重復(fù)這些步驟。例如，組織可能會(huì)發(fā)現(xiàn)，東方步驟更加頻繁重復(fù)提高風(fēng)險(xiǎn)評(píng)估的質(zhì)量。此外，組織可以通過(guò)迭代更新到當(dāng)前的配置文件監(jiān)測(cè)進(jìn)展情況，隨后比較當(dāng)前配置文件到目標(biāo)配置文件。組織也可以利用這個(gè)過(guò)程來(lái)自己理想的框架實(shí)現(xiàn)層調(diào)整其網(wǎng)絡(luò)安全計(jì)劃。通信網(wǎng)絡(luò)安全需求與利益相關(guān)者該框架提供了一個(gè)共同的語(yǔ)言進(jìn)行溝通負(fù)責(zé)必不可少的關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的提供相互依存的利益相關(guān)者的要求。實(shí)例包括：?一個(gè)組織可能利用目標(biāo)配置文件來(lái)表達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求，外部服務(wù)提供商（例如，一個(gè)云提供商它所導(dǎo)出的數(shù)據(jù)）。?一個(gè)組織可以通過(guò)當(dāng)前的配置文件表示其網(wǎng)絡(luò)安全狀態(tài)報(bào)告結(jié)果或與收購(gòu)的要求進(jìn)行比較。?一個(gè)重要的基礎(chǔ)設(shè)施所有者/經(jīng)營(yíng)者，在確定對(duì)其中的基礎(chǔ)設(shè)施依賴外部合作伙伴，可以使用目標(biāo)配置文件來(lái)傳達(dá)所需的類別和子類別。?一個(gè)重要的基礎(chǔ)設(shè)施部門(mén)可以設(shè)立一個(gè)目標(biāo)配置文件，可以使用它的成分中作為一個(gè)初始基線資料，以建立自己的定制目標(biāo)配置文件。本節(jié)介紹了所要求的行政命令來(lái)解決個(gè)人隱私和公民自由的影響，可能導(dǎo)致網(wǎng)絡(luò)安全業(yè)務(wù)的一種方法。這種方法的目的是因?yàn)殡[私和公民自由的影響可能會(huì)有所不同部門(mén)或隨著時(shí)間的推移和組織可以解決這些方面的考慮和流程，一系列的技術(shù)實(shí)現(xiàn)一般設(shè)置注意事項(xiàng)和流程。然而，在一個(gè)網(wǎng)絡(luò)安全方案并非所有的活動(dòng)，可能這些因素引起。符合第3.4節(jié)，技術(shù)保密標(biāo)準(zhǔn)，準(zhǔn)則和其他最佳做法可能需要開(kāi)發(fā)支持改進(jìn)的技術(shù)實(shí)現(xiàn)。當(dāng)個(gè)人信息的使用，收集，處理，保存，或與一個(gè)組織的網(wǎng)絡(luò)安全活動(dòng)有關(guān)的披露可能出現(xiàn)的隱私和公民自由問(wèn)題。那熊隱私或公民自由方面的考慮活動(dòng)的一些例子可能包括：網(wǎng)絡(luò)安全的活動(dòng)，導(dǎo)致過(guò)度采集或過(guò)度保留的個(gè)人信息;披露無(wú)關(guān)的網(wǎng)絡(luò)安全活動(dòng)的個(gè)人信息或使用，這導(dǎo)致拒絕網(wǎng)絡(luò)安全減災(zāi)活動(dòng)服務(wù)或其他類似的潛在的不利影響，包括活動(dòng)，如某些類型的事件檢測(cè)或監(jiān)測(cè)可能影響言論或結(jié)社的自由。政府的政府和代理商有直接的責(zé)任，以保護(hù)網(wǎng)絡(luò)安全的活動(dòng)所產(chǎn)生的公民自由。參考下文的方法，政府或擁有或經(jīng)營(yíng)的關(guān)鍵基礎(chǔ)設(shè)施，政府的代理人應(yīng)該有一個(gè)過(guò)程，以支持遵守適用的隱私法律，法規(guī)和憲法要求網(wǎng)絡(luò)安全的活動(dòng)。為了解決隱私問(wèn)題，企業(yè)可以考慮怎么樣，而該等措施是適當(dāng)?shù)?，他們的網(wǎng)絡(luò)安全程序可能包含隱私原則，例如：盡量減少數(shù)據(jù)的收集，披露和保留相關(guān)的網(wǎng)絡(luò)安全事件的個(gè)人信息資料的;使用限制對(duì)專門(mén)針對(duì)網(wǎng)絡(luò)安全的活動(dòng)收集的任何信息網(wǎng)絡(luò)安全的活動(dòng)外，對(duì)某些網(wǎng)絡(luò)安全的活動(dòng)的透明度;個(gè)人同意和補(bǔ)救措施的使用在網(wǎng)絡(luò)安全活動(dòng)的個(gè)人信息而產(chǎn)生的不利影響;數(shù)據(jù)質(zhì)量，完整性和安全性，以及問(wèn)責(zé)制和審計(jì)。隨著組織評(píng)估框架核心附錄A中，下列過(guò)程和活動(dòng)可被視為一種手段，以解決上面提到的隱私和公民自由的含義：的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理?網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)的一個(gè)組織的評(píng)估和潛在的風(fēng)險(xiǎn)應(yīng)對(duì)措施考慮其網(wǎng)絡(luò)安全計(jì)劃的隱私問(wèn)題?個(gè)人與網(wǎng)絡(luò)安全相關(guān)的隱私責(zé)任報(bào)告適當(dāng)?shù)墓芾砗拖鄳?yīng)培訓(xùn)?過(guò)程是否到位，以支持遵守適用的隱私法律，法規(guī)和憲法規(guī)定的網(wǎng)絡(luò)安全活動(dòng)?過(guò)程是否到位，以評(píng)估實(shí)施上述組織措施和控制途徑識(shí)別和授權(quán)的個(gè)人訪問(wèn)組織資產(chǎn)和系統(tǒng)?采取措施以識(shí)別和解決訪問(wèn)控制措施的隱私問(wèn)題的范圍內(nèi)，它們涉及個(gè)人信息的收集，披露，使用或意識(shí)和培訓(xùn)措施?從組織的隱私政策適用的信息包含在網(wǎng)絡(luò)安全工作人員的培訓(xùn)和宣傳活動(dòng)?服務(wù)提供商為組織提供網(wǎng)絡(luò)安全相關(guān)的服務(wù)都被告知該組織的適用的隱私政策異常活動(dòng)的檢測(cè)以及系統(tǒng)和資產(chǎn)監(jiān)控?過(guò)程是否到位進(jìn)行組織的異?；顒?dòng)的檢測(cè)和網(wǎng)絡(luò)安全監(jiān)控的隱私審查應(yīng)對(duì)活動(dòng)，包括信息共享或其他減災(zāi)工作?過(guò)程是否到位，評(píng)估和應(yīng)對(duì)是否，何時(shí)，如何，以及在何種程度上的個(gè)人信息在組織外部共享作為網(wǎng)絡(luò)安全信息共享活動(dòng)的一部分?過(guò)程是否到位進(jìn)行組織的網(wǎng)絡(luò)安全減災(zāi)努力的隱私審查附錄A：核心框架本附錄介紹了核心框架：功能，類別，子類別，以及描述具體的網(wǎng)絡(luò)安全活動(dòng)，是通用的所有關(guān)鍵基礎(chǔ)設(shè)施部門(mén)參考性文獻(xiàn)的列表。為框架核心所選擇的演示文稿格式不提出一個(gè)具體的實(shí)施順序或暗示的學(xué)位類別，子類別，并參考性文獻(xiàn)的重要性。本附錄中給出的框架核心代表一組通用的管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的活動(dòng)。而框架并不詳盡，它是可擴(kuò)展的，允許組織，部門(mén)和其他實(shí)體使用子類別和參考性文獻(xiàn)是成本效益和效率，使他們能夠管理自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?；顒?dòng)可以從核心框架在配置文件創(chuàng)建過(guò)程中選擇和額外的類別，子類別，并參考性文獻(xiàn)可以被添加到配置文件。一個(gè)組織的風(fēng)險(xiǎn)管理流程，法律/監(jiān)管規(guī)定，業(yè)務(wù)/任務(wù)目標(biāo)，并組織約束引導(dǎo)配置文件創(chuàng)建在這些活動(dòng)的選擇。個(gè)人信息被認(rèn)為是評(píng)估安全風(fēng)險(xiǎn)和保護(hù)時(shí)，在分類中引用的數(shù)據(jù)或資產(chǎn)的一個(gè)組成部分。而在功能方面，分類和子類別確定的預(yù)期結(jié)果是相同的IT和ICS的，因?yàn)樗淖鲬?zhàn)環(huán)境和注意事項(xiàng)和ICS不同。ICS對(duì)現(xiàn)實(shí)世界中的直接作用，包括對(duì)健康和個(gè)人安全的潛在風(fēng)險(xiǎn)，以及對(duì)環(huán)境的影響。此外，ICS與它比較獨(dú)特的性能和可靠性要求，以及安全和效率的目標(biāo)必須實(shí)現(xiàn)網(wǎng)絡(luò)安全的措施時(shí)，必須考慮。為便于使用，該框架核心的每個(gè)組件被賦予一個(gè)唯一的標(biāo)識(shí)符。功能和類別都有一個(gè)唯一字母標(biāo)識(shí)符，如表1所示。每個(gè)類別??內(nèi)的子類別進(jìn)行了數(shù)值引用;每個(gè)子類別的唯一標(biāo)識(shí)符被包括在表2中。有關(guān)框架的其他證明材料可在NIST網(wǎng)站上的/cyberframework/找到。TableCategoryUniqueCategoryCategoryIDID.AMID.GVStrategyPRProtectPR.ACControlPR.ATTrainingPR.DSPR.IPProtectionProceduresPR.MAP.PTDEDE.AEandContinuousDE.DPProcessesPlanningRS.CORecoveryPlanning表2：框架核心CategorySubcategoryIDENTIFY(ID)(ID.AM):data,purposesaretheID.AM-1:devicesandtheareCCS1 COBIT5BAI09.01, 62443-2-1:2009 62443-3-3:20137.8 27001:2013NIST800-53Rev.4ID.AM-2:platformsorganizationareCCS2 COBIT5BAI09.01, 62443-2-1:2009 62443-3-3:20137.8 27001:2013NIST800-53Rev.4ID.AM-3:dataareCCS1COBIT5DSS05.02 62443-2-1:2009 27001:2013 NIST800-53Rev.4AC-4,CA-9,ID.AM-4:informationareCOBIT5APO02.02 27001:2013 NIST800-53Rev.4AC-20,ID.AM-5:data,arebasedon COBIT5APO03.03,APO03.04,BAI09.02 62443-2-1:2009 27001:2013 NIST800-53Rev.4CP-2,SA-14ID.AM-6:rolesare COBIT5APO01.02,DSS06.03 62443-2-1:2009.3 27001:2013CategorySubcategoryNIST800-53Rev.4PS-7,PM-11ID.BE-1:roleCOBIT5APO08.04,APO08.05,APO10.03,APO10.04,APO10.05supplychain27001:2013A.15.1.3,A.15.2.1,A.15.2.2NIST800-53Rev.4CP-2,ID.BE-2:placeandindustrycommunicated COBIT5APO02.06,APO03.01NIST800-53Rev.4PM-8ID.BE-3:are COBIT5APO02.01,APO02.06, 62443-2-1:2009, NIST800-53Rev.4areunderstoodinformandID.BE-4:anddeliveryofare 27001:2013A.11.2.2,A.11.2.3,A.12.1.3 NIST800-53Rev.4CP-8,PE-9,PE-11,PM-8,ID.BE-5:supportdeliveryofareCOBIT5DSS04.02 27001:2013A.11.1.4,A.17.1.1,A.17.1.2, NIST800-53Rev.4CP-2,CP-11,Governance(ID.GV):procedures,processesareinformtheofID.GV-1:policy COBIT5APO01.03,EDM01.02 62443-2-1:2009 27001:2013NIST800-53Rev.4fromID.GV-2:securityroles&arerolesexternalCOBIT5APO13.12 62443-2-1:2009.3 27001:2013A.7.2.1NIST800-53Rev.4ID.GV-3:and COBIT5MEA03.01,MEA03.04 62443-2-1:2009CategorySubcategoryprivacyandareunderstood 27001:2013NIST800-53Rev.4from(exceptPM-1)ID.GV-4:andriskprocessesaddressCOBIT5DSS04.02 62443-2-1:200,,,.3 NIST800-53Rev.4PM-11RiskAssessmentID.RA-1:areCCS4 COBIT5APO12.01,APO12.02,APO12.03,APO12.04 62443-2-1:20094.2.3,,2 27001:2013A.12.6.1,A.18.2.3 NIST800-53Rev.4CA-2,CA-8,RA-3,SA-5,SA-11,ID.RA-2:isfromand 62443-2-1:20094.2.3,, 27001:2013 NIST800-53Rev.4PM-16,riskID.RA-3:bothinternalare COBIT5APO12.01,APO12.02,APO12.03,APO12.04 62443-2-1:20094.2.3,, NIST800-53Rev.4RA-3,PM-12,PM-16orID.RA-4:impactsandareCOBIT5DSS04.02 62443-2-1:20094.2.3,, NIST800-53Rev.4RA-2,PM-9,PM-11,ID.RA-5:areusedriskCOBIT5APO12.02 27001:2013 NIST800-53Rev.4RA-2,PM-16ID.RA-6:responsesare COBIT5APO12.05,APO13.02CategorySubcategoryNIST800-53Rev.4PM-9RiskManagementStrategy(ID.RM):assumptionsaresupportID.RM-1:processesareagreedby COBIT5APO12.04,APO12.05,APO13.02,BAI02.03,BAI04.02 62443-2-1:2009NIST800-53Rev.4PM-9ID.RM-2:clearlyexpressedCOBIT5APO12.06 62443-2-1:2009.5NIST800-53Rev.4PM-9ID.RM-3:ofriskbyitsroleriskNIST800-53Rev.4PM-9,PM-11,PROTECT(PR)Control(PR.AC):PR.AC-1:areCCS16COBIT5DSS05.04,DSS06.0362443-2-1:200.162443-3-3:20131.1,1.2,1.3,devicesusers1.4,1.5,1.7,1.8,1.927001:2013A.9.2.2,A.9.2.4,A.9.3.1,A.9.4.2,NIST800-53Rev.4AC-2,IAandPR.AC-2:isCOBIT5DSS01.04,DSS05.05or62443-2-1:200.827001:2013A.11.1.1,A.11.1.2,andprotectedA.11.1.4,NIST800-53Rev.4PE-2,PE-3,PE5,PE-6,PE-9PR.AC-3:isCOBIT5APO13.01,DSS01.04,62443-2-1:200.662443-3-3:20131.13,2.627001:2013A.13.1.1,A.13.2.1CategorySubcategory NIST800-53Rev.4AC-17,PR.AC-4:aretheofofCCS12,15 62443-2-1:2009.3 62443-3-3:20132.1 27001:2013A.9.1.2,A.9.2.3,A.9.4.1, NIST800-53Rev.4AC-2,AC-5,AC-6,PR.AC-5:isprotected,network 62443-2-1:2009 62443-3-3:20133.1,3.8 27001:2013A.13.1.1,A.13.1.3,A.13.2.1NIST800-53Rev.4AC-4,Awarenessandareprovidedawarenessareadequatelyperformandprocedures,PR.AT-1:areinformedCCS9 COBIT5APO07.03,BAI05.07 62443-2-1:2009.2 27001:2013 NIST800-53Rev.4PM-13PR.AT-2:roles&CCS9 COBIT5APO07.02,DSS06.03 62443-2-1:2009.3 27001:2013A.7.2.2 NIST800-53Rev.4PM-13PR.AT-3:stakeholderscustomers,roles&CCS9 COBIT5APO07.03,APO10.04, 62443-2-1:2009.2 27001:2013NIST800-53Rev.4PS-7,PR.AT-4:roles&CCS9COBIT5APO07.03CategorySubcategory 62443-2-1:2009.2 27001:2013A.7.2.2, NIST800-53Rev.4PM-13PR.AT-5:andpersonnelroles&CCS9COBIT5APO07.03 62443-2-1:2009.2 27001:2013A.7.2.2, NIST800-53Rev.4PM-13DataandrecordsareriskstrategyprotectandofPR.DS-1:protectedCCS17 COBIT5APO01.06,BAI02.01,BAI06.01,DSS06.06 62443-3-3:20133.4,4.1 27001:2013NIST800-53Rev.4SC-28PR.DS-2:isprotectedCCS17 COBIT5APO01.06,DSS06.06 62443-3-3:20133.1,3.8,4.1,4.2 27001:2013A.13.1.1,A.13.2.1,A.14.1.3NIST800-53Rev.4PR.DS-3:areformallyCOBIT5BAI09.03 62443-2-1:200.3.9, 62443-3-3:20134.2 27001:2013A.8.3.1,A.8.3.2,A.8.3.3,A.11.2.7 NIST800-53Rev.4CM-8,MP-6,PE-16PR.DS-4:toCOBIT5APO13.01 62443-3-3:20137.1,7.2 27001:2013CategorySubcategoryNIST800-53Rev.4CP-2,PR.DS-5:dataareCCS17COBIT5APO01.06 62443-3-3:20135.2 27001:2013A.7.1.1,A.7.1.2,A.7.3.1,A.8.2.2,A.9.1.1,A.9.2.3,A.9.4.1,A.9.4.5,A.13.2.1,A.14.1.2, NIST800-53Rev.4AC-4,AC-6,PE-19,PS-3,PS-6,SC-8,SC-31,PR.DS-6:checkingareintegrity 62443-3-3:20133.1,3.3,3.4,3.8 27001:2013A.12.2.1,A.12.5.1,A.14.1.2,NIST800-53Rev.4PR.DS-7:andarefromtheproductionCOBIT5BAI07.04 27001:2013NIST800-53Rev.4ProtectionPR.IP-1:Aconfigurationoftechnology/industrialCCS3,10 COBIT5BAI10.01,BAI10.03,BAI10.05andProcedures(PR.IP):(thataddresspurpose,scope, 62443-2-1:2009.3 62443-3-3:20137.6 27001:2013A.12.1.2,A.12.5.1,andcoordinationA.12.6.2,A.14.2.4amongentities), NIST800-53Rev.4CM-2,CM-4,proceduresareCM-6,CM-7,CM-9,PR.IP-2:ADevelopmentCOBIT5APO13.01protectionof 62443-2-1:2009.3 27001:2013A.14.1.1,A.14.2.1,CategorySubcategoryNIST800-53Rev.4SA-8,10,PR.IP-3:change COBIT5BAI06.01, 62443-2-1:2009.3 62443-3-3:20137.6processesareplace 27001:2013A.12.1.2,A.12.5.1,A.12.6.2,A.14.2.4 NIST800-53Rev.4CM-3,PR.IP-4:ofinformationareCOBIT5APO13.01 62443-2-1:2009.9 62443-3-3:20137.3,7.4 27001:2013A.12.3.1,A.17.1.2A.17.1.3,A.18.1.3 NIST800-53Rev.4CP-4,CP-6,PR.IP-5:andCOBIT5DSS01.04,DSS05.05 62443-2-1:2009.1.3,.6operatingfor27001:2013A.11.1.4,A.11.2.1,areA.11.2.2, NIST800-53Rev.4PE-12,PE-13,PE-14,PE-15,PE-18PR.IP-6:accordingCOBIT5BAI09.03 62443-2-1:2009.4 62443-3-3:20134.2policy27001:2013A.8.3.1,A.8.3.2,A.11.2.7NIST800-53Rev.4MP-6PR.IP-7:processesareCOBIT5APO11.06,DSS04.05 62443-2-1:200,,,,, NIST800-53Rev.4CA-2,CP-2,IRCategorySubcategory8,PM-6PR.IP-8:ofprotectionisappropriate 27001:2013 NIST800-53Rev.4AC-21,PR.IP-9:COBIT5DSS04.03and 62443-2-1:2009.1plansRecovery 27001:2013A.16.1.1,A.17.1.1,areplaceA.17.1.2NIST800-53Rev.4CP-2,PR.IP-10:recoveryplansare 62443-2-1:2009.11 62443-3-3:20133.3 27001:2013 NIST800-53Rev.4CP-4,PM-14PR.IP-11:isincluded(e.g.,personnel COBIT5APO07.01,APO07.02,APO07.03,APO07.04,APO07.05 62443-2-1:2009.2,.3 27001:2013A.7.3.1,A.8.1.4NIST800-53Rev.4PSPR.IP-12:Aplandeveloped 27001:2013A.12.6.1,A.18.2.2 NIST800-53Rev.4RA-3,(PR.MA):andrepairsofPR.MA-1:andrepairofperformedatimelyapprovedCOBIT5BAI09.03 62443-2-1:2009.7 27001:2013A.11.1.2,A.11.2.4,A.11.2.5information NIST800-53Rev.4componentsisperformedPR.MA-2:ofapproved,athatCOBIT5DSS05.04 62443-2-1:2009.6,.7, 27001:2013A.11.2.4,A.15.1.1,A.15.2.1andprocedures.CategorySubcategoryNIST800-53Rev.4Protectiveareofandprocedures,PR.PT-1:recordsareimplemented,accordancepolicyCCS14COBIT5APO11.04 62443-2-1:2009.8,.7,, 62443-3-3:20132.8,2.9,2.10,2.11,2.12 27001:2013A.12.4.1,A.12.4.2,A.12.4.3,NIST800-53Rev.4AUPR.PT-2:protectedusepolicy COBIT5DSS05.02,APO13.01 62443-3-3:20132.3 27001:2013A.8.2.3,A.8.3.1,A.8.3.3,A.11.2.9 NIST800-53Rev.4MP-4,MP-5,MP-7PR.PT-3:andassetsofCOBIT5DSS05.02 62443-2-1:2009.2,.3,.5,.6,.7,.1,.2,.3,.5,.6,.7,.9,.1,.2,.4 62443-3-3:20131.1,1.2,1.3,1.4,1.5,1.6,1.7,1.8,1.9,1.10,1.11,1.12,1.13,2.1,2.2,2.3,2.4,2.5,2.6,2.7 27001:2013NIST800-53Rev.4AC-3,PR.PT-4:andcontrolareprotectedCCS7 COBIT5DSS05.02,APO13.01 62443-3-3:20133.1,3.5,3.8,4.1,4.3,5.1,5.2,5.3,7.1,CategorySubcategory7.6 27001:2013A.13.1.1,A.13.2.1 NIST800-53Rev.4AC-4,AC-18,CP-8,DETECTand(DE.AE):activitydetectedapotentialofeventsAofnetworkdataandisCOBIT5DSS03.01 62443-2-1:2009 NIST800-53Rev.4AC-4,CM-2,areandmethods 62443-2-1:2009.7,.8 62443-3-3:20132.8,2.9,2.10,2.11,2.12,6.1,6.2 27001:2013A.16.1.1,A.16.1.4 NIST800-53Rev.4IR-4,SI4dataaresourcessensors 62443-3-3:20136.1 NIST800-53Rev.4IR-4,5,ImpactofeventsCOBIT5APO12.06 NIST800-53Rev.4CP-2,RA-3,4thresholdsareCOBIT5APO12.06 62443-2-1:20090 NIST800-53Rev.4(DE.CM):areatcybersecurityeventstheofDE.CM-1:detectCCS14,16COBIT5DSS05.07 62443-3-3:20136.2 NIST800-53Rev.4AC-2,AU-12,SC-5,SC-7,DE.CM-2: 62443-2-1:2009.8CategorySubcategorydetect NIST800-53Rev.4CA-7,PE-3,PE-6,PE20DE.CM-3:detectcybersecurityevents 62443-3-3:20136.2 27001:2013 NIST800-53Rev.4AC-2,AU-12,AU-13,CA-7,CM-11DE.CM-4:codeCCS5COBIT5DSS05.01 62443-2-1:2009.8 62443-3-3:20133.2 27001:2013NIST800-53Rev.4DE.CM-5:code 62443-3-3:20132.4 27001:2013 NIST800-53Rev.4SC-18,DE.CM-6:providerdetecteventsCOBIT5APO07.06 27001:2013A.14.2.7,A.15.2.1 NIST800-53Rev.4CA-7,PS-7,9,DE.CM-7:performed NIST800-53Rev.4AU-12,CM-3,PE-3,PE-6,PE-20,DE.CM-8:scansareCOBIT5BAI03.10 62443-2-1:2009, 27001:2013NIST800-53Rev.4Detection(DE.DP):processesandproceduresaretimelyandDE.DP-1:areCCS5COBIT5DSS05.01 62443-2-1:2009 27001:2013CategorySubcategoryofanomalousNIST800-53Rev.4CA-2,PM-14DE.DP-2:complyapplicable 62443-2-1:2009 27001:2013 NIST800-53Rev.4CA-2,PM-14,DE.DP-3:processesareCOBIT5APO13.02 62443-2-1:2009 62443-3-3:20133.3 27001:2013 NIST800-53Rev.4CA-2,PE-3,PM-14,DE.DP-4:informationCOBIT5APO12.06 62443-2-1:2009.9 62443-3-3:20136.1 27001:2013 NIST800-53Rev.4CA-7,RA-5,DE.DP-5:processesareCOBIT5APO11.06,DSS04.0562443-2-1:200927001:2013NIST800-53Rev.CA-2,RA-5,PM-14CategorySubcategoryprocessesproceduresaretimelyRS.RP-1:planisoranCOBIT5BAI01.10CCS18 62443-2-1:2009.1 27001:2013 NIST800-53Rev.4CP-2,CP-10,8(RS.CO):RS.CO-1:theirrolesorderofaresponse62443-2-1:200.3,.427001:2013A.16.1.1NIST800-53Rev.4CP-2,CP-3,RS.CO-2:arereported62443-2-1:200.527001:2013A.16.1.2NIST800-53Rev.4areinternalRS.CO-3:isshared62443-2-1:200.2as27001:2013supportfromlawresponseNIST800-53Rev.4CA-2,CP-2,IR4,PE-6,RS.CO-4:62443-2-1:200.5responseNIST800-53Rev.4CP-2,RS.CO-5:informationsharingbroaderNIST800-53Rev.4issupportRS.AN-1:fromareCOBIT5DSS02.0762443-2-1:200.7,.862443-3-3:20136.127001:2013A.12.4.1,A.12.4.3,A.16.1.5NIST800-53Rev.4IR-4,CategorySubcategory5,PE-6,RS.AN-2:oftheis 62443-2-1:2009.7,.8 27001:2013NIST800-53Rev.4CP-2,RS.AN-3:are 62443-3-3:20132.8,2.9,2.10,2.11,2.12,6.1