中文版為改善關鍵基礎設施網(wǎng)絡安全框架

中文版為改善關鍵基礎設施網(wǎng)絡安全框架2心整理，用心做精品 3心整理，用心做精品執(zhí)行摘要 2.0基本框架 3.0如何使用框架 4心整理，用心做精品執(zhí)行摘要美國的國家安全和經濟安全取決于關鍵基礎設施的可靠運作的。網(wǎng)絡安全威脅攻擊日益復雜和關鍵基礎設施系統(tǒng)的連接，把國家的安全，經濟，風險公眾安全和健康。類似的財務和聲譽風險，網(wǎng)絡安全風險影響到公司的底線。它可以驅動多達費用及影響收入。它可能會損害一個組織的創(chuàng)新，以獲得并保持客戶的能力。為了更好地解決這些風險，總統(tǒng)于2013年2月12日，其中規(guī)定I]t是美國的政策，加強國家的安全和彈性頒布行政命令13636，”改善關鍵基礎設施的網(wǎng)絡安全?！瓣P鍵基礎設施和維護，鼓勵高效，創(chuàng)新，和經濟繁榮，同時促進安全，保安，商業(yè)機密，隱私和公民自由?！霸谥贫ㄟ@項政策的網(wǎng)絡環(huán)境，執(zhí)行命令為自愿風險的發(fā)展需要基于網(wǎng)絡安全-框一架?？楋L5心整理，用心做精品資，以構上付運營商的。-為個別組織的指6心整理，用心做精品1.0框架簡介美國的國家安全和經濟安全取決于關鍵基礎設施的可靠運作的。為了加強這一基礎設施EO對于自愿網(wǎng)絡安全框架(“框架”)，它提供了“優(yōu)先，靈活，可重復，基于績效的，和成本效益的方法”直接管理這些流程，信息和系統(tǒng)網(wǎng)絡安全風險的發(fā)展這一行政命令要求參與關鍵基礎設施服務的提供。該框架，與業(yè)界合作開發(fā)，提供指導，在管理網(wǎng)絡安國家公共健康或使人壓及其他實體在確保國家的基7心整理，用心做精品供和操121)形容自己目前網(wǎng)絡安全的姿勢;2)描述自己的目標狀態(tài)，網(wǎng)絡安全;3)確定并優(yōu)先用于連續(xù)和重復的過程的范圍內改善的機會;4)評估向目標狀態(tài)的進展;5)溝通有關網(wǎng)絡安全風險的內部和外部利益相關者之間。與行業(yè)慣例調整?？商鎿Q地，不具有現(xiàn)有的網(wǎng)絡安全方案的組織可以使用框架作為基準，建8心整理，用心做精品1.1在視圖框架工作該框架是一個基于風險的方法來管理網(wǎng)絡安全風險，并且由三部分組成：核心框架，該框架的實施層級和架構配置文件。每個框架組件強化業(yè)務驅動和網(wǎng)絡安全的活動之間的聯(lián)系。下面這些部件進行說明。??該框架的核心是一套網(wǎng)絡安全的活動，期望的結果，而且是通用的關鍵基礎設施部門適用的參考。核心呈現(xiàn)的方式，允許對網(wǎng)絡安全的活動的溝通和跨組織的成果從行政級別來實施/運營層面的行業(yè)標準，準則和慣例。該框架的核心是由五個并發(fā)和連續(xù)函數(shù)，確定，保護，檢測，響應，恢復的。當一起考慮，這些功能提供了網(wǎng)絡安全風險的一個組織的管理生命周期的一個高層次的，戰(zhàn)略的眼光。該框架的核心，然后確定相關主要類別和子類別的每個功能，并以實例參考性文獻，如現(xiàn)有標準，指南，并為每個子目錄的做法符合他們。??框架實施層級(“層”)提供上下文對一個組織如何觀看網(wǎng)絡安全風險，并在適當?shù)目蚣?如，風險和威脅感知，可重復和自適應)所定義的特征。這些層在一定??一個框架配置文件(“檔案”)代表需要一個組織已經從框架類別和子類別選擇的基于業(yè)務的成果。配置文件可以被定性為標準，準則和慣例的對齊方式料以確定改進網(wǎng)絡安全姿勢的機會(在“按原樣”狀態(tài))與“目標”個人資料(在“是”的狀態(tài))。要開發(fā)一個配置文件，一個組織可以查看所有類別和子類別，并組織的風險增加類別和子類別。當前配置文件可以被用來支持優(yōu)先級和向著目標9心整理，用心做精品件風險管理是識別，評估和應對風險的持續(xù)過程。管理風險，企業(yè)應該明白，將會發(fā)生一個事件的可能性和由此產生的影響。有了這些信息，企業(yè)可以決定可接受的風險水平提供服務，并可以表達這是他們的風險承受能力。隨著風險承受能力有所了解，企業(yè)可以優(yōu)先考慮網(wǎng)絡安全的活動，使企業(yè)能夠做出關于網(wǎng)絡安全支出明智的決定。風險管理計劃的實施提供了組織量化和溝通調整其網(wǎng)絡安全計劃的能力。組織可以選擇處理以不同的方式，包括減輕風險，轉移風險，從而避免了風險，或接受的風險，這取決于對關鍵服務的遞送的潛在影響的風險。該框架使用的風險管理流程，使組織有關網(wǎng)絡安全通知和優(yōu)先決定。它支持經常性的風險評估和業(yè)務驅動的驗證，以幫助企業(yè)選擇目標國家網(wǎng)絡安全的活動，反映了期望的結果。因此，該框架使企業(yè)能夠動態(tài)地選擇和網(wǎng)絡安全風險管理ITICS的環(huán)境1.3文檔概述本文檔的其余部分包含以下章節(jié)和附錄：?.第2節(jié)描述了框架的組成部分：框架核心的層級，以及配置文件。?.第3節(jié)介紹了該框架可以使用的例子。?.附錄A給出了核心框架以表格格式：的功能，類別，子類別，并參考性文獻。?.附錄B中包含選定的術語表。心整理，用心做精品4562.0基本框架該框架提供了一種共同語言的理解，管理，以及內部和外部表達網(wǎng)絡安全風險。它可以用來幫助識別和優(yōu)先降低網(wǎng)絡安全風險的行動，這是調整政策，業(yè)務和技術方法來管理這種風險的工具。它可用于在整個組織管理的網(wǎng)絡安全風險，或者它可以集中在一個組織內的輸送關鍵服務。不同類型的實體-包括部門的協(xié)調機構，協(xié)會和組織-可以使用框架為不同2.1框架的核心該框架核心提供了一組活動，以實現(xiàn)特定的網(wǎng)絡安全成果，并指導參考實例來實現(xiàn)這些成果。核心是不是要執(zhí)行的操作清單。它提出了確定行業(yè)管理網(wǎng)絡安全風險的有益網(wǎng)絡心整理，用心做精品e應活??子類別進一步劃分一個類別為技術和/或管理活動的具體成果。他們提供了一個結果集，雖然并不詳盡，幫助支持實現(xiàn)在每個類別的成果。子類別的例子包括：被保護的”，和“從檢測系統(tǒng)通知進行了??參考性文獻的標準，準則和關鍵基礎設施部門，說明的方法，以實現(xiàn)與各子類別的結果之間的共同做法的具體章節(jié)。在核心框架提出的參考性文獻是說明性框架核心功能定義如下。這些功能不是為了形成一個串行路徑，或導致靜態(tài)理想心整理，用心做精品險安全風險的系統(tǒng)，資產，數(shù)據(jù)和功能。?在識別功能的活動是基本有效使用框架。了解業(yè)務環(huán)境，支持關鍵職能的資源，以及相關的網(wǎng)絡安全風險，使組織能夠集中和優(yōu)先努力，憑借其風險管理策略和業(yè)務需求保持一致。此功能在結果分類的例子包括：資產管理，商業(yè)環(huán)險評估，以及風險管理策略。?.保護-制定并實施相應的保障措施，以確保提供重要的基礎設施服務。?保護功能支持限制或含有潛在的網(wǎng)絡安全事件的影響的能力。此功能在結果分護;和保護技術。?.檢測-制定并實施適當?shù)幕顒樱宰R別網(wǎng)絡安全事件的發(fā)生。和事件;安全連續(xù)監(jiān)測，以及檢測過程。制定并實施適當?shù)幕顒?，以采取有關檢測到的網(wǎng)絡安全事件的行動。心整理，用心做精品2.2框架實現(xiàn)層級該框架的實施層級(“層”)提供上下文對一個組織如何觀看網(wǎng)絡安全風險，并在適當?shù)某绦騺砉芾盹L險。該層級的范圍從部分(第1層)，以自適應(第4層)，并描述了嚴謹和復雜的程度增加網(wǎng)絡安全的風險管理做法，其網(wǎng)絡安全風險管理是由業(yè)務需求了解并集成到一個組織的整體風險程度管理實踐。風險管理的考慮因素包括網(wǎng)絡安全的許多方面，包括目標和組織約束。組織應確定所需的第一級，以確保所選擇的級別是否符合組織的目標，，并降低網(wǎng)絡安全風險的重要資產和資源，以接受該組織的水平。組織應考慮利用來自聯(lián)邦政府部門和機構，信息共享和分析中心(ISACS)，現(xiàn)有的成熟度模雖然組織認定為一級(部分)鼓勵將考慮轉向方法2或更大，層級并不代表成熟度級別。該框架是基于成就組織的目標配置文件(S)，而不是在一線的決心所描述的結果時。心整理，用心做精品從外部來織內共。員。心整理，用心做精品的過程中，組織。2.3框架簡介該框架配置文件(“檔案”)是函數(shù)，類別和子類別的業(yè)務需求，風險承受能力，以及資源和部門的目標一致，認為法律/法規(guī)要求和行業(yè)最佳實踐，并體現(xiàn)了風險管理的優(yōu)先事架配置文件可以用來形容當前的狀態(tài)或特定的網(wǎng)絡安全活動所需的目標狀態(tài)。當前配置配置文件(例如，當前配置和目標配置文件)的比較可發(fā)現(xiàn)差距加以解決，以滿足網(wǎng)絡安先次序是由組織的業(yè)務需求和風險管理流程驅動的。這種基于風險的方法使組織能夠衡量估算(如人員，資金)來實現(xiàn)具有成本效益的，優(yōu)先的方式網(wǎng)絡安全的目標。心整理，用心做精品2.4協(xié)調框架的實施圖2描述的信息，并決定組織內部的共同流量為以下幾個層次：.執(zhí)行.業(yè)務/流程.實施/運營行政級別通信的任務優(yōu)先級，可利用的資源，以及整體風險承受能力到業(yè)/務流程層面。業(yè)務/流程層面使用信息作為輸入到風險管理過程，然后與合作的實施/運營級通信業(yè)務需求，并創(chuàng)建一個配置文件。實施/運營級通信的個人資料實施進展情況向業(yè)務/流程層面。業(yè)務/流程層面使用這些信息來進行影響評估。業(yè)務/流程層面的管理報告，影響評估的結果，以行政級別來通知該組織的整體風險管理程序，并實施/操作對業(yè)務的影響的認識水平。心整理，用心做精品3.0如何使用框架管理3.1基本審查網(wǎng)絡安全實踐該框架可用于與本框架的核心概括比較組織當前網(wǎng)絡安全的活動。通過創(chuàng)建一個當前的配置文件，組織可以檢查它們所實現(xiàn)的核心類別和子類別描述的結果，與五高已經達到理想的結果，因此，網(wǎng)絡安全管理與已知的風險相稱。相反，一個組織可以判定它有機會(或需要)提高。該組織可以利用這些信息來制定一項行動計劃，以加強現(xiàn)有的網(wǎng)絡安全實踐，并降低網(wǎng)絡安全風險。一個組織也可能會發(fā)現(xiàn)，它是過度投資達到一定的成果。該組織可以使用此信息來重新確定優(yōu)先次序資源，加強網(wǎng)絡安全的其他行為。雖然他們并不能取代風險管理程序，這五個高水平的功能將會對高級管理人員和其他人提供了一個簡潔的方式來提煉的網(wǎng)絡安全風險的基本概念，使他們能夠評估如何識別風險的管理，以及如何組織他們的書庫在高達針對現(xiàn)有網(wǎng)絡安全標準，準則和慣例的高水平。該框架還可以幫助企業(yè)回答的基本問題，包括“是怎樣的呢”然？心整理，用心做精品下面的步驟說明如何組織可以使用該框架來創(chuàng)建一個新的網(wǎng)絡安全程序或改進現(xiàn)有的程序。應重復這些步驟，要不斷提高網(wǎng)絡安全。第1步：優(yōu)先和范圍。該組織確定其業(yè)任務目標和高層次的組織優(yōu)先事項。有了這些信息，組織公司對于網(wǎng)絡安全的實現(xiàn)戰(zhàn)略決策，并確定系統(tǒng)和支持選定的業(yè)務線或過程資產的范圍。該框架可適應以支持組織內的不同業(yè)務線或過程，也可以有不同的業(yè)務需求和相關的風險承受能力。第2步：東方。一旦網(wǎng)絡安全方案的范圍已確定為業(yè)務線或過程，組織確定了相關制度和資產，監(jiān)管要求和整體風險的方法。然后，組織識別威脅，而且，這些系統(tǒng)和資產脆弱性。第3步：創(chuàng)建一個當前配置文件。該組織通過指示其分類，并從框架核心子目錄成果，目前正在實現(xiàn)開發(fā)一個當前配置文件。第4步：進行風險評估。這項評估可能由該組織的整體風險管理過程中或以前的風險評估活動的指導。該組織分析經營環(huán)境，以識別一個網(wǎng)絡安全事件的可能性和該事件可能對組織的影響。重要的是，組織爭取把新的風險和威脅和漏洞數(shù)據(jù)，以便充分理解的可能性和網(wǎng)絡安全事件的影響。第5步：創(chuàng)建目標配置文件。該組織創(chuàng)建目標配置文件，側重于框架類別和子類別描述了組織的期望的網(wǎng)絡安全成果的評估。組織也可以開發(fā)自己的額外的類別和子類別占到獨特的組織風險。創(chuàng)建目標配置文件時，該組織也可考慮影響和外部利益相關者的要求，如部門實體，客戶和業(yè)務合作伙伴。第6步：確定，分析和優(yōu)先差距。該組織比較了當前配置和目標配置文件，以確定差距。接著，它會創(chuàng)建一個優(yōu)先行動計劃，以解決這些差距的借鑒使命的驅動程序，成本/效益分析，以及對風險的理解，以達到在目標配置文件的結果。該組織然后確定需要解決的差距的資源。以這種方式使用配置文件使組織能夠做出有關網(wǎng)心整理，用心做精品3.3通信網(wǎng)絡安全需求與利益相關者該框架提供了一個共同的語言進行溝通負責必不可少的關鍵基礎設施服務的提供相互依存的利益相關者的要求。實例包括：.一個組織可能利用目標配置文件來表達網(wǎng)絡安全風險管理要求，外部服務提供商(例如，一個云提供商它所導出的數(shù)據(jù))。.一個組織可以通過當前的配置文件表示其網(wǎng)絡安全狀態(tài)報告結果或與收購的要求進行比較。.一個重要的基礎設施所有者/經營者，在確定對其中的基礎設施依賴外部合作伙伴，可以使用目標配置文件來傳達所需的類別和子類別。.一個重要的基礎設施部門可以設立一個目標配置文件，可以使用它的成分中作為一個初始基線資料，以建立自己的定制目標配置文件。于會心整理，用心做精品本節(jié)介紹了所要求的行政命令來解決個人隱私和公民自由的影響，可能導致網(wǎng)絡安全業(yè)務的一種方法。這種方法的目的是因為隱私和公民自由的影響可能會有所不同部門或隨著時間的推移和組織可以解決這些方面的考慮和流程，一系列的技術實現(xiàn)一般設置注意事項和流程。然而，在一個網(wǎng)絡安全方案并非所有的活動，可能這些因素引起。符合第3.4節(jié)，技術保密標準，準則和其他最佳做法可能需要開發(fā)支持改進的技術實現(xiàn)。當個人信息的使用，收集，處理，保存，或與一個組織的網(wǎng)絡安全活動有關的披露可能出現(xiàn)的隱私和公民自由問題。那熊隱私或公民自由方面的考慮活動的一些例子絡安全活動的個人信息或使用，這導致拒絕網(wǎng)絡安全減災活動服務或其他類似的潛在的不利影響，包括活動，如某些類型的事件檢測或監(jiān)測可能影響言論或結社的自政府的政府和代理商有直接的責任，以保護網(wǎng)絡安全的活動所產生的公民自由。參考下文的方法，政府或擁有或經營的關鍵基礎設施，政府的代理人應該有一個過程，以支持遵守適用的隱私法律，法規(guī)和憲法要求網(wǎng)絡安全的活動。為了解決隱私問題，企業(yè)可以考慮怎么樣，而該等措施是適當?shù)?，他們的網(wǎng)絡安全程序可能包含隱私原則，例如：盡量減少數(shù)據(jù)的收集，披露和保留相關的網(wǎng)絡安全事件的個人信息資料的;使用限制對專門針對網(wǎng)絡安全的活動收集的任何信息網(wǎng)絡安全的活動外，對某些網(wǎng)絡安全的活動的透明人同意和補救措施的使用在網(wǎng)絡安全活動的個人信息而產生的不利影;響數(shù)據(jù)質量，完整性和安全性，以及問責制和審計。隨著組織評估框架核心附錄A中，下列過程和活動可被視為一種手段，以解決上面提到的隱私和公民自由的含義：的網(wǎng)絡安全風險治理心整理，用心做精品附錄A：核心框架本附錄介紹了核心框架：功能，類別，子類別，以及描述具體的網(wǎng)絡安全活動，是通用的所有關鍵基礎設施部門參考性文獻的列表。為框架核心所選擇的演示文稿格式不提出一個具體的實施順序或暗示的學位類別，子類別，并參考性文獻的重要性。本附錄中給出的框架核心代表一組通用的管理網(wǎng)絡安全風險的活動。而框架并不詳盡，它是可擴展的，允許組織，部門和其他實體使用子類別和參考性文獻是成本效益和效率，使他們能夠管理自己的網(wǎng)絡安全風險?；顒涌梢詮暮诵目蚣茉谂渲梦募?chuàng)建過程中選擇和額外的類別，子類別，并參考性文獻可以被添加到配置文心整理，用心做精品yIdentifiID.AMDRAIDRMIdentifiIDDE心整理，用心做精品RC心整理，用心做精品ryIDENTIFYID)IDENTIFYID)ry?????? 心整理，用心做精品心整理，用心做精品 ?COBIT5MEA03.01,MEA03.04心整理，用心做精品ry??5心整理，用心做精品PROTECTegyIDRMThery ??????????????????心整理，用心做精品心整理，用心做精品心整理，用心做精品ryPR.AC-5:Networkintegrityis?COBIT5APO07.03,BAI05.07心整理，用心做精品ry????ECA??ry?????ormationProtection心整理，用心做精品 ????心整理，用心做精品ry9?COBIT5BAI09.03心整理，用心做精品心整理，用心做精品ofry COBIT5BAI09.03心整理，用心做精品ry????????心整理，用心做精品心整理，用心做精品心整理，用心做精品FunctionCategoryDETECT(DE)Monitoring(DE.CM):Thery???NISTSP800-53Rev.4AU-6,CA-7,?ISA62443-3-3:2013SR6.1????心整理，用心做精品ry