C2M2 V2.0網(wǎng)絡(luò)安全能力成熟度模型（第二版）（中譯版）

1網(wǎng)絡(luò)安全能力成熟度模型（第二版）本出版物的預(yù)期范圍和用途本出版物提供的指南旨在僅僅解決與信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)資產(chǎn)及其運(yùn)營(yíng)環(huán)境相關(guān)C2M2側(cè)重于與信息、信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)資產(chǎn)及其運(yùn)營(yíng)環(huán)境相關(guān)的網(wǎng)絡(luò)安全實(shí)在組織間共享知識(shí)、最佳實(shí)踐和相關(guān)參考資料C2M2設(shè)計(jì)適用于一種自評(píng)估方法和工具(可根據(jù)要求獲得)一起使用，以便組織衡量和改2C2M2提供了描述性的而非說(shuō)明性的指導(dǎo)。模;持該領(lǐng)域的目標(biāo)成就進(jìn)行分組。在每個(gè)目標(biāo)中，實(shí)踐按照成熟度指標(biāo)級(jí)別(matr4供上下文并介紹實(shí)踐。目的陳述和介紹性說(shuō)明為解釋域中的實(shí)踐建立和維護(hù)計(jì)劃、程序和技術(shù)，以檢測(cè)、識(shí)別、分析、管理和響應(yīng)網(wǎng)絡(luò)安全威脅及漏洞，建立、操作和維護(hù)企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃，以識(shí)別、分析和應(yīng)對(duì)組織所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)，為可能被授權(quán)邏輯或物理訪(fǎng)問(wèn)組織資產(chǎn)的實(shí)體創(chuàng)建和管理身份?？刂茖?duì)組織資產(chǎn)的訪(fǎng)問(wèn)，5事件響應(yīng)與持續(xù)運(yùn)營(yíng)（Response）成熟度指示級(jí)別獨(dú)立應(yīng)用于每個(gè)域。因此，使用該模型的組織可能在不同的領(lǐng)域以不6MIL之前，組織應(yīng)熟悉模型中的實(shí)踐。然后，MIL特點(diǎn)匯總要實(shí)現(xiàn)MIL1，這些初始活動(dòng)可以以一種特別的方式執(zhí)行，但是必須執(zhí)行。模型的關(guān)聯(lián)中,臨時(shí)性(即沒(méi)有形成或用于特殊目的政策或計(jì)劃)是指執(zhí)行實(shí)踐的方式,在很大程度上取決于個(gè)人或團(tuán)隊(duì)的行動(dòng)和經(jīng)驗(yàn),沒(méi)有太多有組織性的指導(dǎo),如規(guī)劃的計(jì)劃、政策或培75.優(yōu)先級(jí)標(biāo)準(zhǔn)應(yīng)包括對(duì)可能存在某種潛在威脅的毀管理演進(jìn)描述了實(shí)踐或活動(dòng)在組織運(yùn)營(yíng)中深化(或制度化)的程度。活動(dòng)越深入，組織越有8ASSET域的管理活動(dòng)示例2.提供充足的資源(人員、資金和工具)來(lái)支持ASSET域中活動(dòng)3.最新策略或其他有組織的定義了ASSET4.在ASSET域中執(zhí)行活動(dòng)的人員具備相應(yīng)職責(zé)所需的技能和5.在ASSET域中，將活動(dòng)相關(guān)義務(wù)、C2M2用于組織持續(xù)評(píng)估其網(wǎng)絡(luò)安全能力，彌補(bǔ)差距。隨著計(jì)劃的實(shí)現(xiàn)，業(yè)務(wù)目標(biāo)的變化圖：使用模型的建議方法9可以根據(jù)自評(píng)研討會(huì)的結(jié)果檢查目標(biāo)概要文件，以確定對(duì)組2.3優(yōu)先級(jí)排序與計(jì)劃2.4執(zhí)行計(jì)劃并定期評(píng)估1.與合適的參與者一起就4.為行動(dòng)指定計(jì)劃2.階段性或重大變更時(shí)重新3.1資產(chǎn)、變更和配置管理(Asseb)IT和OT資產(chǎn)清單包括存在某種潛在威脅的資產(chǎn)d)根據(jù)定義的標(biāo)準(zhǔn)(包括對(duì)功能交e)優(yōu)先級(jí)標(biāo)準(zhǔn)應(yīng)包括對(duì)可能存在某種潛在f)IT和OT資產(chǎn)清單完整(清單包括用于功毀2.信息資產(chǎn)管理a)有一份對(duì)功能交付很關(guān)鍵的信息資產(chǎn)清單；清單管理b)信息資產(chǎn)清單包括存在某種你潛在威脅的信息資產(chǎn)d)信息資產(chǎn)已基于定義的方案進(jìn)行分類(lèi)，該方案包括功能交付的重要性e)分類(lèi)標(biāo)準(zhǔn)包括對(duì)可能存在某種潛f)信息資產(chǎn)清單完整(清單包括用于功能交付的所有資產(chǎn))g)信息資產(chǎn)清單適用當(dāng)前環(huán)境，即，它是根據(jù)定義指標(biāo)(如系統(tǒng)變更)定期更新的i)信息資產(chǎn)在生命周期結(jié)束時(shí)，使用適合其網(wǎng)絡(luò)安全需求的技術(shù)進(jìn)行刪除或銷(xiāo)毀3.資產(chǎn)配置管理e)對(duì)資產(chǎn)全生命周期進(jìn)行監(jiān)控，以確4.資產(chǎn)變更管理d)變更管理實(shí)踐落實(shí)到資產(chǎn)全生命周期（如采購(gòu)、部署、維護(hù)、下線(xiàn)）f)變更管理日志包括影響資產(chǎn)網(wǎng)絡(luò)安全需求的修正信息a)對(duì)ASSET域中活動(dòng)的建立、遵b)有足夠的資源(人員、資金和工具)支持ASSET域中的活動(dòng)c)最新政策或其他組織文件定義了d)在ASSET域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)e)在ASSET域中，為活f)評(píng)估并跟蹤ASSET域中活動(dòng)的有效性支持網(wǎng)絡(luò)安全活動(dòng)的屬性信息。包括資產(chǎn)優(yōu)先級(jí)、硬件和軟件版本、物性、完整性和可用性的業(yè)務(wù)需求)、基于資產(chǎn)敏感度的類(lèi)別、資產(chǎn)所有者和應(yīng)用配置基線(xiàn)版為了保持變更的可追溯性和一致性，企業(yè)的變更管理活動(dòng)確保資產(chǎn)數(shù)據(jù)庫(kù)在配置變更時(shí)保持當(dāng)前狀態(tài)。所有關(guān)于資產(chǎn)的重要決策都要傳達(dá)給利益相關(guān)者，包括資產(chǎn)所有者，以便有效地管理對(duì)功能的潛在建立和維護(hù)計(jì)劃、程序和技術(shù)，以檢測(cè)、識(shí)別、分析、管理和響應(yīng)網(wǎng)絡(luò)安全威脅及漏洞，f)定期或根據(jù)特定條件（系統(tǒng)變更/外部事件）進(jìn)行安全漏洞評(píng)估g)對(duì)識(shí)別的安全漏洞進(jìn)行分析和優(yōu)先級(jí)劃分，相應(yīng)進(jìn)行處理i)與組織利益相關(guān)者共享發(fā)現(xiàn)的一切安全漏洞信息j)由獨(dú)立功能運(yùn)營(yíng)的多方進(jìn)行安全漏k)對(duì)功能產(chǎn)生持續(xù)風(fēng)險(xiǎn)的漏洞將會(huì)根據(jù)風(fēng)險(xiǎn)管理程序予以響應(yīng)l)漏洞監(jiān)控活動(dòng)包括適當(dāng)時(shí)對(duì)漏洞采取的行動(dòng)進(jìn)行審查和確認(rèn)2.威脅響應(yīng)與威脅信息共享d)為功能建立威脅文檔(例如，描述潛在威脅活動(dòng)者、動(dòng)機(jī)、意圖、能力和目標(biāo))e)對(duì)威脅文檔中所有組件的威脅信息源優(yōu)先f(wàn))對(duì)識(shí)別的威脅進(jìn)行分析和優(yōu)先級(jí)排序，相應(yīng)進(jìn)行處理織、監(jiān)管機(jī)構(gòu)、信息共享和分析中心[ISACs]、內(nèi)部實(shí)體)h)該功能的威脅文檔會(huì)根據(jù)特定條件(如系統(tǒng)變更/外部事件)定期更新i)對(duì)功能產(chǎn)生持續(xù)風(fēng)險(xiǎn)的威脅會(huì)根據(jù)風(fēng)險(xiǎn)管理計(jì)劃采取行動(dòng)j)威脅監(jiān)視和響應(yīng)活動(dòng)通過(guò)預(yù)定義的運(yùn)行狀態(tài)進(jìn)行觸發(fā)k)采用安全、近實(shí)時(shí)的方法接收和共享威脅信息，以實(shí)現(xiàn)快速分析和行動(dòng)b)有足夠的資源(人員、資金和工具)支持THREAT域中的活動(dòng)d)在THREAT域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)某企業(yè)研究了其通常應(yīng)對(duì)的威脅類(lèi)型，包括惡意軟件、拒絕服務(wù)攻擊和激進(jìn)的網(wǎng)絡(luò)攻擊團(tuán)體。該信分析來(lái)自網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全中心(CISA)、信息共享和分析中心(ISACs)和行業(yè)協(xié)會(huì)等來(lái)源發(fā)知軟件漏洞的潛在影響。這允許企業(yè)根據(jù)漏洞的重要性來(lái)劃分優(yōu)先3.3風(fēng)險(xiǎn)管理(RISK)建立、操作和維護(hù)企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃，以識(shí)別、分析和應(yīng)對(duì)組織所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)，移)和監(jiān)控風(fēng)險(xiǎn)。執(zhí)行這些活動(dòng)的關(guān)鍵是對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略的一般理解。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略1.建立和維持網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略和計(jì)劃e)建立并維護(hù)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略，以實(shí)施和執(zhí)行與組織使命及目標(biāo)一致的風(fēng)險(xiǎn)領(lǐng)域f)網(wǎng)絡(luò)風(fēng)險(xiǎn)戰(zhàn)略和項(xiàng)目活動(dòng)與組織的整體風(fēng)險(xiǎn)管理戰(zhàn)略及項(xiàng)目相一致2.識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)c)網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別利用多種風(fēng)險(xiǎn)d)來(lái)自運(yùn)營(yíng)和業(yè)務(wù)領(lǐng)域合適的利益相關(guān)者參與網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別e)在風(fēng)險(xiǎn)登記表或其他記錄中f)風(fēng)險(xiǎn)類(lèi)別和風(fēng)險(xiǎn)分配到風(fēng)險(xiǎn)責(zé)任人h)利用ASSET域的資產(chǎn)清單和優(yōu)先級(jí)信息進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別活動(dòng)i)利用THREAT域活動(dòng)的漏洞管理信息來(lái)更新網(wǎng)絡(luò)風(fēng)險(xiǎn)并識(shí)別新的風(fēng)險(xiǎn)j)利用THREAT域活動(dòng)的威脅管理信息來(lái)更新網(wǎng)絡(luò)風(fēng)險(xiǎn)并識(shí)別新的風(fēng)險(xiǎn)k)利用THIRD-PARTIES域活動(dòng)的信息來(lái)更新網(wǎng)絡(luò)風(fēng)險(xiǎn)并識(shí)別新的風(fēng)險(xiǎn)l)利用構(gòu)建的系統(tǒng)及網(wǎng)絡(luò)與網(wǎng)絡(luò)安全架構(gòu)的一致性差距來(lái)更新網(wǎng)絡(luò)風(fēng)險(xiǎn)并識(shí)別新的m)網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別會(huì)考慮可能產(chǎn)生或影3.分析網(wǎng)絡(luò)風(fēng)險(xiǎn)e)來(lái)自運(yùn)營(yíng)和業(yè)務(wù)職能合適的利益相關(guān)者支持對(duì)更高優(yōu)先級(jí)的風(fēng)險(xiǎn)類(lèi)別和風(fēng)險(xiǎn)進(jìn)行g(shù))定期或根據(jù)特定條件（變更/外部事件）進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)分析4.響應(yīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)a)已實(shí)施用于處理風(fēng)險(xiǎn)類(lèi)別和風(fēng)險(xiǎn)的響應(yīng)行動(dòng)(如減輕、b)已制定用來(lái)選擇和實(shí)施基于分c)對(duì)網(wǎng)絡(luò)安全控制進(jìn)行評(píng)估，以確定設(shè)計(jì)是否適用，以及操作是否旨在減輕已識(shí)別d)由企業(yè)高層審查風(fēng)險(xiǎn)影響分析和網(wǎng)絡(luò)安全控制評(píng)估的結(jié)果，以確定網(wǎng)絡(luò)風(fēng)險(xiǎn)是否e)主管定期審查風(fēng)險(xiǎn)響應(yīng)(如減輕、接受、避免或轉(zhuǎn)移)活動(dòng)，a)對(duì)RISK域中活動(dòng)的建立、b)有足夠的資源(人員、資金和工具)支持RISK域中的活動(dòng)d)在RISK域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)f)評(píng)估并跟蹤RISK域中活動(dòng)的有效性某企業(yè)設(shè)計(jì)了一種企業(yè)風(fēng)險(xiǎn)管理策略，確定其風(fēng)險(xiǎn)容忍和評(píng)估、應(yīng)對(duì)和監(jiān)控網(wǎng)絡(luò)風(fēng)險(xiǎn)的策略。董事在風(fēng)險(xiǎn)登記表中，以確保及時(shí)監(jiān)控和應(yīng)對(duì)，同時(shí)確認(rèn)態(tài)企業(yè)利用來(lái)自當(dāng)前網(wǎng)絡(luò)安全架構(gòu)的信息，分析關(guān)鍵資產(chǎn)如何關(guān)聯(lián)，以及哪些資產(chǎn)暴露在互聯(lián)網(wǎng)上。像接受來(lái)自互聯(lián)網(wǎng)請(qǐng)求的Web服務(wù)器被認(rèn)資產(chǎn)在提供基礎(chǔ)服務(wù)方面的重要性和其基于網(wǎng)絡(luò)及安全架構(gòu)的暴露程度，這兩者組成了每項(xiàng)資產(chǎn)的為可能被授權(quán)邏輯或物理訪(fǎng)問(wèn)組織資產(chǎn)的實(shí)體創(chuàng)建和管理身份。控制對(duì)組織資產(chǎn)的訪(fǎng)問(wèn)，進(jìn)行更多審查。只有在考慮功能的風(fēng)險(xiǎn)后，才授權(quán)邏輯和物理訪(fǎng)問(wèn)，并定期a)為人員和其他實(shí)體（如需要訪(fǎng)問(wèn)資產(chǎn)的服務(wù)和設(shè)備2.邏輯訪(fǎng)問(wèn)控制c)明確邏輯訪(fǎng)問(wèn)需求（例如，允許哪些類(lèi)型的實(shí)體訪(fǎng)問(wèn)資產(chǎn)的規(guī)則、允許訪(fǎng)問(wèn)的限f)邏輯訪(fǎng)問(wèn)請(qǐng)求由資產(chǎn)所有者審核及批準(zhǔn)3.物理訪(fǎng)問(wèn)控制f)物理訪(fǎng)問(wèn)請(qǐng)求由資產(chǎn)所有者審核及批準(zhǔn)a)為Access域中活動(dòng)的建立、遵b)提供充足的資源（人員、資金和工具）來(lái)支持Access域中的活動(dòng)c)最新策略或其他組織文件定義了Ad)在Access域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)f)評(píng)估并跟蹤Access域中活動(dòng)的有效性b)對(duì)用于功能交付且可能存在被利用威脅的資產(chǎn)記錄日志c)對(duì)功能交付的關(guān)鍵資產(chǎn)以及用于功能交付且可能存在被利用威脅的資產(chǎn)，建立并b)監(jiān)控IT/OT環(huán)境中可能引發(fā)網(wǎng)絡(luò)安全事件的異?；顒?dòng)c)建立和維護(hù)功能監(jiān)控與分析需求，d)基于系統(tǒng)日志、數(shù)據(jù)流、網(wǎng)絡(luò)基線(xiàn)、網(wǎng)絡(luò)安全事件和體系結(jié)構(gòu)來(lái)建立和維護(hù)異常i)風(fēng)險(xiǎn)分析信息作為異常活動(dòng)識(shí)別的指標(biāo)之一j)根據(jù)特定條件定期評(píng)估和更新異?；顒?dòng)指標(biāo)3.建立并維護(hù)態(tài)勢(shì)感知a)建立并維護(hù)用于反映某項(xiàng)功能當(dāng)前c)提供來(lái)自全公司的相關(guān)信息用d)定義了態(tài)勢(shì)感知需求且及時(shí)向組織利益相關(guān)者傳遞網(wǎng)絡(luò)安全信息e)整合監(jiān)控?cái)?shù)據(jù)并分析以提供近實(shí)f)收集外部組織和全公司的相關(guān)信息來(lái)增強(qiáng)態(tài)勢(shì)感知能力g)有對(duì)接收的網(wǎng)絡(luò)安全信息進(jìn)行分析的流程，以支持態(tài)勢(shì)感知h)基于網(wǎng)絡(luò)安全狀態(tài)或其他域的特定活動(dòng)發(fā)生時(shí)，記錄預(yù)定義運(yùn)行狀態(tài)并執(zhí)行b)提供充足的資源（人員、資金和工具）來(lái)支持Situation域中的活動(dòng)d)在Situation域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)3.6事件響應(yīng)與持續(xù)運(yùn)營(yíng)（Respond)通過(guò)識(shí)別模式、趨勢(shì)和其他通用特征支持事件的分析，且事件信息能夠與其關(guān)聯(lián)e)基于已識(shí)別的風(fēng)險(xiǎn)和組織威脅庫(kù)來(lái)調(diào)整網(wǎng)絡(luò)f)對(duì)某功能態(tài)勢(shì)感知進(jìn)行監(jiān)控，用于發(fā)現(xiàn)網(wǎng)絡(luò)安全事件2.網(wǎng)絡(luò)安全事件分析與事件公布c)基于對(duì)功能的潛在影響正式建立網(wǎng)g)根據(jù)態(tài)勢(shì)感知報(bào)告的需求，確定網(wǎng)絡(luò)安全利益相關(guān)者，并將事件予以通知3.網(wǎng)絡(luò)安全事件響應(yīng)f)根據(jù)特定條件或定期演練網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃j)網(wǎng)絡(luò)安全事件響應(yīng)人員會(huì)同其他組織共同參與安4.解決持續(xù)運(yùn)營(yíng)中的網(wǎng)絡(luò)安全a)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，執(zhí)行連續(xù)性計(jì)劃用以保d)潛在安全事件影響分析能夠?yàn)檫B續(xù)性計(jì)劃開(kāi)發(fā)提供信息e)已明確且在連續(xù)性計(jì)劃中記錄保證功能最小程度運(yùn)行所f)連續(xù)性計(jì)劃可以解決IT/OTg)連續(xù)性計(jì)劃經(jīng)過(guò)驗(yàn)證評(píng)估，且定期或根據(jù)特定條件進(jìn)行演練p)對(duì)連續(xù)性計(jì)劃中網(wǎng)絡(luò)安全事件的內(nèi)容定期審查和更新a)為Response域中活動(dòng)的建立、b)提供充足的資源（人員、資金和工具）來(lái)支持Response域中的活動(dòng)c)最新策略或其他組織文件定義了Red)在Response域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)e)在Response域中為f)評(píng)估并跟蹤Response域中活動(dòng)的有效性3.7第三方風(fēng)險(xiǎn)管理（Third-Par持對(duì)關(guān)鍵關(guān)系的全面理解以及管理相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)于安d)對(duì)可能產(chǎn)生嚴(yán)重影響的供應(yīng)商和第三方提高優(yōu)先級(jí)e)根據(jù)定義的條件或定期更新供應(yīng)商2.第三方風(fēng)險(xiǎn)管理c)已制定確定網(wǎng)絡(luò)安全需求的方法，并實(shí)施相關(guān)控制，以防止由供應(yīng)商和第三方產(chǎn)e)對(duì)更高優(yōu)先級(jí)的供應(yīng)商和第三方實(shí)施更為f)通過(guò)與供應(yīng)商和第三方的協(xié)議來(lái)正式確定網(wǎng)絡(luò)安全需求g)供應(yīng)商和第三方定期證明其滿(mǎn)足網(wǎng)絡(luò)安全要求的能力h)對(duì)供應(yīng)商和第三方網(wǎng)絡(luò)安全要求包括適當(dāng)?shù)能浖踩彤a(chǎn)品開(kāi)發(fā)安全j)選擇標(biāo)準(zhǔn)包括對(duì)防止仿冒或損害軟硬件及服務(wù)保障的考慮a)為T(mén)hird-Parties域中活動(dòng)b)提供充足的資源（人員、資金和工具）來(lái)支持Third-Parties域中的活動(dòng)c)最新策略或其他組織文件定義了Thirdd)在Third-Parties域中執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)e)在Third-Partiesf)評(píng)估并跟蹤Third-Parties域中活動(dòng)的有效性脅通常來(lái)自在公司的IT/OT系統(tǒng)中獲得的突破點(diǎn)，例如，通過(guò)獲取c)針對(duì)特定角色劃分網(wǎng)絡(luò)安全責(zé)任f)實(shí)施網(wǎng)絡(luò)安全職責(zé)管理，以確保覆蓋范圍的充分和適當(dāng)，包括接續(xù)計(jì)劃2.培養(yǎng)網(wǎng)絡(luò)安全人才a)至少為負(fù)有網(wǎng)絡(luò)安全責(zé)任的相關(guān)人b)根據(jù)當(dāng)前和未來(lái)的運(yùn)營(yíng)需求確定網(wǎng)絡(luò)安全知識(shí)、技能和能力的要求和差距分析c)培訓(xùn)、招聘和留用工作協(xié)調(diào)一致，以解決已確f)培訓(xùn)項(xiàng)目包括對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全的員工的繼續(xù)教育和職業(yè)發(fā)展機(jī)會(huì)3.實(shí)施人員控制c)定期對(duì)因工作可以訪(fǎng)問(wèn)某些e)讓用戶(hù)意識(shí)到自己在IT/OT和信息4.提高網(wǎng)絡(luò)安全意識(shí)c)網(wǎng)絡(luò)安全意識(shí)教育目標(biāo)與已定義的威脅概況（Threatd)網(wǎng)絡(luò)安全意識(shí)教育活動(dòng)與預(yù)定義b)提供充足的資源（人員、資金和工具）來(lái)支持Workforce域的活動(dòng)d)在Workforce域執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)網(wǎng)絡(luò)安全體系結(jié)構(gòu)幫助組織規(guī)劃如何以超越身份管理或訪(fǎng)問(wèn)控制等單點(diǎn)資產(chǎn)的局部解決1.建立和維護(hù)網(wǎng)絡(luò)安全架構(gòu)戰(zhàn)略和計(jì)劃c)建立并維護(hù)網(wǎng)絡(luò)安全架構(gòu)戰(zhàn)略e)網(wǎng)絡(luò)安全架構(gòu)建立并維護(hù)了組織f)根據(jù)網(wǎng)絡(luò)安全的要求選擇和實(shí)施網(wǎng)絡(luò)安全控制i)網(wǎng)絡(luò)安全架構(gòu)以組織的風(fēng)險(xiǎn)分析信息(RISj)網(wǎng)絡(luò)安全架構(gòu)適用于預(yù)定義的運(yùn)行狀態(tài)(Situation-3h)2.將網(wǎng)絡(luò)保護(hù)作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素來(lái)實(shí)施b)培根據(jù)資產(chǎn)網(wǎng)絡(luò)安全需求，對(duì)功能交付具有重要意義的資產(chǎn)在邏輯上或物理上劃程訪(fǎng)問(wèn)和外部所有的設(shè)備)，對(duì)選定的資產(chǎn)類(lèi)型進(jìn)行定義并實(shí)施網(wǎng)絡(luò)g)根據(jù)網(wǎng)絡(luò)安全需求，將所有資產(chǎn)進(jìn)行安全域劃分h)在必要的位置實(shí)施網(wǎng)絡(luò)隔離，在邏輯或物理上將資產(chǎn)劃分成需要獨(dú)立身份驗(yàn)證的j)網(wǎng)絡(luò)連接保護(hù)與組織風(fēng)險(xiǎn)水平相當(dāng)（例如遠(yuǎn)程管理的安全連接）b)對(duì)優(yōu)先級(jí)更高的資產(chǎn)實(shí)施更嚴(yán)格的網(wǎng)絡(luò)安全控制（Asset-1d）c)實(shí)施最小權(quán)限原則（例如限制用戶(hù)和服務(wù)帳e)若可能，將安全配置作為資產(chǎn)部署f)若可能，將應(yīng)用安全作為設(shè)備配置的要素之一(例如端EDR、基于主機(jī)的防火墻)h)針對(duì)功能交付（Asset-1f）的所有資產(chǎn)，無(wú)論在資產(chǎn)情況下作為補(bǔ)償控制，實(shí)施網(wǎng)絡(luò)安全控制，包括物理訪(fǎng)i)在整個(gè)資產(chǎn)生命周期中，對(duì)固件配置和變更實(shí)施控制j)為防止未授權(quán)代碼的執(zhí)行實(shí)施控制4.將軟件安全作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素實(shí)施b)用于部署在更高優(yōu)先級(jí)資產(chǎn)(ASSET-1d)上的采購(gòu)軟件，采購(gòu)時(shí)應(yīng)考慮供應(yīng)商的安e)對(duì)所有采購(gòu)的軟件，采購(gòu)時(shí)考慮供f)架構(gòu)審查過(guò)程中，會(huì)在新的或更新的應(yīng)用部署前進(jìn)行安全評(píng)估5.將數(shù)據(jù)安全作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素實(shí)施b)針對(duì)選定的數(shù)據(jù)類(lèi)別（ASSET-2d）的所有數(shù)據(jù)實(shí)施靜態(tài)保護(hù)d)針對(duì)選定的數(shù)據(jù)類(lèi)別（ASSET-2d）的靜止數(shù)據(jù)和傳輸數(shù)據(jù)實(shí)施密碼控制f)實(shí)施防止數(shù)據(jù)泄露的控制（如DLP工具）h)網(wǎng)絡(luò)安全架構(gòu)包護(hù)軟件、固件a)為Architecture域中活動(dòng)的建立、遵b)提供充足的資源（人員、資金和工具）來(lái)支持Architecture域的活動(dòng)c)最新策略或其他組織文件定義了Architecd)在Architecture域執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)e)在Architecture域?yàn)榛頵)評(píng)估并跟蹤Architecture域活動(dòng)的有效性c)網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略和優(yōu)先事項(xiàng)文檔化，并與組織戰(zhàn)略目標(biāo)和關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)保d)網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略定義了該組織為e)網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略定義了網(wǎng)絡(luò)安f)網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略定義了網(wǎng)絡(luò)安全計(jì)劃擬遵循的標(biāo)準(zhǔn)和指導(dǎo)方針g)網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略定義了網(wǎng)絡(luò)安全計(jì)劃必須滿(mǎn)足的合規(guī)要求（h)更新網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略，以反映業(yè)務(wù)變化、運(yùn)營(yíng)環(huán)2.保障網(wǎng)絡(luò)安全計(jì)劃d)提供足夠的資源（人員、資金和工具）來(lái)運(yùn)營(yíng)與戰(zhàn)略相一致的網(wǎng)絡(luò)安全計(jì)劃f)高管支持網(wǎng)絡(luò)安全策略的發(fā)展、維護(hù)和執(zhí)行g(shù))為一位具有足夠權(quán)力的角色分配了網(wǎng)絡(luò)安全計(jì)劃的職責(zé)h)與網(wǎng)絡(luò)安全計(jì)劃管理活動(dòng)相關(guān)的利益相關(guān)者已確定且進(jìn)行了參與i)定期審查網(wǎng)絡(luò)安全計(jì)劃活動(dòng)，以確保適用于網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略j)定期或根據(jù)特定條件對(duì)網(wǎng)絡(luò)安全計(jì)劃活動(dòng)進(jìn)行獨(dú)立審查，以確保符合網(wǎng)絡(luò)安全戰(zhàn)a)為Program域中活動(dòng)的建立、b)提供充足的資源（人員、資金和工具）來(lái)支持Program域的活動(dòng)c)最新策略或其他組織文件定義了Pd)在Program域執(zhí)行活動(dòng)的人員具有相應(yīng)職責(zé)所需的技能和知識(shí)f)評(píng)估并跟蹤Program域活動(dòng)的有效性客戶(hù)服務(wù)主管和財(cái)務(wù)副總裁將根據(jù)新計(jì)劃來(lái)解決潛在事件和隨后的公關(guān)問(wèn)題造成的即卡內(nèi)基梅隆大學(xué)和軟件工程學(xué)院的這份材料基于CybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCESTheC2M2wasderivedfromtheES-C2M2.TheDOEacknowledgestheelectricitysubsectorstandards,guidelines,whitepapers,andframeworksthatinformedthedevelopmentofthefirstiterationofthemodel.ThegeneralreferencesbelowwereeitherusedinthedevelopmentofthisdocumentormayserveasasourceforfurtherinformationregardingthepracticesidentifiedwithinHandbookforComputerSecurityIncidentResponseTeams(CSIRTs)(CMUwebsite:/library/aTheSGMMTeam.2011,Universitywebsite:/li/library/asset-CybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCESCommitteeonNationalSec/files/NCSC/do4009_National_Information_AssuranceIndustrialControlSystemsJointWorkingGrouDepartmentofHomelandSecurity.2019.CyRetrievedMay30,2019,fromPartneringforCriticalInfrastructureSecurityandResilience./publication/nipp-2013-partnering-critical-infrastructDepartmentofHomelanSecurityDivision.2009.U.S.LanguageforControlSystems./sites/prod/files/2015/01/f19/Energy%20SectorFramework%20Implementation%20Guidan/ceser/downloads/cybersecurity-risk-manachieve-energy-delivery-systems-cyber/resources/guides/csirt_caseInfrastructureIden/homeland-security-presidBusinessRiskManagementMaturityMoInternationalSocietyofAutomation(ISASecurity:EstablishinganIndustrialAutomationandControlSystemsSecurityProgram(ANSI/ISA-99.02.01-2009).InternationalOrganizationforStandardization.2004.StandardizationandRelatInternationalOrganizationforStandardization.2011.InInternationalOrganizationforStandardization.2008.SystemsSecuMaturityModel(SSE-CCybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCESInternationalOrganizationforStandardization.2008.InforSystems(ISO/IECCD27001:2005).InternationalOrganizationforStandardization.2008.CodeofPracticeforInformationSecurityManagement(ISO/IEC27002:2005).InternationalOrganizationforStandardization.n.d.SecurityManagementSupplyChain–BestPracticesforImplementingSupplyChainSecurity,AssessmentsandPlans–from/scresponse/repository/rice_tenney_SCS_NationalDefenseIndustrialAssociation,SystemAssuranceNationalInstituteofStandardsandTechnology.20/cybeNationalInstituteofStandardsandTechnology.2012.NISTFra/nistpubs/SpecialPublications/NIth,P.,&Klein,P.2014.ARole-Basedy/publications/detail/sp/800-16/rev-1/archiveCybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCES2018.RiskManagementFrameworkforInformationSystemsandOrganizations:ASystemLifeCycleApproachforSecurityandPrivacy(NISTSpecJune19,2020,from/Wilson,M.,&Hash,J.2009.SecurityandPrivacyControlsforFederalInformationSystemsandhttps:///publications/detail/spRoss,R.,McEvilley,M.,MultidisciplinaryApproachintheEngineeringofTrustworthy19,2010fromhttps://csr/nistpubs/SpecialPublications/NINationalInstituteofStandardsandTechnolo2019,from/pInformationSecurityContinuousMonitoring(ISCM)forFederalInformationSystemsand/publications/detSystems:ASystemsSecurityEngineeri/publications/detManagementPracticesforFederalInformation/publications/detTheSmartGridInteroperabilityPanelSmartGridCybersecurity,Volume1:SmartGridCyberSecurityMay30,2019,from/puTheSmartGridInteroperabilityPanelSmartGridCybersecurity,Volume3:Supportive/publications/detail/nistGarfinkel,S.L.2015./nistpubs/ir/201/governanc/library/asset-vITSecurityExpertAdvisoryGroup.2012.GenericSCADARis.au/Documents/SCADA-Generic-Risk-ManagemManagementAwareness.ArmedForce/committees/cyber/documentCybersecurityCapabilityMaturityModel,Version2.0APPENDIXB:GLOSSARYsystemcomponentsandinfrastructureandorganizatpolicy,ortraining.Thstructureandbehavioroftheorganizatincludingcontrols,processes,tcommensuratewiththerisktocritSeecybersecurityarchSomethingofvaluetothecommensuratewiththerisktocrassetthatisconsidered“threatactorsandtheorganization’sassets.These.public-facing.individualsystemsthatwouldallowlateral.systemswithadministrativerightsthatwouldenableprivilege.informationsuchaspersonallyidentAcontinuousprocessofcAcollectionofactivitiintegrityofassetschanging,andmonitoringtheconficonfidentiality,integrity,aninfrastructureandorganizatacomputingenvironment/infrastructure,ortoensuretheirconfidentialitimplementedtomaintatheorganization’sassetsandTheadministrative,managedtomeetcyberenterprisecybersecuritypplanning,andsponsorshiamannerthatalignscybersecurstrategicobjectivesaninstructions,regulationsObligationsforensuringtheorganizationAstrategythatencompassesavoiprovision.Thepracticeswithin“ManageAssetConfiguration”fortheASSETdomainand“IncreaseCybersecurityAwareness”fortheWenterpriseandorganization.contributetotheenterprisecybersecurityarchiAnorganizationalprocessoGovernancealsotypicallyincludthemanagerialtone),comwithstrategicobjectives).organization’sassets.Controlaccecommensuratewiththerisktocritpotentialtosignificantlyaffect)Thestagesofanincidetriaging,declaring,tracking,documenting,hanindications,vulnerabilities,andprottobetterunderstandcross-Asecuritycontrolorganizationalmissionsandbuaccomplishrequiredorganizactivitythatisessedetectionofcybersecurityphysicalcontrol.“internalcontrols”TherequirementsestablishedtodSeedomainobjectivesandorganizationalobjectivoperationalresiliencefocuseoperationalrisk,whereasentSeepredefinedstatesofoperation.managementsystems,fthatencompassesthefunctionselecorganizationareofteninterchangeable.Seealsoftheorganization-definedfreorganizationalobjectivesandforthefunction,commensuratetoadeclaredcyberseAseriesofdiscreteacTheperiodoftimewiassessment,executionandveri