為改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架.docx

（水平有限，翻譯粗糙，僅供參考）為改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架Version 1.0國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所February 12, 2014February 12, 2014網(wǎng)絡(luò)安全框架Version 1.0Table of ContentsExecutive Summary11.0Framework Introduction32.0Framework Basics73.0How to Use the Framework13Appendix A: Framework Core18Appendix B: Glossary37Appendix C: Acronyms39List of FiguresFigure 1: Framework Core Structure7Figure 2: Notional Information and Decision Flows within an Organization12List of TablesTable 1: Function and Category Unique Identifiers19Table 2: Framework Core20ii執(zhí)行摘要美國(guó)的國(guó)家安全和經(jīng)濟(jì)安全取決于關(guān)鍵基礎(chǔ)設(shè)施的可靠運(yùn)作的。網(wǎng)絡(luò)安全威脅攻擊日益復(fù)雜和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的連接，把國(guó)家的安全，經(jīng)濟(jì)，風(fēng)險(xiǎn)公眾安全和健康。類(lèi)似的財(cái)務(wù)和聲譽(yù)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)影響到公司的底線(xiàn)。它可以驅(qū)動(dòng)多達(dá)費(fèi)用及影響收入。它可能會(huì)損害一個(gè)組織的創(chuàng)新，以獲得并保持客戶(hù)的能力。為了更好地解決這些風(fēng)險(xiǎn)，總統(tǒng)于2013年2月12日，其中規(guī)定“I t是美國(guó)的政策，加強(qiáng)國(guó)家的安全和彈性頒布行政命令13636，”改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全?！瓣P(guān)鍵基礎(chǔ)設(shè)施和維護(hù)，鼓勵(lì)高效，創(chuàng)新，和經(jīng)濟(jì)繁榮，同時(shí)促進(jìn)安全，保安，商業(yè)機(jī)密，隱私和公民自由?！霸谥贫ㄟ@項(xiàng)政策的網(wǎng)絡(luò)環(huán)境，執(zhí)行命令為自愿風(fēng)險(xiǎn)的發(fā)展需要基于網(wǎng)絡(luò)安全框架 - 一套行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，幫助企業(yè)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。由此產(chǎn)生的框架，通過(guò)政府和私營(yíng)部門(mén)之間的合作創(chuàng)建的，使用共同的語(yǔ)言，無(wú)需放置額外的監(jiān)管要求，對(duì)企業(yè)在根據(jù)業(yè)務(wù)需要具有成本效益的方式處理和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該框架著重于使用業(yè)務(wù)驅(qū)動(dòng)因素，以指導(dǎo)網(wǎng)絡(luò)安全的活動(dòng)，并考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，組織風(fēng)險(xiǎn)管理程序的一部分。該框架由三部分組成：核心框架，該框架配置文件和框架實(shí)施層級(jí)。該框架的核心是一套網(wǎng)絡(luò)安全的活動(dòng)，成果，和翔實(shí)的參考資料是通用的重要基礎(chǔ)設(shè)施行業(yè)，為發(fā)展個(gè)人組織檔案的詳細(xì)指導(dǎo)。通過(guò)使用配置文件中，該框架將幫助組織調(diào)整其網(wǎng)絡(luò)安全的活動(dòng)，其業(yè)務(wù)需求，風(fēng)險(xiǎn)承受能力和資源。各層提供一個(gè)機(jī)制，組織查看和了解他們的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特性。該行政命令還要求該框架包括一個(gè)方法來(lái)保護(hù)個(gè)人隱私和公民自由時(shí)，重要的基礎(chǔ)設(shè)施組織開(kāi)展網(wǎng)絡(luò)安全的活動(dòng)。雖然流程和現(xiàn)有的需求會(huì)有所不同，該框架能夠幫助組織整合的隱私和公民自由的全面網(wǎng)絡(luò)安全計(jì)劃的一部分。該框架使組織 - 無(wú)論大小，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度，或網(wǎng)絡(luò)安全的復(fù)雜性 - 原則和風(fēng)險(xiǎn)管理的最佳實(shí)踐應(yīng)用到改善關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。該框架提供了組織和結(jié)構(gòu)到今天的多種途徑，以網(wǎng)絡(luò)安全組裝標(biāo)準(zhǔn)，準(zhǔn)則和做法，如今正在有效地業(yè)。此外，因?yàn)樗昧巳蚬J(rèn)的標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全，該框架還可以用于由位于美國(guó)以外的組織，可以作為一個(gè)典范加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全國(guó)際合作。該框架是不是一個(gè)尺寸適合所有人的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵基礎(chǔ)設(shè)施。組織將繼續(xù)有獨(dú)特的風(fēng)險(xiǎn) - 不同的威脅，不同的弱點(diǎn)，不同的風(fēng)險(xiǎn)承受能力 - 以及他們?nèi)绾螌?shí)施該框架的行為會(huì)有所不同。組織可以決定是很重要的關(guān)鍵服務(wù)活動(dòng)，并可以?xún)?yōu)先考慮投資，以最大限度地度過(guò)每一美元的影響。最終，該框架旨在減少和更好地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該框架是一個(gè)活的文件，并會(huì)繼續(xù)進(jìn)行更新和改善，產(chǎn)業(yè)提供了執(zhí)行的反饋。在架構(gòu)上付諸實(shí)踐，經(jīng)驗(yàn)教訓(xùn)將被整合到未來(lái)版本。這將確保它滿(mǎn)足關(guān)鍵基礎(chǔ)設(shè)施的業(yè)主和運(yùn)營(yíng)商的需求在新的威脅，風(fēng)險(xiǎn)和解決方案，一個(gè)充滿(mǎn)活力和挑戰(zhàn)性的環(huán)境。使用這種自愿框架是下一步要提高我們國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全 - 為個(gè)別組織的指導(dǎo)，同時(shí)增加了國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施作為一個(gè)整體的網(wǎng)絡(luò)安全態(tài)勢(shì)。211.0框架簡(jiǎn)介美國(guó)的國(guó)家安全和經(jīng)濟(jì)安全取決于關(guān)鍵基礎(chǔ)設(shè)施的可靠運(yùn)作的。為了加強(qiáng)這一基礎(chǔ)設(shè)施的恢復(fù)力，奧巴馬總統(tǒng)2月12日頒布行政命令13636 （ EO ） ， “改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全， ” ，對(duì)于自愿網(wǎng)絡(luò)安全框架（ “框架” ） ，它提供了“優(yōu)先，靈活，可重復(fù)，基于績(jī)效的，和成本效益的方法”直接管理這些流程，信息和系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)展這一行政命令要求參與關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的提供。該框架，與業(yè)界合作開(kāi)發(fā)，提供指導(dǎo)，在管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)組織。關(guān)鍵基礎(chǔ)設(shè)施是在EO定義為“系統(tǒng)和資產(chǎn)，不論是物理或虛擬的，所以至關(guān)重要的美國(guó)的無(wú)行為能力或破壞這些制度和資產(chǎn)將會(huì)對(duì)安全，國(guó)家經(jīng)濟(jì)安全，國(guó)家公共健康或使人衰弱的影響安全，或該等事項(xiàng)的任何組合。 “由于來(lái)自外部和內(nèi)部的威脅越來(lái)越大的壓力，負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織需要有一個(gè)一致的，迭代的方法來(lái)識(shí)別，評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這種做法是必要的，無(wú)論一個(gè)組織的規(guī)模，威脅曝光或網(wǎng)絡(luò)安全的復(fù)雜的今天。在關(guān)鍵基礎(chǔ)設(shè)施的社區(qū)，包括公共和私營(yíng)業(yè)主和運(yùn)營(yíng)商，以及其他實(shí)體在確保國(guó)家的基礎(chǔ)設(shè)施的作用。每個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的執(zhí)行委員是由信息技術(shù)支持的功能（ IT）和工業(yè)控制系統(tǒng)（ ICS ） .2這依賴(lài)于技術(shù)，通信和IT和ICS的互聯(lián)互通已發(fā)生變化，擴(kuò)大了潛在的漏洞和潛在的增長(zhǎng)對(duì)風(fēng)險(xiǎn)的操作。例如， ICS和ICS的操作產(chǎn)生的數(shù)據(jù)越來(lái)越多地用于提供關(guān)鍵的服務(wù)和支持業(yè)務(wù)決策，一個(gè)網(wǎng)絡(luò)安全事件對(duì)組織業(yè)務(wù)的潛在影響，資產(chǎn)，健康和個(gè)人安全和環(huán)境，應(yīng)考慮。要管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，該組織的業(yè)務(wù)驅(qū)動(dòng)因素和具體到它的使用IT和ICS安全考慮清楚的認(rèn)識(shí)是必要的。因?yàn)槊總€(gè)組織的風(fēng)險(xiǎn)是獨(dú)一無(wú)二的，隨著其使用的IT和ICS的，用于實(shí)現(xiàn)由框架所描述的結(jié)果的工具和方法會(huì)有所不同。認(rèn)識(shí)到隱私和公民自由的保護(hù)，提高公眾的信任所扮演的角色，執(zhí)行命令要求該框架包括一個(gè)方法來(lái)保護(hù)個(gè)人隱私和公民自由時(shí)，重要的基礎(chǔ)設(shè)施組織開(kāi)展網(wǎng)絡(luò)安全的活動(dòng)。許多組織已經(jīng)有了解決隱私和公民自由的過(guò)程。該方法的目的是補(bǔ)充這些過(guò)程，并提供指導(dǎo)，以促進(jìn)隱私風(fēng)險(xiǎn)管理與組織的方法，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一致的。集成的隱私和網(wǎng)絡(luò)安全可以通過(guò)增加客戶(hù)的信心，讓更多的標(biāo)準(zhǔn)化的信息共享，并在法律制度簡(jiǎn)化操作獲益的組織。1Executive Order no. 13636, Improving Critical Infrastructure Cybersecurity, DCPD-201300091, February 12, 2013. /fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf2The DHS Critical Infrastructure program provides a listing of the sectors and their associated critical functions and value chains. /critical-infrastructure-sectors為確保可擴(kuò)展性，使技術(shù)創(chuàng)新，架構(gòu)是技術(shù)中立的。該框架依賴(lài)于各種現(xiàn)有的標(biāo)準(zhǔn)，準(zhǔn)則和措施，使關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)商，實(shí)現(xiàn)彈性。依靠這些全球性的標(biāo)準(zhǔn)，指南和開(kāi)發(fā)，管理，及行業(yè)更新的做法，可實(shí)現(xiàn)的成果框架的工具和方法將規(guī)?？缭絿?guó)界，承認(rèn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的全球性，并發(fā)展與技術(shù)的進(jìn)步和業(yè)務(wù)要求。利用現(xiàn)有的和新興的標(biāo)準(zhǔn)，使規(guī)模經(jīng)濟(jì)和推動(dòng)有效的產(chǎn)品，服務(wù)和實(shí)踐，滿(mǎn)足確定市場(chǎng)需求的發(fā)展。市場(chǎng)競(jìng)爭(zhēng)也促進(jìn)了這些技術(shù)和做法，實(shí)現(xiàn)了利益相關(guān)者，這些行業(yè)很多好處更快的傳播。從這些標(biāo)準(zhǔn)，準(zhǔn)則和慣例建立，框架提供了常用的分類(lèi)和機(jī)制組織：1 ）形容自己目前網(wǎng)絡(luò)安全的姿勢(shì);2 ）描述自己的目標(biāo)狀態(tài)，網(wǎng)絡(luò)安全;3 ）確定并優(yōu)先用于連續(xù)和重復(fù)的過(guò)程的范圍內(nèi)改善的機(jī)會(huì);4 ）評(píng)估向目標(biāo)狀態(tài)的進(jìn)展;5 ）溝通有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的內(nèi)部和外部利益相關(guān)者之間。該框架的補(bǔ)充，而不會(huì)取代，一個(gè)組織的風(fēng)險(xiǎn)管理流程和網(wǎng)絡(luò)安全方案。該組織可以利用其現(xiàn)有流程，并充分利用該框架來(lái)尋找機(jī)會(huì)，加強(qiáng)和溝通的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理，同時(shí)與行業(yè)慣例調(diào)整。可替換地，不具有現(xiàn)有的網(wǎng)絡(luò)安全方案的組織可以使用框架作為基準(zhǔn)，建立1 。正如框架不是特定行業(yè)，標(biāo)準(zhǔn)，準(zhǔn)則和慣例的通用分類(lèi)法，它也提供了不特定國(guó)家。在美國(guó)以外的機(jī)構(gòu)也可以使用框架來(lái)加強(qiáng)自身的網(wǎng)絡(luò)安全的努力，以及該框架可以促進(jìn)發(fā)展的共同語(yǔ)言對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全國(guó)際合作。1.1 在視圖框架工作該框架是一個(gè)基于風(fēng)險(xiǎn)的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并且由三部分組成：核心框架，該框架的實(shí)施層級(jí)和架構(gòu)配置文件。每個(gè)框架組件強(qiáng)化業(yè)務(wù)驅(qū)動(dòng)和網(wǎng)絡(luò)安全的活動(dòng)之間的聯(lián)系。下面這些部件進(jìn)行說(shuō)明。 該框架的核心是一套網(wǎng)絡(luò)安全的活動(dòng)，期望的結(jié)果，而且是通用的關(guān)鍵基礎(chǔ)設(shè)施部門(mén)適用的參考。核心呈現(xiàn)的方式，允許對(duì)網(wǎng)絡(luò)安全的活動(dòng)的溝通和跨組織的成果從行政級(jí)別來(lái)實(shí)施/運(yùn)營(yíng)層面的行業(yè)標(biāo)準(zhǔn)，準(zhǔn)則和慣例。該框架的核心是由五個(gè)并發(fā)和連續(xù)函數(shù)，確定，保護(hù)，檢測(cè)，響應(yīng)，恢復(fù)的。當(dāng)一起考慮，這些功能提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)組織的管理生命周期的一個(gè)高層次的，戰(zhàn)略的眼光。該框架的核心，然后確定相關(guān)主要類(lèi)別和子類(lèi)別的每個(gè)功能，并以實(shí)例參考性文獻(xiàn)，如現(xiàn)有標(biāo)準(zhǔn)，指南，并為每個(gè)子目錄的做法符合他們。 框架實(shí)施層級(jí)（ “層” ）提供上下文對(duì)一個(gè)組織如何觀(guān)看網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并在適當(dāng)?shù)某绦騺?lái)管理風(fēng)險(xiǎn)。層描述的程度，一個(gè)組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐中表現(xiàn)出的框架（如，風(fēng)險(xiǎn)和威脅感知，可重復(fù)和自適應(yīng)）所定義的特征。這些層在一定范圍內(nèi)表征一個(gè)組織的做法，從部分（第1層） ，以自適應(yīng)（第4層） 。這些層級(jí)反映非正式的，無(wú)響應(yīng)的進(jìn)程來(lái)是敏捷和風(fēng)險(xiǎn)告知的方法。在第一級(jí)選擇過(guò)程中，組織應(yīng)考慮其目前的風(fēng)險(xiǎn)管理措施，威脅環(huán)境，法律和監(jiān)管規(guī)定，業(yè)務(wù)/任務(wù)目標(biāo)和組織約束。 一個(gè)框架配置文件（ “檔案” ）代表需要一個(gè)組織已經(jīng)從框架類(lèi)別和子類(lèi)別選擇的基于業(yè)務(wù)的成果。配置文件可以被定性為標(biāo)準(zhǔn)，準(zhǔn)則和慣例的對(duì)齊方式Framework核心在一個(gè)特定的實(shí)施方案。配置文件可用于通過(guò)比較“當(dāng)前”個(gè)人資料以確定改進(jìn)網(wǎng)絡(luò)安全姿勢(shì)的機(jī)會(huì)（在“按原樣”狀態(tài)）與“目標(biāo)”個(gè)人資料（在“是”的狀態(tài)） 。要開(kāi)發(fā)一個(gè)配置文件，一個(gè)組織可以查看所有類(lèi)別和子類(lèi)別，并根據(jù)業(yè)務(wù)驅(qū)動(dòng)因素和風(fēng)險(xiǎn)評(píng)估，確定哪些是最重要的，他們可以根據(jù)需要來(lái)滿(mǎn)足組織的風(fēng)險(xiǎn)增加類(lèi)別和子類(lèi)別。當(dāng)前配置文件可以被用來(lái)支持優(yōu)先級(jí)和向著目標(biāo)配置文件進(jìn)度測(cè)量，而在其他的業(yè)務(wù)需求，包括成本效益和創(chuàng)新保理。配置文件可以被用來(lái)進(jìn)行自我評(píng)估，并在組織內(nèi)部或組織之間的溝通。1.2 風(fēng)險(xiǎn)管理?yè)Q貨和網(wǎng)絡(luò)安全工作框架風(fēng)險(xiǎn)管理是識(shí)別，評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)的持續(xù)過(guò)程。管理風(fēng)險(xiǎn)，企業(yè)應(yīng)該明白，將會(huì)發(fā)生一個(gè)事件的可能性和由此產(chǎn)生的影響。有了這些信息，企業(yè)可以決定可接受的風(fēng)險(xiǎn)水平提供服務(wù)，并可以表達(dá)這是他們的風(fēng)險(xiǎn)承受能力。隨著風(fēng)險(xiǎn)承受能力有所了解，企業(yè)可以?xún)?yōu)先考慮網(wǎng)絡(luò)安全的活動(dòng)，使企業(yè)能夠做出關(guān)于網(wǎng)絡(luò)安全支出明智的決定。風(fēng)險(xiǎn)管理計(jì)劃的實(shí)施提供了組織量化和溝通調(diào)整其網(wǎng)絡(luò)安全計(jì)劃的能力。組織可以選擇處理以不同的方式，包括減輕風(fēng)險(xiǎn)，轉(zhuǎn)移風(fēng)險(xiǎn)，從而避免了風(fēng)險(xiǎn)，或接受的風(fēng)險(xiǎn)，這取決于對(duì)關(guān)鍵服務(wù)的遞送的潛在影響的風(fēng)險(xiǎn)。該框架使用的風(fēng)險(xiǎn)管理流程，使組織有關(guān)網(wǎng)絡(luò)安全通知和優(yōu)先決定。它支持經(jīng)常性的風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)驅(qū)動(dòng)的驗(yàn)證，以幫助企業(yè)選擇目標(biāo)國(guó)家網(wǎng)絡(luò)安全的活動(dòng)，反映了期望的結(jié)果。因此，該框架使企業(yè)能夠動(dòng)態(tài)地選擇和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理為IT和ICS的環(huán)境中直接改善的能力該框架是自適應(yīng)，提供一個(gè)靈活的，基于風(fēng)險(xiǎn)的實(shí)現(xiàn)，它可以與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理過(guò)程的一系列廣泛使用。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程的例子包括國(guó)際標(biāo)準(zhǔn)化組織（ ISO ） 31000:20093 ， ISO / IEC 27005:20114 ，國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（ NIST）的特別出版物（SP ） 800-395 ，以及電力界別分組網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程（ RMP） guideline6 。1.3 文檔概述本文檔的其余部分包含以下章節(jié)和附錄： 第2節(jié)描述了框架的組成部分：框架核心的層級(jí)，以及配置文件。 第3節(jié)介紹了該框架可以使用的例子。 附錄A給出了核心框架以表格格式：的功能，類(lèi)別，子類(lèi)別，并參考性文獻(xiàn)。 附錄B中包含選定的術(shù)語(yǔ)表。 附錄C列出本文件中用到的縮寫(xiě)詞。3International Organization for Standardization, Risk management Principles and guidelines, ISO 31000:2009, 2009. /iso/home/standards/iso31000.htm4International Organization for Standardization/International Electrotechnical Commission, Information technology Security techniques Information security risk management, ISO/IEC 27005:2011, 2011./iso/catalogue_detail?csnumber=567425Joint Task Force Transformation Initiative, Managing Information Security Risk: Organization, Mission, and Information System View, NIST Special Publication 800-39, March 2011. /publications/nistpubs/800-39/SP800-39-final.pdf6U.S. Department of Energy, Electricity Subsector Cybersecurity Risk Management Process, DOE/OE-0003, May 2012. /sites/prod/files/Cybersecurity%20Risk%20Management%20Process%20Guideline%20%20Final%20-%20May%202012.pdf2.0基本框架該框架提供了一種共同語(yǔ)言的理解，管理，以及內(nèi)部和外部表達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它可以用來(lái)幫助識(shí)別和優(yōu)先降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的行動(dòng)，這是調(diào)整政策，業(yè)務(wù)和技術(shù)方法來(lái)管理這種風(fēng)險(xiǎn)的工具。它可用于在整個(gè)組織管理的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，或者它可以集中在一個(gè)組織內(nèi)的輸送關(guān)鍵服務(wù)。不同類(lèi)型的實(shí)體 - 包括部門(mén)的協(xié)調(diào)機(jī)構(gòu)，協(xié)會(huì)和組織 - 可以使用框架為不同的目的，包括建立共同的配置文件中。2.1 框架的核心該框架核心提供了一組活動(dòng)，以實(shí)現(xiàn)特定的網(wǎng)絡(luò)安全成果，并指導(dǎo)參考實(shí)例來(lái)實(shí)現(xiàn)這些成果。核心是不是要執(zhí)行的操作清單。它提出了確定行業(yè)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有益網(wǎng)絡(luò)安全的關(guān)鍵成果。核心包括四個(gè)要素：功能，類(lèi)別，子類(lèi)別，并參考性文獻(xiàn)，如圖1所示：Figure 1: Framework Core Structure該框架的核心元素結(jié)合在一起的工作方式如下： 功能組織基本的網(wǎng)絡(luò)安全活動(dòng)的最高水平。這些功能是識(shí)別，保護(hù)，檢測(cè)，響應(yīng)和恢復(fù)。他們幫助一個(gè)組織中表達(dá)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其通過(guò)組織信息化管理，使風(fēng)險(xiǎn)管理決策，應(yīng)對(duì)威脅，并從以往的活動(dòng)學(xué)習(xí)提高。該功能還配合現(xiàn)有方法的事件管理和幫助表示投資的網(wǎng)絡(luò)安全帶來(lái)的影響。例如，在規(guī)劃和演習(xí)的投資支持及時(shí)響應(yīng)和恢復(fù)行動(dòng)，導(dǎo)致對(duì)服務(wù)的交付減少的影響。 分類(lèi)是一個(gè)功能的細(xì)分到網(wǎng)絡(luò)安全的成果緊密聯(lián)系在一起的綱領(lǐng)性需求和特定活動(dòng)的團(tuán)體。類(lèi)別的例子包括“資產(chǎn)管理”，“訪(fǎng)問(wèn)控制”和“檢測(cè)過(guò)程。 ” 子類(lèi)別進(jìn)一步劃分一個(gè)類(lèi)別為技術(shù)和/或管理活動(dòng)的具體成果。他們提供了一個(gè)結(jié)果集，雖然并不詳盡，幫助支持實(shí)現(xiàn)在每個(gè)類(lèi)別的成果。子類(lèi)別的例子包括： “外部信息系統(tǒng)進(jìn)行編目”，“數(shù)據(jù)的靜止是被保護(hù)的”，和“從檢測(cè)系統(tǒng)通知進(jìn)行了研究。 ” 參考性文獻(xiàn)的標(biāo)準(zhǔn)，準(zhǔn)則和關(guān)鍵基礎(chǔ)設(shè)施部門(mén)，說(shuō)明的方法，以實(shí)現(xiàn)與各子類(lèi)別相關(guān)的結(jié)果之間的共同做法的具體章節(jié)。在核心框架提出的參考性文獻(xiàn)是說(shuō)明性的，并非詳盡無(wú)遺。他們是基于跨部門(mén)的指導(dǎo)框架開(kāi)發(fā)process.7過(guò)程中最經(jīng)常被引用的五個(gè)框架核心功能定義如下。這些功能不是為了形成一個(gè)串行路徑，或?qū)е蚂o態(tài)理想的最終狀態(tài)。相反，該函數(shù)可以同時(shí)和連續(xù)地進(jìn)行，以形成解決了動(dòng)態(tài)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的操作培養(yǎng)。見(jiàn)附錄A的完整框架核心上市。 識(shí)別 - 開(kāi)發(fā)組織的理解來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的系統(tǒng)，資產(chǎn)，數(shù)據(jù)和功能。 在識(shí)別功能的活動(dòng)是基本有效使用框架。了解業(yè)務(wù)環(huán)境，支持關(guān)鍵職能的資源，以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，使組織能夠集中和優(yōu)先努力，憑借其風(fēng)險(xiǎn)管理策略和業(yè)務(wù)需求保持一致。此功能在結(jié)果分類(lèi)的例子包括：資產(chǎn)管理，商業(yè)環(huán)境，治理，風(fēng)險(xiǎn)評(píng)估，以及風(fēng)險(xiǎn)管理策略。 保護(hù) - 制定并實(shí)施相應(yīng)的保障措施，以確保提供重要的基礎(chǔ)設(shè)施服務(wù)。 保護(hù)功能支持限制或含有潛在的網(wǎng)絡(luò)安全事件的影響的能力。此功能在結(jié)果分類(lèi)的例子包括：訪(fǎng)問(wèn)控制，意識(shí)和培訓(xùn)，數(shù)據(jù)安全，信息保護(hù)流程和程序;維護(hù);和保護(hù)技術(shù)。 檢測(cè) - 制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，以識(shí)別網(wǎng)絡(luò)安全事件的發(fā)生。 該檢測(cè)功能能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。此功能在結(jié)果分類(lèi)的例子包括：異常和事件;安全連續(xù)監(jiān)測(cè)，以及檢測(cè)過(guò)程。 響應(yīng) - 制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，以采取有關(guān)檢測(cè)到的網(wǎng)絡(luò)安全事件的行動(dòng)。7 NIST developed a Compendium of informative references gathered from the Request for Information (RFI) input, Cybersecurity Framework workshops, and stakeholder engagement during the Framework development process. The Compendium includes standards, guidelines, and practices to assist with implementation. The Compendium is not intended to be an exhaustive list, but rather a starting point based on initial stakeholder input. The Compendium and other supporting material can be found at /cyberframework/.該響應(yīng)函數(shù)支持包含一個(gè)潛在的網(wǎng)絡(luò)安全事件的影響的能力。此功能在結(jié)果分類(lèi)的例子包括：響應(yīng)計(jì)劃;通訊，分析，減災(zāi);和改進(jìn)。 恢復(fù) - 制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，以保持計(jì)劃的彈性和還原是由于網(wǎng)絡(luò)安全事件受損的任何功能或服務(wù)。 該恢復(fù)功能支持及時(shí)恢復(fù)到正常的操作，以減少?gòu)木W(wǎng)絡(luò)安全事件的影響。此功能在結(jié)果分類(lèi)的例子包括：恢復(fù)規(guī)劃;改進(jìn);和通信。2.2 框架實(shí)現(xiàn)層級(jí)該框架的實(shí)施層級(jí)（“層”）提供上下文對(duì)一個(gè)組織如何觀(guān)看網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并在適當(dāng)?shù)某绦騺?lái)管理風(fēng)險(xiǎn)。該層級(jí)的范圍從部分（第1層），以自適應(yīng)（第4層），并描述了嚴(yán)謹(jǐn)和復(fù)雜的程度增加網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理做法，其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是由業(yè)務(wù)需求了解并集成到一個(gè)組織的整體風(fēng)險(xiǎn)程度管理實(shí)踐。風(fēng)險(xiǎn)管理的考慮因素包括網(wǎng)絡(luò)安全的許多方面，包括其隱私和公民自由方面的考慮都融入的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和潛在的風(fēng)險(xiǎn)應(yīng)對(duì)組織的管理程度。第一級(jí)選擇過(guò)程中考慮企業(yè)當(dāng)前的風(fēng)險(xiǎn)管理做法，威脅環(huán)境，法律和監(jiān)管規(guī)定，業(yè)務(wù)/任務(wù)目標(biāo)和組織約束。組織應(yīng)確定所需的第一級(jí)，以確保所選擇的級(jí)別是否符合組織的目標(biāo)，是貫徹落實(shí)可行的，并降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要資產(chǎn)和資源，以接受該組織的水平。組織應(yīng)考慮利用來(lái)自聯(lián)邦政府部門(mén)和機(jī)構(gòu)，信息共享和分析中心（ ISACS ） ，現(xiàn)有的成熟度模型，或其他來(lái)源獲得的，以幫助確定自己想要的層外部指導(dǎo)。雖然組織認(rèn)定為一級(jí)（部分）鼓勵(lì)將考慮轉(zhuǎn)向方法2或更大，層級(jí)并不代表成熟度級(jí)別。發(fā)展到更高層級(jí)的鼓勵(lì)時(shí)，這樣的改變會(huì)降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并符合成本效益。成功實(shí)施該框架是基于成就組織的目標(biāo)配置文件（S ），而不是在一線(xiàn)的決心所描述的結(jié)果時(shí)。該層定義如下：第1級(jí)：部分風(fēng)險(xiǎn)管理程序 - 組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐沒(méi)有正式的，而且風(fēng)險(xiǎn)是在一個(gè)特設(shè)有時(shí)無(wú)的方式進(jìn)行管理。網(wǎng)絡(luò)安全的活動(dòng)的優(yōu)先順序，不得直接告知組織風(fēng)險(xiǎn)的目標(biāo)，威脅環(huán)境，或業(yè)務(wù)/任務(wù)需求。集成的風(fēng)險(xiǎn)管理計(jì)劃 - 目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在組織層面認(rèn)識(shí)有限和整個(gè)組織的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)尚未確定。組織實(shí)施對(duì)不規(guī)則，逐案基礎(chǔ)上，由于豐富的經(jīng)驗(yàn)，或從外部來(lái)源獲得的信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。該組織可能沒(méi)有流程，使網(wǎng)絡(luò)安全信息可在組織內(nèi)共享。外部參與 - 一個(gè)組織可能沒(méi)有到位的過(guò)程中參與的協(xié)調(diào)或協(xié)作與其他實(shí)體。第2層：風(fēng)險(xiǎn)知情風(fēng)險(xiǎn)管理流程 - 風(fēng)險(xiǎn)管理實(shí)踐均經(jīng)管理層批準(zhǔn)，但可能不被確立為組織范圍的策略。網(wǎng)絡(luò)安全的活動(dòng)的優(yōu)先順序是直接告知組織風(fēng)險(xiǎn)的目標(biāo)，威脅環(huán)境，或業(yè)務(wù)/任務(wù)需求。集成的風(fēng)險(xiǎn)管理計(jì)劃 - 目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在組織水平，但全組織的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)尚未建立的意識(shí)。風(fēng)險(xiǎn)告知，管理層批準(zhǔn)的過(guò)程和程序都定義和實(shí)現(xiàn)，以及工作人員有足夠的資源來(lái)履行其網(wǎng)絡(luò)安全的職責(zé)。網(wǎng)絡(luò)安全信息上非正式地在組織內(nèi)共享。外部參與 - 組織知道它在更大的生態(tài)系統(tǒng)的作用，但還沒(méi)有正式確定了其功能，對(duì)外交流和共享信息。第3層：可重復(fù)風(fēng)險(xiǎn)管理程序 - 該組織的風(fēng)險(xiǎn)管理做法被正式批準(zhǔn)，并表示為政策。組織網(wǎng)絡(luò)安全的做法是定期更新的基礎(chǔ)上的風(fēng)險(xiǎn)管理程序的應(yīng)用，以改變業(yè)務(wù)/任務(wù)要求和不斷變化的威脅和技術(shù)的景觀(guān)。集成的風(fēng)險(xiǎn)管理計(jì)劃 - 有一個(gè)組織范圍內(nèi)的方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。是風(fēng)險(xiǎn)告知政策，流程和程序中定義，實(shí)現(xiàn)為目的，并審查。一致的方法已到位，有效地改變應(yīng)對(duì)風(fēng)險(xiǎn)。人員具備的知識(shí)和技能，以履行其指定的角色和責(zé)任。外部參與 - 組織了解其依賴(lài)關(guān)系和合作伙伴，并從這些合作伙伴，使協(xié)作和組織內(nèi)部基于風(fēng)險(xiǎn)的管理決策響應(yīng)事件接收信息。第4級(jí)：自適應(yīng)風(fēng)險(xiǎn)管理流程 - 基于經(jīng)驗(yàn)教訓(xùn)，并從以往和當(dāng)前網(wǎng)絡(luò)安全的活動(dòng)所產(chǎn)生的預(yù)測(cè)指標(biāo)，該組織適應(yīng)其網(wǎng)絡(luò)安全的做法。通過(guò)不斷完善結(jié)合先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和實(shí)踐的過(guò)程中，組織積極適應(yīng)不斷變化的網(wǎng)絡(luò)安全景觀(guān)和響應(yīng)不斷變化，并及時(shí)復(fù)雜的安全威脅。集成的風(fēng)險(xiǎn)管理計(jì)劃 - 有一個(gè)組織范圍內(nèi)的方法來(lái)管理使用風(fēng)險(xiǎn)告知政策，流程和程序，以解決潛在的網(wǎng)絡(luò)安全事件的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是組織文化的一部分，從以前的活動(dòng)，通過(guò)其他渠道共享信息，并在他們的系統(tǒng)和網(wǎng)絡(luò)活動(dòng)的意識(shí)不斷的認(rèn)識(shí)演進(jìn)。外部參與 - 組織管理風(fēng)險(xiǎn)，并積極分享信息與合作伙伴，以確保準(zhǔn)確，及時(shí)的信息的分發(fā)和消費(fèi)的一個(gè)網(wǎng)絡(luò)安全事件發(fā)生之前，以改善網(wǎng)絡(luò)安全。2.3 框架簡(jiǎn)介該框架配置文件（ “檔案” ）是函數(shù)，類(lèi)別和子類(lèi)別的業(yè)務(wù)需求，風(fēng)險(xiǎn)承受能力，以及資源組織的對(duì)齊方式。一個(gè)側(cè)影使組織能夠建立一個(gè)路線(xiàn)圖，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是很好用的組織和部門(mén)的目標(biāo)一致，認(rèn)為法律/法規(guī)要求和行業(yè)最佳實(shí)踐，并體現(xiàn)了風(fēng)險(xiǎn)管理的優(yōu)先事項(xiàng)。鑒于許多組織的復(fù)雜性，他們可以選擇有多個(gè)配置文件，特別組件，并認(rèn)識(shí)他們的個(gè)人需求保持一致。框架配置文件可以用來(lái)形容當(dāng)前的狀態(tài)或特定的網(wǎng)絡(luò)安全活動(dòng)所需的目標(biāo)狀態(tài)。當(dāng)前配置文件的指示，目前正在取得的網(wǎng)絡(luò)安全成果。目標(biāo)資料表明以實(shí)現(xiàn)所需的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)所需要的結(jié)果。配置文件支持業(yè)務(wù)/任務(wù)需求，并有助于風(fēng)險(xiǎn)的內(nèi)部和組織之間的溝通。此框架文件沒(méi)有規(guī)定個(gè)人資料模板，允許在實(shí)施的靈活性。配置文件（例如，當(dāng)前配置和目標(biāo)配置文件）的比較可發(fā)現(xiàn)差距加以解決，以滿(mǎn)足網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理目標(biāo)。一項(xiàng)行動(dòng)計(jì)劃，以解決這些差距可以促進(jìn)上述路線(xiàn)圖。減緩差距的優(yōu)先次序是由組織的業(yè)務(wù)需求和風(fēng)險(xiǎn)管理流程驅(qū)動(dòng)的。這種基于風(fēng)險(xiǎn)的方法使組織能夠衡量資源估算（如人員，資金）來(lái)實(shí)現(xiàn)具有成本效益的，優(yōu)先的方式網(wǎng)絡(luò)安全的目標(biāo)。2.4 協(xié)調(diào)框架的實(shí)施圖2描述的信息，并決定組織內(nèi)部的共同流量為以下幾個(gè)層次： 執(zhí)行 業(yè)務(wù)/流程 實(shí)施/運(yùn)營(yíng) 行政級(jí)別通信的任務(wù)優(yōu)先級(jí)，可利用的資源，以及整體風(fēng)險(xiǎn)承受能力到業(yè)務(wù)/流程層面。業(yè)務(wù)/流程層面使用信息作為輸入到風(fēng)險(xiǎn)管理過(guò)程，然后與合作的實(shí)施/運(yùn)營(yíng)級(jí)通信業(yè)務(wù)需求，并創(chuàng)建一個(gè)配置文件。實(shí)施/運(yùn)營(yíng)級(jí)通信的個(gè)人資料實(shí)施進(jìn)展情況向業(yè)務(wù)/流程層面。業(yè)務(wù)/流程層面使用這些信息來(lái)進(jìn)行影響評(píng)估。業(yè)務(wù)/流程層面的管理報(bào)告，影響評(píng)估的結(jié)果，以行政級(jí)別來(lái)通知該組織的整體風(fēng)險(xiǎn)管理程序，并實(shí)施/操作對(duì)業(yè)務(wù)的影響的認(rèn)識(shí)水平。Figure 2: Notional Information and Decision Flows within an Organization3.0如何使用框架一個(gè)組織可以使用該框架作為其系統(tǒng)的過(guò)程的一個(gè)關(guān)鍵部分進(jìn)行識(shí)別，評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該框架的目的不是要取代現(xiàn)有的流程，組織可以使用其當(dāng)前進(jìn)程和覆蓋其上的框架，以確定差距，其目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法，并制定路線(xiàn)圖的改進(jìn)。利用該框架作為一個(gè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理工具，一個(gè)組織可以判斷是最重要的，關(guān)鍵的服務(wù)提供活動(dòng)和優(yōu)先支出，以最大限度地提高投資的影響。該框架的目的是補(bǔ)充現(xiàn)有業(yè)務(wù)和網(wǎng)絡(luò)安全業(yè)務(wù)。它可以作為一個(gè)新的網(wǎng)絡(luò)安全方案或機(jī)制以改善現(xiàn)有程序的基礎(chǔ)。該框架提供了一種表達(dá)網(wǎng)絡(luò)安全要求與業(yè)務(wù)合作伙伴和客戶(hù)的一種手段，可以幫助確定一個(gè)組織的網(wǎng)絡(luò)安全實(shí)踐的差距。它還提供了一個(gè)一般設(shè)置注意事項(xiàng)和流程考慮在網(wǎng)絡(luò)安全程序的上下文隱私和公民自由問(wèn)題。以下各節(jié)介紹不同的方法，使組織可以使用該框架。3.1 基本審查網(wǎng)絡(luò)安全實(shí)踐該框架可用于與本框架的核心概括比較組織當(dāng)前網(wǎng)絡(luò)安全的活動(dòng)。通過(guò)創(chuàng)建一個(gè)當(dāng)前的配置文件，組織可以檢查它們所實(shí)現(xiàn)的核心類(lèi)別和子類(lèi)別描述的結(jié)果，與五高層次的功能一致的程度：識(shí)別，保護(hù)，檢測(cè)，響應(yīng)和恢復(fù)。一個(gè)組織可能會(huì)發(fā)現(xiàn)它已經(jīng)達(dá)到理想的結(jié)果，因此，網(wǎng)絡(luò)安全管理與已知的風(fēng)險(xiǎn)相稱(chēng)。相反，一個(gè)組織可以判定它有機(jī)會(huì)（或需要）提高。該組織可以利用這些信息來(lái)制定一項(xiàng)行動(dòng)計(jì)劃，以加強(qiáng)現(xiàn)有的網(wǎng)絡(luò)安全實(shí)踐，并降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。一個(gè)組織也可能會(huì)發(fā)現(xiàn)，它是過(guò)度投資達(dá)到一定的成果。該組織可以使用此信息來(lái)重新確定優(yōu)先次序資源，加強(qiáng)網(wǎng)絡(luò)安全的其他行為。雖然他們并不能取代風(fēng)險(xiǎn)管理程序，這五個(gè)高水平的功能將會(huì)對(duì)高級(jí)管理人員和其他人提供了一個(gè)簡(jiǎn)潔的方式來(lái)提煉的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的基本概念，使他們能夠評(píng)估如何識(shí)別風(fēng)險(xiǎn)的管理，以及如何組織他們的書(shū)庫(kù)在高達(dá)針對(duì)現(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，準(zhǔn)則和慣例的高水平。該框架還可以幫助企業(yè)回答的基本問(wèn)題，包括“是怎樣的呢？ ”然后，他們可以在一個(gè)更明智的方式來(lái)加強(qiáng)其網(wǎng)絡(luò)安全的做法認(rèn)為有必要在何時(shí)何地移動(dòng)。3.2 建立或完善一個(gè)網(wǎng)絡(luò)安全計(jì)劃下面的步驟說(shuō)明如何組織可以使用該框架來(lái)創(chuàng)建一個(gè)新的網(wǎng)絡(luò)安全程序或改進(jìn)現(xiàn)有的程序。應(yīng)重復(fù)這些步驟，要不斷提高網(wǎng)絡(luò)安全。第1步：優(yōu)先和范圍。該組織確定其業(yè)務(wù)/任務(wù)目標(biāo)和高層次的組織優(yōu)先事項(xiàng)。有了這些信息，組織公司對(duì)于網(wǎng)絡(luò)安全的實(shí)現(xiàn)戰(zhàn)略決策，并確定系統(tǒng)和支持選定的業(yè)務(wù)線(xiàn)或過(guò)程資產(chǎn)的范圍。該框架可適應(yīng)以支持組織內(nèi)的不同業(yè)務(wù)線(xiàn)或過(guò)程，也可以有不同的業(yè)務(wù)需求和相關(guān)的風(fēng)險(xiǎn)承受能力。第2步：東方。一旦網(wǎng)絡(luò)安全方案的范圍已確定為業(yè)務(wù)線(xiàn)或過(guò)程，組織確定了相關(guān)制度和資產(chǎn)，監(jiān)管要求和整體風(fēng)險(xiǎn)的方法。然后，組織識(shí)別威脅，而且，這些系統(tǒng)和資產(chǎn)脆弱性。第3步：創(chuàng)建一個(gè)當(dāng)前配置文件。該組織通過(guò)指示其分類(lèi)，并從框架核心子目錄成果，目前正在實(shí)現(xiàn)開(kāi)發(fā)一個(gè)當(dāng)前配置文件。第4步：進(jìn)行風(fēng)險(xiǎn)評(píng)估。這項(xiàng)評(píng)估可能由該組織的整體風(fēng)險(xiǎn)管理過(guò)程中或以前的風(fēng)險(xiǎn)評(píng)估活動(dòng)的指導(dǎo)。該組織分析經(jīng)營(yíng)環(huán)境，以識(shí)別一個(gè)網(wǎng)絡(luò)安全事件的可能性和該事件可能對(duì)組織的影響。重要的是，組織爭(zhēng)取把新的風(fēng)險(xiǎn)和威脅和漏洞數(shù)據(jù)，以便充分理解的可能性和網(wǎng)絡(luò)安全事件的影響。第5步：創(chuàng)建目標(biāo)配置文件。該組織創(chuàng)建目標(biāo)配置文件，側(cè)重于框架類(lèi)別和子類(lèi)別描述了組織的期望的網(wǎng)絡(luò)安全成果的評(píng)估。組織也可以開(kāi)發(fā)自己的額外的類(lèi)別和子類(lèi)別占到獨(dú)特的組織風(fēng)險(xiǎn)。創(chuàng)建目標(biāo)配置文件時(shí)，該組織也可考慮影響和外部利益相關(guān)者的要求，如部門(mén)實(shí)體，客戶(hù)和業(yè)務(wù)合作伙伴。第6步：確定，分析和優(yōu)先差距。該組織比較了當(dāng)前配置和目標(biāo)配置文件，以確定差距。接著，它會(huì)創(chuàng)建一個(gè)優(yōu)先行動(dòng)計(jì)劃，以解決這些差距的借鑒使命的驅(qū)動(dòng)程序，成本/效益分析，以及對(duì)風(fēng)險(xiǎn)的理解，以達(dá)到在目標(biāo)配置文件的結(jié)果。該組織然后確定需要解決的差距的資源。以這種方式使用配置文件使組織能夠做出有關(guān)網(wǎng)絡(luò)安全的活動(dòng)明智的決定，支持風(fēng)險(xiǎn)管理，使組織能夠進(jìn)行具有成本效益的，有針對(duì)性的改進(jìn)。步驟7 ：實(shí)施行動(dòng)計(jì)劃。該組織決定要采取的措施的問(wèn)候的間隙，如果有的話(huà)，在先前步驟中確定的。然后它會(huì)監(jiān)視對(duì)目標(biāo)配置文件目前網(wǎng)絡(luò)安全的做法。為進(jìn)一步指導(dǎo)，框架識(shí)別有關(guān)類(lèi)別和子類(lèi)別的例子參考性文獻(xiàn)，但組織應(yīng)確定哪些標(biāo)準(zhǔn)，準(zhǔn)則和做法，包括那些特定行業(yè)，最適合他們的需要。根據(jù)需要不斷評(píng)估和改進(jìn)其網(wǎng)絡(luò)安全的組織可能會(huì)重復(fù)這些步驟。例如，組織可能會(huì)發(fā)現(xiàn)，東方步驟更加頻繁重復(fù)提高風(fēng)險(xiǎn)評(píng)估的質(zhì)量。此外，組織可以通過(guò)迭代更新到當(dāng)前的配置文件監(jiān)測(cè)進(jìn)展情況，隨后比較當(dāng)前配置文件到目標(biāo)配置文件。組織也可以利用這個(gè)過(guò)程來(lái)自己理想的框架實(shí)現(xiàn)層調(diào)整其網(wǎng)絡(luò)安全計(jì)劃。3.3 通信網(wǎng)絡(luò)安全需求與利益相關(guān)者該框架提供了一個(gè)共同的語(yǔ)言進(jìn)行溝通負(fù)責(zé)必不可少的關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的提供相互依存的利益相關(guān)者的要求。實(shí)例包括： 一個(gè)組織可能利用目標(biāo)配置文件來(lái)表達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求，外部服務(wù)提供商（例如，一個(gè)云提供商它所導(dǎo)出的數(shù)據(jù)）。 一個(gè)組織可以通過(guò)當(dāng)前的配置文件表示其網(wǎng)絡(luò)安全狀態(tài)報(bào)告結(jié)果或與收購(gòu)的要求進(jìn)行比較。 一個(gè)重要的基礎(chǔ)設(shè)施所有者/經(jīng)營(yíng)者，在確定對(duì)其中的基礎(chǔ)設(shè)施依賴(lài)外部合作伙伴，可以使用目標(biāo)配置文件來(lái)傳達(dá)所需的類(lèi)別和子類(lèi)別。 一個(gè)重要的基礎(chǔ)設(shè)施部門(mén)可以設(shè)立一個(gè)目標(biāo)配置文件，可以使用它的成分中作為一個(gè)初始基線(xiàn)資料，以建立自己的定制目標(biāo)配置文件。3.4 確定新的機(jī)遇或修訂的規(guī)范性參考文獻(xiàn)該框架可用于識(shí)別新的或修訂的標(biāo)準(zhǔn)，準(zhǔn)則或慣例在附加參考性文獻(xiàn)，將有助于企業(yè)滿(mǎn)足新的需求機(jī)會(huì)。實(shí)現(xiàn)給定的子類(lèi)別，或開(kāi)發(fā)新的子類(lèi)別的組織，可能會(huì)發(fā)現(xiàn)，有一些參考性文獻(xiàn)，如果有的話(huà)，對(duì)于相關(guān)的活動(dòng)。為了滿(mǎn)足這一需求，該組織可能會(huì)與技術(shù)帶頭人和/或標(biāo)準(zhǔn)組織起草，制定，協(xié)調(diào)標(biāo)準(zhǔn)，準(zhǔn)則或慣例進(jìn)行合作。3.5 方法來(lái)保護(hù)隱私和公民自由本節(jié)介紹了所要求的行政命令來(lái)解決個(gè)人隱私和公民自由的影響，可能導(dǎo)致網(wǎng)絡(luò)安全業(yè)務(wù)的一種方法。這種方法的目的是因?yàn)殡[私和公民自由的影響可能會(huì)有所不同部門(mén)或隨著時(shí)間的推移和組織可以解決這些方面的考慮和流程，一系列的技術(shù)實(shí)現(xiàn)一般設(shè)置注意事項(xiàng)和流程。然而，在一個(gè)網(wǎng)絡(luò)安全方案并非所有的活動(dòng)，可能這些因素引起。符合第3.4節(jié)，技術(shù)保密標(biāo)準(zhǔn)，準(zhǔn)則和其他最佳做法可能需要開(kāi)發(fā)支持改進(jìn)的技術(shù)實(shí)現(xiàn)。當(dāng)個(gè)人信息的使用，收集，處理，保存，或與一個(gè)組織的網(wǎng)絡(luò)安全活動(dòng)有關(guān)的披露可能出現(xiàn)的隱私和公民自由問(wèn)題。那熊隱私或公民自由方面的考慮活動(dòng)的一些例子可能包括：網(wǎng)絡(luò)安全的活動(dòng)，導(dǎo)致過(guò)度采集或過(guò)度保留的個(gè)人信息;披露無(wú)關(guān)的網(wǎng)絡(luò)安全活動(dòng)的個(gè)人信息或使用，這導(dǎo)致拒絕網(wǎng)絡(luò)安全減災(zāi)活動(dòng)服務(wù)或其他類(lèi)似的潛在的不利影響，包括活動(dòng)，如某些類(lèi)型的事件檢測(cè)或監(jiān)測(cè)可能影響言論或結(jié)社的自由。政府的政府和代理商有直接的責(zé)任，以保護(hù)網(wǎng)絡(luò)安全的活動(dòng)所產(chǎn)生的公民自由。參考下文的方法，政府或擁有或經(jīng)營(yíng)的關(guān)鍵基礎(chǔ)設(shè)施，政府的代理人應(yīng)該有一個(gè)過(guò)程，以支持遵守適用的隱私法律，法規(guī)和憲法要求網(wǎng)絡(luò)安全的活動(dòng)。為了解決隱私問(wèn)題，企業(yè)可以考慮怎么樣，而該等措施是適當(dāng)?shù)?，他們的網(wǎng)絡(luò)安全程序可能包含隱私原則，例如：盡量減少數(shù)據(jù)的收集，披露和保留相關(guān)的網(wǎng)絡(luò)安全事件的個(gè)人信息資料的;使用限制對(duì)專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)安全的活動(dòng)收集的任何信息網(wǎng)絡(luò)安全的活動(dòng)外，對(duì)某些網(wǎng)絡(luò)安全的活動(dòng)的透明度;個(gè)人同意和補(bǔ)救措施的使用在網(wǎng)絡(luò)安全活動(dòng)的個(gè)人信息而產(chǎn)生的不利影響;數(shù)據(jù)質(zhì)量，完整性和安全性，以及問(wèn)責(zé)制和審計(jì)。隨著組織評(píng)估框架核心附錄A中，下列過(guò)程和活動(dòng)可被視為一種手段，以解決上面提到的隱私和公民自由的含義：的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)的一個(gè)組織的評(píng)估和潛在的風(fēng)險(xiǎn)應(yīng)對(duì)措施考慮其網(wǎng)絡(luò)安全計(jì)劃的隱私問(wèn)題個(gè)人與網(wǎng)絡(luò)安全相關(guān)的隱私責(zé)任報(bào)告適當(dāng)?shù)墓芾砗拖鄳?yīng)培訓(xùn)過(guò)程是否到位，以支持遵守適用的隱私法律，法規(guī)和憲法規(guī)定的網(wǎng)絡(luò)安全活動(dòng)過(guò)程是否到位，以評(píng)估實(shí)施上述組織措施和控制途徑識(shí)別和授權(quán)的個(gè)人訪(fǎng)問(wèn)組織資產(chǎn)和系統(tǒng)采取措施以識(shí)別和解決訪(fǎng)問(wèn)控制措施的隱私問(wèn)題的范圍內(nèi)，它們涉及個(gè)人信息的收集，披露，使用或意識(shí)和培訓(xùn)措施從組織的隱私政策適用的信息包含在網(wǎng)絡(luò)安全工作人員的培訓(xùn)和宣傳活動(dòng)服務(wù)提供商為組織提供網(wǎng)絡(luò)安全相關(guān)的服務(wù)都被告知該組織的適用的隱私政策異?；顒?dòng)的檢測(cè)以及系統(tǒng)和資產(chǎn)監(jiān)控過(guò)程是否到位進(jìn)行組織的異?；顒?dòng)的檢測(cè)和網(wǎng)絡(luò)安全監(jiān)控的隱私審查應(yīng)對(duì)活動(dòng)，包括信息共享或其他減災(zāi)工作過(guò)程是否到位，評(píng)估和應(yīng)對(duì)是否，何時(shí)，如何，以及在何種程度上的個(gè)人信息在組織外部共享作為網(wǎng)絡(luò)安全信息共享活動(dòng)的一部分過(guò)程是否到位進(jìn)行組織的網(wǎng)絡(luò)安全減災(zāi)努力的隱私審查附錄A：核心框架本附錄介紹了核心框架：功能，類(lèi)別，子類(lèi)別，以及描述具體的網(wǎng)絡(luò)安全活動(dòng)，是通用的所有關(guān)鍵基礎(chǔ)設(shè)施部門(mén)參考性文獻(xiàn)的列表。為框架核心所選擇的演示文稿格式不提出一個(gè)具體的實(shí)施順序或暗示的學(xué)位類(lèi)別，子類(lèi)別，并參考性文獻(xiàn)的重要性。本附錄中給出的框架核心代表一組通用的管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的活動(dòng)。而框架并不詳盡，它是可擴(kuò)展的，允許組織，部門(mén)和其他實(shí)體使用子類(lèi)別和參考性文獻(xiàn)是成本效益和效率，使他們能夠管理自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?；顒?dòng)可以從核心框架在配置文件創(chuàng)建過(guò)程中選擇和額外的類(lèi)別，子類(lèi)別，并參考性文獻(xiàn)可以被添加到配置文件。一個(gè)組織的風(fēng)險(xiǎn)管理流程，法律/監(jiān)管規(guī)定，業(yè)務(wù)/任務(wù)目標(biāo)，并組織約束引導(dǎo)配置文件創(chuàng)建在這些活動(dòng)的選擇。個(gè)人信息被認(rèn)為是評(píng)估安全風(fēng)險(xiǎn)和保護(hù)時(shí)，在分類(lèi)中引用的數(shù)據(jù)或資產(chǎn)的一個(gè)組成部分。而在功能方面，分類(lèi)和子類(lèi)別確定的預(yù)期結(jié)果是相同的IT和ICS的，因?yàn)樗淖鲬?zhàn)環(huán)境和注意事項(xiàng)和ICS不同。 ICS對(duì)現(xiàn)實(shí)世界中的直接作用，包括對(duì)健康和個(gè)人安全的潛在風(fēng)險(xiǎn)，以及對(duì)環(huán)境的影響。此外， ICS與它比較獨(dú)特的性能和可靠性要求，以及安全和效率的目標(biāo)必須實(shí)現(xiàn)網(wǎng)絡(luò)安全的措施時(shí)，必須考慮。為便于使用，該框架核心的每個(gè)組件被賦予一個(gè)唯一的標(biāo)識(shí)符。功能和類(lèi)別都有一個(gè)唯一字母標(biāo)識(shí)符，如表1所示。每個(gè)類(lèi)別內(nèi)的子類(lèi)別進(jìn)行了數(shù)值引用;每個(gè)子類(lèi)別的唯一標(biāo)識(shí)符被包括在表2中。有關(guān)框架的其他證明材料可在NIST網(wǎng)站上的/cyberframework/找到。Table 1: Function and Category Unique IdentifiersFunction Unique IdentifierFunctionCategory Unique IdentifierCategoryIDIdentifyID.AMAsset ManagementID.BEBusiness EnvironmentID.GVGovernanceID.RARisk AssessmentID.RMRisk Management StrategyPRProtectPR.ACAccess ControlPR.ATAwareness and TrainingPR.DSData SecurityPR.IPInformation Protection Processes and ProceduresPR.MAMaintenancePR.PTProtective TechnologyDEDetectDE.AEAnomalies and EventsDE.CMSecurity Continuous MonitoringDE.DPDetection ProcessesRSRespondRS.RPResponse PlanningRS.COCommunicationsRS.ANAnalysisRS.MIMitigationRS.IMImprovementsRCRecoverRC.RPRecovery PlanningRC.IMImprovementsRC.COCommunicationsFebruary 12, 2014Cybersecurity FrameworkVersion 1.0表2：框架核心FunctionCategorySubcategoryInformative ReferencesIDENTIFY(ID)Asset Management (ID.AM): The data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to business objectives and the organizations risk strategy.ID.AM-1: Physical devices and systems within the organization are inventoried CCS CSC 1COBIT 5 BAI09.01, BAI09.02ISA 62443-2-1:2009 ISA 62443-3-3:2013 SR 7.8ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8ID.AM-2: Software platforms and applications within the organization are inventoried CCS CSC 2COBIT 5 BAI09.01, BAI09.02, BAI09.05ISA 62443-2-1:2009 ISA 62443-3-3:2013 SR 7.8ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8ID.AM-3: Organizational communication and data flows are mapped CCS CSC 1 COBIT 5 DSS05.02ISA 62443-2-1:2009 ISO/IEC 27001:2013 A.13.2.1NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8ID.AM-4: External information systems are catalogued COBIT 5 APO02.02ISO/IEC 27001:2013 A.11.2.6NIST SP 800-53 Rev. 4 AC-20, SA-9ID.AM-5: Resources (e.g., hardware, devices, data, and software) are prioritized based on their classification, criticality, and business valueCOBIT 5 APO03.03, APO03.04, BAI09.02ISA 62443-2-1:2009 ISO/IEC 27001:2013 A.8.2.1NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14ID.AM-6: Cybersecurity roles and responsibilities for the entire workforce and third-party stakeholders (e.g., suppliers, customers, partners) are establishedCOBIT 5 APO01.02, DSS06.03ISA 62443-2-1:2009 .3ISO/IEC 27001:2013 A.6.1.136FunctionCategorySubcategoryInformativ