7 NIST developed a Compendium of informative references gathered from the Request for Information (RFI) input, Cybersecurity Framework workshops, and stakeholder engagement during the Framework development process. The Compendium includes standards, guidelines, and practices to assist with implementation. The Compendium is not intended to be an exhaustive list, but rather a starting point based on initial stakeholder input. The Compendium and other supporting material can be found at 该响应函数支持包含一个潜在的网络安全事件的影响的能力。此功能在结果分类的例子包括:响应计划;通讯,分析,减灾;和改进。
?恢复 - 制定并实施适当的活动,以保持计划的弹性和还原是由于网络安全事件受损的任何功能或服务。
该恢复功能支持及时恢复到正常的操作,以减少从网络安全事件的影响。此功能在结果分类的例子包括:恢复规划;改进;和通信。
2.2
框架实现层级
该框架的实施层级(“层”)提供上下文对一个组织如何观看网络安全风险,并在适当的程序来管理风险。该层级的范围从部分(第1层),以自适应(第4层),并描述了严谨和复杂的程度增加网络安全的风险管理做法,其网络安全风险管理是由业务需求了解并集成到一个组织的整体风险程度管理实践。风险管理的考虑因素包括网络安全的许多方面,包括其隐私和公民自由方面的考虑都融入的网络安全风险和潜在的风险应对组织的管理程度。 第一级选择过程中考虑企业当前的风险管理做法,威胁环境,法律和监管规定,业务/任务目标和组织约束。组织应确定所需的第一级,以确保所选择的级别是否符合组织的目标,是贯彻落实可行的,并降低网络安全风险的重要资产和资源,以接受该组织的水平。组织应考虑利用来自联邦政府部门和机构,信息共享和分析中心( ISACS ) ,现有的成熟度模型,或其他来源获得的,以帮助确定自己想要的层外部指导。
虽然组织认定为一级(部分)鼓励将考虑转向方法2或更大,层级并不代表成熟度级别。发展到更高层级的鼓励时,这样的改变会降低网络安全风险,并符合成本效益。成功实施该框架是基于成就组织的目标配置文件(S ),而不是在一线的决心所描述的结果时。
该层定义如下: 第1级:部分
?风险管理程序 - 组织网络安全风险管理实践没有正式的,而且风险是在一个特设有时无的方式进行管理。网络安全的活动的优先顺序,不得直接告知组织风险的目标,威胁环境,或业务/任务需求。
?集成的风险管理计划 - 目前的网络安全风险在组织层面认识有限和整个组织的方法来管理网络安全风险尚未确定。组织实施对不规则,逐案基础上,由于丰富的经验,或从外部来源获得的信息网络安全风险管理。该组织可能没有流程,使网络安全信息可在组织内共享。 ?外部参与 - 一个组织可能没有到位的过程中参与的协调或协作与其他实体。 第2层:风险知情
?风险管理流程 - 风险管理实践均经管理层批准,但可能不被确立为组织范围的策略。网络安全的活动的优先顺序是直接告知组织风险的目标,威胁环境,或业务/任务需求。 ?集成的风险管理计划 - 目前的网络安全风险在组织水平,但全组织的方法来管理网络安全风险尚未建立的意识。风险告知,管理层批准的过程和程序都定义和实现,以及工作人员有足够的资源来履行其网络安全的职责。网络安全信息上非正式地在组织内共享。
?外部参与 - 组织知道它在更大的生态系统的作用,但还没有正式确定了其功能,对外交流和共享信息。 第3层:可重复
?风险管理程序 - 该组织的风险管理做法被正式批准,并表示为政策。组织网络安全的做法是定期更新的基础上的风险管理程序的应用,以改变业务/任务要求和不断变化的威胁和技术的景观。
?集成的风险管理计划 - 有一个组织范围内的方法来管理网络安全风险。是风险告知政策,流程和程序中定义,实现为目的,并审查。一致的方法已到位,有效地改变应对风险。人员具备的知识和技能,以履行其指定的角色和责任。
?外部参与 - 组织了解其依赖关系和合作伙伴,并从这些合作伙伴,使协作和组织内部基于风险的管理决策响应事件接收信息。
第4级:自适应
?风险管理流程 - 基于经验教训,并从以往和当前网络安全的活动所产生的预测指标,该组织适应其网络安全的做法。通过不断完善结合先进的网络安全技术和实践的过程中,组织积极适应不断变化的网络安全景观和响应不断变化,并及时复杂的安全威胁。
?集成的风险管理计划 - 有一个组织范围内的方法来管理使用风险告知政策,流程和程序,以解决潜在的网络安全事件的网络安全风险。网络安全风险管理是组织文化的一部分,从以前的活动,通过其他渠道共享信息,并在他们的系统和网络活动的意识不断的认识演进。 ?外部参与 - 组织管理风险,并积极分享信息与合作伙伴,以确保准确,及时的信息的分发和消费的一个网络安全事件发生之前,以改善网络安全。
2.3
框架简介
该框架配置文件( “档案” )是函数,类别和子类别的业务需求,风险承受能力,以及资源组织的对齐方式。一个侧影使组织能够建立一个路线图,降低网络安全风险,是很好用的组织和部门的目标一致,认为法律/法规要求和行业最佳实践,并体现了风险管理的优先事项。鉴于许多组织的复杂性,他们可以选择有多个配置文件,特别组件,并认识他们的个人需求保持一致。
框架配置文件可以用来形容当前的状态或特定的网络安全活动所需的目标状态。当前配置文件的指示,目前正在取得的网络安全成果。目标资料表明以实现所需的网络安全风险管理目标所需要的结果。配置文件支持业务/任务需求,并有助于风险的内部和组织之间的沟通。此框架文件没有规定个人资料模板,允许在实施的灵活性。
配置文件(例如,当前配置和目标配置文件)的比较可发现差距加以解决,以满足网络安全的风险管理目标。一项行动计划,以解决这些差距可以促进上述路线图。减缓差距的优先次序是由组织的业务需求和风险管理流程驱动的。这种基于风险的方法使组织能够衡量资源估算(如人员,资金)来实现具有成本效益的,优先的方式网络安全的目标。
2.4
协调框架的实施
图2描述的信息,并决定组织内部的共同流量为以下几个层次: ?执行 ?业务/流程
?实施/运营
行政级别通信的任务优先级,可利用的资源,以及整体风险承受能力到业务/流程层面。业务/流程层面使用信息作为输入到风险管理过程,然后与合作的实施/运营级通信业务需求,并创建一个配置文件。实施/运营级通信的个人资料实施进展情况向业务/流程层面。业务/流程层面使用这些信息来进行影响评估。业务/流程层面的管理报告,影响评估的结果,以行政级别来通知该组织的整体风险管理程序,并实施/操作对业务的影响的认识水平。
Figure 2: Notional Information and Decision Flows within an Organization
如何使用框架
一个组织可以使用该框架作为其系统的过程的一个关键部分进行识别,评估和管理网络安全风险。该框架的目的不是要取代现有的流程,组织可以使用其当前进程和覆盖其上的框架,以确定差距,其目前的网络安全风险的方法,并制定路线图的改进。利用该框架作为一个网络安全的风险管理工具,一个组织可以判断是最重要的,关键的服务提供活动和优先支出,以最大限度地提高投资的影响。
该框架的目的是补充现有业务和网络安全业务。它可以作为一个新的网络安全方案或机制以改善现有程序的基础。该框架提供了一种表达网络安全要求与业务合作伙伴和客户的一种手段,可以帮助确定一个组织的网络安全实践的差距。它还提供了一个一般设置注意事项和流程考虑在网络安全程序的上下文隐私和公民自由问题。 以下各节介绍不同的方法,使组织可以使用该框架。
3.1
基本审查网络安全实践
该框架可用于与本框架的核心概括比较组织当前网络安全的活动。通过创建一个当前的配置文件,组织可以检查它们所实现的核心类别和子类别描述的结果,与五高层次的功能一致的程度:识别,保护,检测,响应和恢复。一个组织可能会发现它已经达到理想的结果,因此,网络安全管理与已知的风险相称。相反,一个组织可以判定它有机会(或需要)提高。该组织可以利用这些信息来制定一项行动计划,以加强现有的网络安全实践,并降低网络安全风险。一个组织也可能会发现,它是过度投资达到一定的成果。该组织可以使用此信息来重新确定优先次序资源,加强网络安全的其他行为。
虽然他们并不能取代风险管理程序,这五个高水平的功能将会对高级管理人员和其他人提供了一个简洁的方式来提炼的网络安全风险的基本概念,使他们能够评估如何识别风险的管理,以及如何组织他们的书库在高达针对现有网络安全标准,准则和惯例的高水平。该框架还可以帮助企业回答的基本问题,包括“是怎样的呢 ”然后,他们可以在一个更明智的方式来加强其网络安全的做法认为有必要在何时何地移动。
3.2 建立或完善一个网络安全计划
中文版为改善关键基础设施网络安全框架
