【原】网络评估框架（CAF）之治理

从今天起，我将根据国外的网络评估框架（The Cyber Assessment Framework，CAF）去谈谈网络安全有关的东西，这个还是期望起到抛砖引玉的功能。另外，这些知识与技巧，应该是信息安全产业有关方法论的精华，很多人在理解过程中，因基础知识的积累不是太充分，感觉部分无法理解。所以，在看这个过程中，需要你扩展性的看一些其他国际标准或者方法论，如本期的就需要你对信息安全管理系统（ISMS）、ISO 27000系列标准有个了解，特别是ISO 27001和ISO 27002两个标准。前几天，主要针对小型企业，接下来的内容则适合大中型企业，理论上高于实操性，结合小型企业相关实操，可以更好理解有关知识点。

为企业组织的网络和信息系统安全性方法制定政策和流程。

原理

对企业组织网络和信息系统安全性采取适当的管理策略和流程来的方法。

描述

网络和信息系统的有效安全性应由企业组织管理以及相应的策略和实践来驱动。对于网络和信息系统的安全性，应建立清晰的治理结构，并明确定义职责和责任范围。

高管理层应明确阐明对业务的不可接受的影响（通常称为 风险偏好），考虑企业组织在基本职能运作中的作用，各级决策者可以就风险做出明智的决策形成有效的治理链，而不是将决策向上逐级推翻。

应该有一个负责整体安全的个人，应有权决定如何保护基本功能。对于小型企业组织，治理结构可能非常简单。

指导

安全治理简介

企业组织的安全治理方法必须适合企业，做到因地制宜。良好的安全治理与通常与企业的决策结构和流程集成在一起。

将风险有效地委派给具有适当安全性、业务和技术知识、技能和经验的人员后，明确的沟通渠道，就可以在企业组织的各个层级做出风险决策。

风险管理标准

遵循标准化的风险管理方法可以帮助实现良好的网络安全治理。有许多国际标准、国家标准可供选择。国际标准如著名：

ISO 27001

信息安全管理系统可以帮助治理网络安全风险

信息安全管理系统（ISMS）是一组确保识别和管理网络安全风险的策略、过程和角色。传统上，ISMS是信息风险管理系统，也可以用于管理基本功能的网络安全风险。

可以通过制定策略来适当界定和实施的ISMS，程序和角色来管理企业组织的网络安全风险，从而帮助组织满足保护基本功能的要求。

ISO 27001是可用于实施ISMS的众多标准之一。使用ISO 27001则应考虑哪些要素将有助于实现组织目标：完全合规性和认证。

必须将任何相关的外部要求（例如来自监管机构的指示）纳入ISMS。应该为供应链设置适当的网络安全要求，以确保供应链对实现网络安全和弹性目标的支持。

IEC 62443-2-1：2010

工业自动化和控制系统（IACS）网络安全管理系统（CSMS），与负责某些特定部门基本功能的组织有关。

IEC 62443-2-1中定义的CSMS在ISO 27001和27002的基础上针对IACS环境建立，旨在使网络安全风险管理与现有安全风险管理规范保持一致。提供了一个管理体系框架作为基准，鼓励企业组织根据自己的情况进行调整。

参考资料：

ISO 27001IEC 62443-2-1：2010