1. CSF核心简介 附录 A 是 CSF 核心,即按功能、类别和子类别排列的一组网络安全结果,如图 1 所示。这些结果不是要执行的行动清单;为实现结果而采取的具体行动将因组织和用例而异,负责这些行动的个人也将有所不同。此外,核心中功能、类别和子类别的顺序和大小并不意味着实现它们的顺序或重要性。核心的结构旨在与那些负责在组织内实施风险管理的人产生最大的共鸣。 图 1.CSF核心结构 CSF 核心功能(治理、识别、保护、检测、响应和恢复)在最高级别组织网络安全成果。- 治理(GV) — 建立、传达和监控组织的网络安全风险管理战略、期望和政策。GOVERN 职能提供结果,以告知组织可以采取哪些措施来实现其他五个职能,并在其使命和利益相关者期望的背景下优先考虑其他五个职能的成果。治理活动对于将网络安全纳入组织更广泛的企业风险管理
(ERM) 战略至关重要。GOVERN 涉及对组织环境的理解;网络安全战略和网络安全供应链风险管理的建立;角色,责任和权限;政策;以及对网络安全战略的监督。
- 识别(ID) — 了解组织当前的网络安全风险。了解组织的资产(例如,数据、硬件、软件、系统、设施、服务、人员)、供应商和相关网络安全风险,使组织能够根据其风险管理策略和 GOVERN 下确定的任务需求确定其工作的优先级。该职能还包括确定 组织支持网络安全风险管理的政策、计划、流程、程序和实践的改进机会,为所有六项职能下的工作提供信息。
- 保护(PR) — 使用保护措施来管理组织的网络安全风险。一旦资产和风险被识别并确定优先级,PROTECT就会支持保护这些资产的能力,以防止或降低不良网络安全事件的可能性和影响,并增加利用机会的可能性和影响。此功能涵盖的结果包括身份管理、身份验证和访问控制;意识和培训;数据安全;平台安全(即保护物理和虚拟平台的硬件、软件和服务);以及技术基础设施的弹性。
- 检测(DE)—发现并分析可能的网络安全攻击和危害。DETECT能够及时发现和分析异常、入侵指标和其他可能表明正在发生网络安全攻击和事件的潜在不良事件。此函数支持成功的事件响应和恢复活动。
- 响应(RS)—对检测到的网络安全事件采取措施。RESPOND支持遏制网络安全事件影响的能力。此职能部门的成果涵盖事件管理、分析、缓解、报告和沟通。
- 恢复(RC)—恢复受网络安全事件影响的资产和操作。RECOVER支持及时恢复正常操作,以减少网络安全事件的影响,并在恢复工作期间实现适当的通信。
虽然许多网络安全风险管理活动侧重于防止负面事件的发生,但它们也可能支持利用积极的机会。降低网络安全风险的行动可能会以其他方式使组织受益,例如增加收入(例如,首先向商业托管提供商提供多余的设施空间,用于托管他们自己和其他组织的数据中心,然后将主要财务系统从组织的内部数据中心转移到托管服务提供商以降低网络安全风险)。 |
图2将CSF功能显示为一个轮子,因为所有功能都相互关联。例如,组织将在IDENTIFY下对资产进行分类,并采取措施在PROTECT下保护这些资产。对GOVERN和IDENTIFY功能的规划和测试的投资将支持及时检测DETECT功能中的意外事件,以及在RESPOND和RECOVER功能中启用网络安全事件的事件响应和恢复操作。GOVERN处于轮盘的中心,因为它告知组织将如何实现其他五个功能。 图 2.CSF功能 这些职能应同时处理。支持GOVERN、IDENTIFY、PROTECT和DETECT 的操作都应持续发生,支持 RESPOND和 RECOVER 的操作应随时准备就绪,并在发生网络安全事件时发生。所有职能部门都承担着与网络安全事件相关的重要作用。GOVERN、IDENTIFY 和 PROTECT 结果有助于预防和准备事件,而 GOVERN、DETECT、RESPOND和 RECOVER 结果有助于发现和管理事件。每个功能都以总结其内容的动词命名。每个职能部门都分为 多个类别,这些类别是共同构成职能部门的相关网络安全成果。子类别 进一步将每个类别划分为技术和管理活动的更具体成果。子类别并非详尽无遗,但它们描述了支持每个类别的详细结果。功能、类别和子类别适用于组织使用的所有 ICT,包括信息技术 (IT)、物联网 (IoT) 和运营技术 (OT)。它们还适用于所有类型的技术环境,包括云、移动和人工智能系统。CSF核心是前瞻性的,旨在应用于未来的技术和环境变化。
|