网络与信息安全指令2 2023
控制项模式欧盟网络与信息安全指令,加强整个欧盟的网络安全要求。
网络和网络服务受到监控,以识别潜在的不利事件。处理硬件和软件、运行环境及其数据也会被监控,以识别潜在的不利事件。标准:1. 对至少相关的信息系统和网络,应具备技术工具,这些工具应保持更新、维护并正确配置,以便及时检测重大事件。| 2.NIS 实体的服务和活动的预期服务水平(SL)已定义并记录,目的也是为了能够及时发现重大事件。| 3. 为遵守 GV.PO-01 措施中概述的政策,相关第 1 和第 2 点的程序已被采用并记录。| 4.至少对于相关的信息系统和网络,会使用分析和过滤传入流量(包括电子邮件)的工具。| 5.至少对于相关的信息系统和网络,出于第1点概述的目的,远程访问、边界系统活动(如路由器和防火墙)、重要的管理事件,以及对网络资源、终端站和应用程序的成功或失败访问都会被监控,以检测网络安全事件。| 6.至少对于相关的信息系统和网络,出于第1点所述目的,需要定义、监控和记录定性-定量参数,以检测未经授权的访问或特权滥用。| 7. 根据措施GV.PO-01中规定的政策,采用并记录与第4、5、6点相关的程序。
网络和网络服务受到监控,以识别潜在的不利事件。处理硬件和软件、运行时环境及其数据也受到监控,以识别潜在的不利事件。标准:1.基于正当且有文档记录的监管或技术原因,已部署、更新、维护并正确配置用于检测恶意代码的终端防护系统。| 2.根据 GV.PO-01 措施中提到的政策,已采纳并记录了与第 1 点相关的程序。
理解利益相关方依赖或期望组织提供的目标、能力和关键服务。 标准:1. 保持一份最新的相关信息和网络系统清单。
管理网络安全风险的政策是根据组织环境、网络安全战略和优先事项制定的,并进行沟通和执行。管理网络安全风险的政策会进行审查、更新、沟通和实施,以反映需求、威胁、技术和组织使命的变化。标准:1。网络安全政策应至少在以下领域被采用和记录:a) 风险管理;b) 角色和职责;c) 人力资源可靠性;d) 合规性与安全审计;e) 供应链中的网络安全风险管理;f) 资产管理;g) 漏洞管理;h) 运营连续性、灾难恢复与危机管理;i) 身份验证、数字身份和访问控制的管理;j) 物理安全;k) 员工培训和意识提升;l) 数据安全;m) 信息和网络系统的开发、配置、维护和报废;n) 网络和通信的保护;o) 安全事件监控;p) 事件响应和恢复。| 2.对于第1点中提到的地区,政策至少涵盖了本附件附录表1中列明的要求。| 3.第1点中提到的政策已得到管理和指导机构的批准。
管理网络安全风险的政策是基于组织背景、网络安全策略和优先事项制定的,并且已经传达和执行。管理网络安全风险的政策会根据要求、威胁、技术和组织使命的变化进行审核、更新、传达和实施。标准:1. 本措施GV中提到的政策。PO-01 会定期进行审核,并在适当情况下至少每年更新一次,同时在涉及网络安全的监管环境发生变化、重大事件、组织变更或威胁暴露及相关风险变化时也会进行更新。| 2. 对于第1点提到的审核,将至少验证措施 GV.PO-01 所涉及政策是否符合网络安全法规。| 3.一份更新的登记册,其中包含第1点提到的审查结果,已被维护。
网络安全风险管理的活动和结果是组织风险管理流程的一个组成部分。标准:1. 在网络信息系统实体的风险管理流程框架内,并遵循GV措施中概述的政策。PO-01 定义、实施、更新和记录网络安全风险管理计划,以识别、分析、评估、处理和监控风险。
与网络安全风险管理相关的角色、职责和权力得到建立、传达、理解和执行。网络安全已纳入人力资源实践。标准:1。信息安全组织已被定义,经过行政和指导机构批准,并告知国家信息系统(NIS)实体的相关部门,同时明确了各自的职责和责任。| 2.维护并更新第1点中提到的组织内部人员名单,这些人员具有特定的职责和责任,并告知国家信息系统实体的相关部门。| 3.在第1点中提到的信息安全组织内,按照NIS法令第7条第6款确定的联系人及至少一名替代人员已包含在内。| 4.第1点中提到的角色和职责会进行审查,并在适当情况下定期更新,至少每两年一次,同时在发生重大事件、组织变动或威胁暴露及相关风险变化时也会进行更新。
与网络安全风险管理相关的角色、职责和权力得到建立、传达、理解和执行。网络安全已纳入人力资源实践。标准:1。对于至少相关的信息和网络系统,在评估经验、能力和可靠性后,会确定有权访问的人员,并且这些人员必须提供适当的保证,确保全面遵守网络安全法规。| 2.在评估了经验、能力和可靠性后,信息和网络系统的系统管理员将被确定,并且必须提供适当的保证,以确保完全遵守网络安全法规。| 3. 根据措施 GV.PO-01 的政策,采纳并记录与第1条和第2条相关的程序。| 4. 根据措施 ID 的风险评估结果达成一致。RA-05,对于NIS员工,在雇佣关系终止或变更后仍然有效的任何关于网络安全的合同义务已被定义(例如,包括保密条款)。| 5.根据GV.PO-01措施的政策,已采用并记录与第4点相关的程序。
组织的利益相关者已经建立并接受了供应链网络安全风险管理的程序、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已经建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准:1.关于可能影响信息和网络系统安全的物资采购,包括根据2023年3月31日第36号立法法令附录I.1,第1条第1款i)项使用中央采购工具的情况,规定如下:a) 涉及GV措施中提到的网络安全组织参与。RR-02 在采购流程的定义和执行中,从供应的识别和设计阶段开始;b)根据与供应相关的风险评估结果(参见措施 GV.SC-07),为供应定义与 NIS 实体对信息和网络系统应用的安全措施相一致的安全要求。| 2.对于第1点b)项所提到的安全要求,考虑以下领域(如适用)至少包括:a) 供应商的可靠性,至少考虑其具体的脆弱性、整体产品质量和网络安全实践,尤其是与供应对象相关的能力,保证供应、提供支持和维护的能力,以及在适用情况下,由NIS合作小组进行的关键供应链安全协调风险评估的结果;b) 供应链中的角色与职责;c) 人力资源可靠性;d) 合规性和安全审计;e) 漏洞管理;f) 业务连续性和灾难恢复;g) 身份认证、数字身份和访问控制管理;h) 物理安全;i) 员工培训与意识提升;j) 数据安全;k) 网络与通信保护;l) 监控安全事件,包括访问和执行的活动;m) 事件管理与报告;n) 安全代码开发以及默认和设计时的安全性;o) 日常及演进性维护,包括安全更新;p) 供应链终止,包括数据返回和删除;q) 分包、子供应或供应链相关的潜在安全要求。
组织制定并获得利益相关方认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已经建立、优先排序,并纳入与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中都被理解、记录、优先排序、评估、管理和监控。标准:1。在GV.RR-02措施中概述的网络安全组织框架内,分配给第三方人员的任何与网络安全相关的角色和责任都会被定义,并向NIS实体的相关部门披露。| 2. 第1点中提到的具有特定角色和责任的人员包含在GV.RR-02措施第2点提到的清单中。
组织的利益相关者已经建立并接受了供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已经建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已经建立、优先排序,并纳入与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中都被理解、记录、优先排序、评估、管理和监控。标准:1。维护了一份供应商的最新清单,这些供应商的供应可能对信息和网络系统的安全产生影响,至少包括:a) 供应代表的联系方式;b) 供应的类型。
组织制定并获得利益相关者认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准:1.在有合理且有据可查的监管或技术原因的前提下,GV.SC-01措施第1点b项提到的安全要求会被纳入与可能影响信息和网络系统安全的供应相关的招标请求、投标邀请、合同、协议及约定中。
组织制定并获得利益相关方认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准:1.作为措施 ID.RA-05 中提到的风险评估的一部分,将评估并记录与供应相关的风险。为此,至少评估以下内容:a) 供应商对 NIS 实体信息和网络系统的访问级别;b) 供应商对知识产权和数据的访问,并根据其重要性进行评估;c) 供应中断的严重影响。d) 服务不可用时的恢复时间和费用;e) 供应商在信息和网络系统治理中的角色和职责。| 2. 定期验证供应的合规性是否符合 GV.SC-05 测量要求,并进行记录。
组织管理的硬件库存得到维护。组织管理的软件、服务和系统的库存得到维护。组织授权的网络通信、内部和外部网络数据流的表示得到维护。供应商提供的服务库存得到维护。标准:1。维护一份由内部 NIS 参与者批准的、包括 IT、IoT、OT 和移动设备在内的信息和网络系统所使用的物理设备(硬件)更新清单。
组织管理的硬件库存得到维护。组织管理的软件、服务和系统的库存得到维护。组织授权的网络通信、内部和外部网络数据流的表示得到维护。供应商提供的服务库存得到维护。标准:1。维护信息和网络系统所包含的服务、系统和软件应用的最新清单,包括商业的、开源的和定制的应用程序,这些应用程序也可以通过 API 访问,并获得内部 NIS 利益相关者的批准。
组织管理的硬件库存得到维护。组织管理的软件、服务和系统的库存得到维护。组织授权的网络通信、内部和外部网络数据流的表示得到维护。供应商提供的服务库存得到维护。标准:1。经内部NIS相关方批准,维护一份更新后的网络流量清单,记录NIS主体的信息与网络系统与外部环境之间的网络流动情况。
组织管理的硬件清单得到维护。组织管理的软件、服务和系统清单得到维护。组织授权的网络通信、内部和外部网络数据流表示得到维护。供应商提供的服务清单得到维护。标准:1。维护了供应商提供的IT服务的最新清单,包括云服务。
改进是基于评估确定的。事件响应计划和其他影响运营的网络安全计划已经建立、传达、维护并改进。标准:1. 根据措施GV第1点提到的审查结果。PO-02,调整计划由管理和执行机构定义、实施、记录并批准,确定确保安全政策执行所需的行动。| 2. 管理和执行机构通过特定的周期性报告获知第1点所述计划的结果。| 3.制定、实施、更新并记录用于评估网络安全风险管理措施有效性的计划,其中包括待评估措施及相关评估方法的说明。| 4. 通过特定的定期报告,将第3点所述的评估计划的有效性通报给行政和执行机构。
改进是基于评估确定的。影响运营的事件响应计划和其他网络安全计划已建立、传达、维护并不断改进。标准:1. 至少针对相关信息和网络系统,已定义、实施、更新并记录了操作连续性计划,包括至少:a) 目标和适用范围;b) 角色和职责;c) 主要联系人和沟通渠道(内部和外部);d) 计划启用和停用的条件;e) 所需资源,包括备份和冗余。2.对于至少相关的信息和网络系统,已定义、实施、更新并记录了灾难恢复计划,包括至少:a) 目标和适用范围;b) 角色和职责;c) 主要联系人和沟通渠道(内部和外部);d) 计划启动和解除的条件;e) 所需资源,包括备份和冗余;f) 恢复操作的顺序;g) 特定操作的恢复程序,包括恢复目标。| 3.至少针对相关信息和网络系统,需制定、实施、更新并记录危机管理计划,包括至少:a) 人员及(在适当情况下)供应商的角色和责任,明确危机情况下的角色分配,包括需遵循的具体程序;b) 各方与主管当局之间的沟通方式。| 4.第1、2和3点所提到的计划已获得行政和管理机构的批准。| 5. 第1、2和3点所提到的计划会接受审查,并在适当情况下至少每两年定期更新一次,同时在发生重大事件或威胁暴露及相关风险发生变化时进行更新。
资产中的漏洞被识别、确认并记录。利用威胁、漏洞、可能性和影响来理解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和应对漏洞披露的流程。标准:1。在措施 ID.RA-08 的第 1 点中提到的信息用于识别信息和网络系统中潜在的漏洞。| 2. 对于至少相关的信息和网络系统,应根据措施 ID 下的漏洞管理计划进行处理。RA-08,除非有正当且有文档记录的规范或技术原因,否则识别漏洞的活动,包括至少漏洞评估和/或渗透测试,应定期进行,并且在投入使用之前进行。| 3.第2点所提到的活动通过包含至少以下内容的特定报告进行记录:a) 所执行活动的一般描述及其结果;b) 所发现漏洞的描述及其对安全的影响程度。
资产中的漏洞被识别、确认并记录。利用威胁、漏洞、可能性和影响来理解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和响应漏洞披露的流程。标准:1。根据GV.RM-03措施中概述的网络安全风险管理计划,针对信息和网络系统安全的风险评估已执行并记录,同时考虑对第三方供应商和合作伙伴的可能依赖,至少包括:a) 风险识别;b) 风险分析;c) 风险评估。| 2.第1点提到的风险评估应按照计划的时间间隔进行,且至少每两年进行一次,同时在发生重大事件、组织变动或威胁暴露及相关风险发生变化时也应进行评估。| 3. 第1点提到的风险评估需由管理和执行机构批准。| 4.第1点提到的风险评估应至少考虑内部和外部威胁、未解决的漏洞以及潜在事件所造成的影响。
资产中的漏洞被识别、确认并记录。威胁、漏洞、可能性和影响用于了解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、计划、监控和沟通。建立了接收、分析和应对漏洞披露的流程。标准:风险应对措施被选择、优先排序、规划、监控并传达。| 1. 风险处理计划已被定义、记录、执行和监控,其中至少包括:a) 针对每一个已识别风险拟实施的处理选项和措施及其相对优先级;b) 执行风险处置措施的主管机构及其实施时间表;c) 对处置后任何剩余风险的接受所进行的说明及理由。| 2.如果由于有正当且有文件记录的规范性或技术原因,未实施本附录附表2中的要求,应在适用的情况下采取补偿性缓解措施,并且第1点所述的计划应包括对这些措施及任何剩余风险的描述。| 3.第1点中提到的计划,包括对任何剩余风险的接受,已获得行政和指挥机构的批准。
资产中的漏洞已被识别、确认并记录。威胁、漏洞、可能性和影响用于理解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和响应漏洞披露的流程。标准:1。至少,意大利CSIRT的通信渠道,以及任何行业CERT和信息共享与分析中心(ISAC)都会被监控,以获取、分析并应对有关漏洞的信息。| 2.漏洞,包括根据测量ID识别的漏洞。RA-01,通过安全更新或缓解措施(如可用)及时解决,或者按照措施 ID.RA-06 所述的网络风险处理计划接受并记录风险。| 3. 定义、实施、更新并记录了漏洞管理计划,其中至少包括:a) 按措施 ID 所述识别漏洞的方法。RA-01 及相关活动的规划;b) 监控、接收、分析和应对漏洞信息的方法;c) 执行 a) 和 b) 点所述活动的程序、角色和职责。| 4. 第 3 点中提到的计划经管理和行政机构批准。| 5.出于第1点所述的目的,还会监控被视为关键的软件供应商的渠道。
员工已接受培训和教育,具备在考虑网络安全风险的情况下执行一般任务的知识和技能。担任专门岗位的个人已接受培训和教育,具备在考虑网络安全风险的情况下执行相关任务的知识和技能。标准:1.制定、实施、更新并记录一项关于员工网络安全的培训计划,包括行政和管理机构,至少包括:a) 培训活动的规划,并说明所提供的培训内容;b) 验证学习内容掌握情况的任何方法。| 2. 第1点所提及的培训计划由行政和管理机构批准。| 3.保留一份最新的登记册,列出接受第1点所述培训的员工、相关内容以及在适用情况下进行的核查清单。
员工经过意识培训和技能培训,以具备在考虑网络安全风险的情况下执行一般任务的知识和技能。担任专业岗位的个人经过意识培训和技能培训,以具备在考虑网络安全风险的情况下执行相关任务的知识和技能。标准:1. 在措施PR中提到的计划。AT-01 包括针对具有专门职责的人员的专门培训,即那些需要具备与安全相关的技能和能力的人员,包括系统管理员,培训至少包括:a) 关于信息和网络系统安全配置和操作的指导;b) 已知网络威胁的信息;c) 在发生与安全相关事件时应采取的行为指南。| 2.建立了更新的登记册,列出已接受第1点所述培训的员工、相关内容以及必要时所进行的检查清单。
静态数据(data-at-rest)的机密性、完整性和可用性受到保护。传输中的数据(data-in-transit)的机密性、完整性和可用性受到保护。数据备份已创建、保护、维护并验证。标准:1. 至少针对相关信息和网络系统,并根据措施ID中提到的风险评估结果进行。RA-05,除非有记录和合理的监管或技术原因,否则存储在便携设备(包括笔记本电脑、智能手机和平板电脑)以及可移动介质上的数据,都使用最先进的协议和算法进行加密,并被认为是安全的。除非有书面记录和合理的监管或技术原因,否则禁用可移动媒体的自动运行,并在信息和网络系统使用之前对其进行扫描以检测恶意代码。| 3. 为遵守措施 GV.PO-01 中提到的政策,针对第 1 点和第 2 点的程序已被采纳并记录在案。
静态数据(data-at-rest)的机密性、完整性和可用性得到保护。传输中的数据(data-in-transit)的机密性、完整性和可用性得到保护。数据备份已创建、保护、维护并验证。标准:1。对于至少相关的信息和网络系统,包括用于语音、视频和文本通信的系统,并根据测量 ID.RA-05 的风险评估结果,除非有正当且有记录的监管或技术原因,否则数据传输至外部网络信息系统实体时,将使用先进且被认为安全的协议和加密算法。| 2.根据 GV.PO-01 措施的政策,已采用并记录了与第 1 点相关的程序。
静态数据(数据静态时)的机密性、完整性和可用性受到保护。传输中的数据(数据传输时)的机密性、完整性和可用性受到保护。数据备份已创建、保护、维护并经过验证。标准:1. 根据措施ID中概述的计划中确定的运营连续性和灾难恢复需求。IM-04,会定期进行数据和配置备份,对于相关信息和网络系统,至少还会保存离线备份副本。| 2. 为遵守措施 GV.PO-01 中规定的政策,已采用并记录与第 1 点相关的程序。| 3.至少对于相关的信息和网络系统,备份中包含的信息的机密性和完整性通过对介质的充分物理保护或加密得到保障。| 4. 至少对于相关的信息和网络系统,通过恢复测试定期验证备份的可用性。| 5. 遵守措施 GV 中概述的政策。PO-01,与第3和第4条相关的程序已被采用并记录。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 所有账户,包括具有管理权限的账户和用于远程访问的账户,均应被记录,并经内部NIS相关人员批准,除非有正当且有记录的技术原因,否则应根据措施ID.RA-05中提到的风险评估结果,为每个用户单独设置。| 2. 凭证(例如,与账户相关的用户名和密码) 是强密码,并根据风险评估ID.RA-05的结果及时更新。| 3. 至少对于相关的信息和网络系统,账户及其相关权限应定期核查,并在发生变动(例如员工调动或离职)时进行更新/撤销。| 4. 遵守措施GV中提及的政策。PO-01,针对第1、2、3点已采用并记录了相关程序。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 用户访问信息和网络系统的身份验证方法应与风险相称。为此,至少应评估以下风险:a) 用户权限;b) 信息和网络系统的重要性;c) 用户可以在信息和网络系统上执行的操作类型。2.对于至少相关的信息和网络系统,并根据措施 ID.RA-05 中提到的风险评估结果,采用多因素身份验证方法。| 3. 根据措施 GV.PO-01 中提到的政策,采用并记录与第 1 点和第 2 点相关的程序。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 根据最小权限和职能分离原则分配用户权限,同时考虑知情需求。| 2. 对系统管理员必须完全区分具有管理权限和不具有管理权限的用户,并且必须使用不同的凭据。| 3. 遵守措施 GV 中提到的政策。PO-01,与第1和第2条相关的程序已被采用并记录。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 对于至少相关的信息和网络系统,应保护物理访问。| 2. 根据措施 GV.PO-01 中提到的政策,针对第 1 点采用并记录程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。对于至少相关的信息和网络系统,其安全(加固)的参考配置已在更新的清单中定义并记录。| 2. 根据措施 GV.PO-01 的政策,已采用并记录与第 1 点相关的程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。除非有合理且有文件记录的规范或技术原因,否则只安装保证提供安全更新的软件,包括操作系统。| 2. 除非有合理且有文件记录的规范或技术原因,否则应根据措施 ID.RA-08 中提到的漏洞管理计划,及时安装制造商发布的最新安全更新。| 3.根据GV.PO-01措施中提到的政策,针对第1点和第2点采用并记录了相关程序。| 4. 除非有正当且有文件证明的规范或技术原因,并且符合ID.RA-05措施中提到的风险评估结果,被认为关键的软件在实际部署到运行环境之前,会在测试环境中进行验证。5.根据措施 GV.PO-01 中提到的政策,针对第4点采取并记录了相应的程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。至少对于相关的信息系统和网络,已制定并记录了用于数据存储设备的物理转移和安全处置的程序。| 2. 至少对于相关的信息系统和网络,会保留一份或多份硬件维护记录。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。所有远程访问以及使用具有管理员权限的账户进行的访问都会被记录。| 2.对于至少相关的信息和网络系统,用于监控安全事件的日志(包括与第1点中提到的访问相关的日志)会被安全存储,并可能集中管理。| 3.根据措施ID的风险评估结果。RA-05,第2点中提到的日志保留时间已定义并记录。| 4. 根据GV.PO-01措施的政策,已采用并记录关于第1点和第2点的程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。在软件开发中采用并记录安全代码开发实践。
网络和环境受到逻辑访问和未经授权使用的保护。已实施机制以在正常和不利情况下满足弹性要求。标准:1. 至少对相关的信息和网络系统,远程活动已定义并记录,并实施了适当的访问安全措施。| 2.维护了一份可远程访问的信息和网络系统的最新清单,包括访问方式的描述。| 3. 存在外围系统,如防火墙,并且这些系统已更新、维护和配置。| 4. 根据GV.PO-01措施中规定的政策,采用并记录与第1、2和3点相关的程序。
网络和环境受到逻辑访问和未经授权使用的保护。已实施机制以在正常和不利情况下满足弹性要求。标准:1. 根据措施 ID.RA-05 中概述的风险评估结果,使用受保护的应急通信系统。| 2. 符合措施 GV 中概述的政策。PO-01,已针对第1点采取并记录了相关程序。
恢复活动和恢复运营能力的进展情况会传达给指定的内部和外部利益相关者。 标准:1. 已采用并记录程序,以向相关内部方传达事件后的恢复活动,包括国家情报系统(NIS)实体的主管部门。
与恢复相关的事件响应计划部分在事件响应过程启动后执行。标准:1. 作为措施 RS 中提到的事件管理计划的一部分。MA-01,采用并记录了恢复程序,至少侧重于恢复涉及网络安全事件的信息系统和网络的正常运行,包括《NIS 指令》第25条中提到的系统和网络。
一旦事件被宣布,将与相关第三方协调执行事件响应计划。标准:1。根据《NIS法令》第25条,本计划用于管理网络安全事件并通知意大利计算机安全响应小组(CSIRT Italy),包括至少以下内容:a) 管理和通报事件的阶段和程序,并指明各自的角色和责任;b) 根据 NIS 法令第 25 条第 5 款 c)、d) 和 e) 项所述,报告的准备和传输程序;c) 报告事件的联系方式;d) 内部沟通的方法,包括涉及行政和执行机构的情况,以及外部沟通;e) 用于记录事件的报告。| 2.第1点提到的计划由行政和执行机构批准。| 3.第1点提到的计划应定期审查,并在适当情况下进行更新,至少每两年一次,并且每当发生重大事件时,也应更新,以吸取经验教训,或应对威胁暴露和相关风险的变化。
内部和外部利益相关者被告知事件。标准:1. 根据措施 RS 中提到的事件管理计划。MA-01,已记录并采用程序以在适当情况下并在可能时,在咨询意大利CSIRT后,或根据NIS法令第37条第3款g)和h)项国家网络安全局的要求时,及时进行沟通:a) 向其服务的接收方通报可能对该等服务的提供产生不利影响的重大事件;b) 向可能受到重大网络威胁影响的服务接收者,提供他们可采取的纠正或缓解措施或行动以应对该威胁,以及该威胁的性质。| 2.已制定并采纳程序,以便在国家网络安全机构根据《NIS法令》第37条第3款i项的要求时,向公众通报已发生的事件。