网络与信息安全指令2 2023

理解利益相关方依赖或期望组织提供的目标、能力和关键服务。 标准：1. 保持一份最新的相关信息和网络系统清单。

管理网络安全风险的政策是根据组织环境、网络安全战略和优先事项制定的，并进行沟通和执行。管理网络安全风险的政策会进行审查、更新、沟通和实施，以反映需求、威胁、技术和组织使命的变化。标准：1。网络安全政策应至少在以下领域被采用和记录：a) 风险管理；b) 角色和职责；c) 人力资源可靠性；d) 合规性与安全审计；e) 供应链中的网络安全风险管理；f) 资产管理；g) 漏洞管理；h) 运营连续性、灾难恢复与危机管理；i) 身份验证、数字身份和访问控制的管理；j) 物理安全；k) 员工培训和意识提升；l) 数据安全；m) 信息和网络系统的开发、配置、维护和报废；n) 网络和通信的保护；o) 安全事件监控；p) 事件响应和恢复。| 2.对于第1点中提到的地区，政策至少涵盖了本附件附录表1中列明的要求。| 3.第1点中提到的政策已得到管理和指导机构的批准。

管理网络安全风险的政策是基于组织背景、网络安全策略和优先事项制定的，并且已经传达和执行。管理网络安全风险的政策会根据要求、威胁、技术和组织使命的变化进行审核、更新、传达和实施。标准：1. 本措施GV中提到的政策。PO-01 会定期进行审核，并在适当情况下至少每年更新一次，同时在涉及网络安全的监管环境发生变化、重大事件、组织变更或威胁暴露及相关风险变化时也会进行更新。| 2. 对于第1点提到的审核，将至少验证措施 GV.PO-01 所涉及政策是否符合网络安全法规。| 3.一份更新的登记册，其中包含第1点提到的审查结果，已被维护。

网络安全风险管理的活动和结果是组织风险管理流程的一个组成部分。标准：1. 在网络信息系统实体的风险管理流程框架内，并遵循GV措施中概述的政策。PO-01 定义、实施、更新和记录网络安全风险管理计划，以识别、分析、评估、处理和监控风险。

与网络安全风险管理相关的角色、职责和权力得到建立、传达、理解和执行。网络安全已纳入人力资源实践。标准：1。信息安全组织已被定义，经过行政和指导机构批准，并告知国家信息系统（NIS）实体的相关部门，同时明确了各自的职责和责任。| 2.维护并更新第1点中提到的组织内部人员名单，这些人员具有特定的职责和责任，并告知国家信息系统实体的相关部门。| 3.在第1点中提到的信息安全组织内，按照NIS法令第7条第6款确定的联系人及至少一名替代人员已包含在内。| 4.第1点中提到的角色和职责会进行审查，并在适当情况下定期更新，至少每两年一次，同时在发生重大事件、组织变动或威胁暴露及相关风险变化时也会进行更新。

与网络安全风险管理相关的角色、职责和权力得到建立、传达、理解和执行。网络安全已纳入人力资源实践。标准：1。对于至少相关的信息和网络系统，在评估经验、能力和可靠性后，会确定有权访问的人员，并且这些人员必须提供适当的保证，确保全面遵守网络安全法规。| 2.在评估了经验、能力和可靠性后，信息和网络系统的系统管理员将被确定，并且必须提供适当的保证，以确保完全遵守网络安全法规。| 3. 根据措施 GV.PO-01 的政策，采纳并记录与第1条和第2条相关的程序。| 4. 根据措施 ID 的风险评估结果达成一致。RA-05，对于NIS员工，在雇佣关系终止或变更后仍然有效的任何关于网络安全的合同义务已被定义（例如，包括保密条款）。| 5.根据GV.PO-01措施的政策，已采用并记录与第4点相关的程序。

组织的利益相关者已经建立并接受了供应链网络安全风险管理的程序、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已经建立、传达，并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准：1.关于可能影响信息和网络系统安全的物资采购，包括根据2023年3月31日第36号立法法令附录I.1，第1条第1款i)项使用中央采购工具的情况，规定如下：a) 涉及GV措施中提到的网络安全组织参与。RR-02 在采购流程的定义和执行中，从供应的识别和设计阶段开始；b）根据与供应相关的风险评估结果（参见措施 GV.SC-07），为供应定义与 NIS 实体对信息和网络系统应用的安全措施相一致的安全要求。| 2.对于第1点b)项所提到的安全要求，考虑以下领域（如适用）至少包括：a) 供应商的可靠性，至少考虑其具体的脆弱性、整体产品质量和网络安全实践，尤其是与供应对象相关的能力，保证供应、提供支持和维护的能力，以及在适用情况下，由NIS合作小组进行的关键供应链安全协调风险评估的结果；b) 供应链中的角色与职责；c) 人力资源可靠性；d) 合规性和安全审计；e) 漏洞管理；f) 业务连续性和灾难恢复；g) 身份认证、数字身份和访问控制管理；h) 物理安全；i) 员工培训与意识提升；j) 数据安全；k) 网络与通信保护；l) 监控安全事件，包括访问和执行的活动；m) 事件管理与报告；n) 安全代码开发以及默认和设计时的安全性；o) 日常及演进性维护，包括安全更新；p) 供应链终止，包括数据返回和删除；q) 分包、子供应或供应链相关的潜在安全要求。

组织制定并获得利益相关方认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达，并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已经建立、优先排序，并纳入与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中都被理解、记录、优先排序、评估、管理和监控。标准：1。在GV.RR-02措施中概述的网络安全组织框架内，分配给第三方人员的任何与网络安全相关的角色和责任都会被定义，并向NIS实体的相关部门披露。| 2. 第1点中提到的具有特定角色和责任的人员包含在GV.RR-02措施第2点提到的清单中。

组织的利益相关者已经建立并接受了供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已经建立、传达，并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已经建立、优先排序，并纳入与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中都被理解、记录、优先排序、评估、管理和监控。标准：1。维护了一份供应商的最新清单，这些供应商的供应可能对信息和网络系统的安全产生影响，至少包括：a) 供应代表的联系方式；b) 供应的类型。

组织制定并获得利益相关者认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达，并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准：1.在有合理且有据可查的监管或技术原因的前提下，GV.SC-01措施第1点b项提到的安全要求会被纳入与可能影响信息和网络系统安全的供应相关的招标请求、投标邀请、合同、协议及约定中。

组织制定并获得利益相关方认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达，并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准：1.作为措施 ID.RA-05 中提到的风险评估的一部分，将评估并记录与供应相关的风险。为此，至少评估以下内容：a) 供应商对 NIS 实体信息和网络系统的访问级别；b) 供应商对知识产权和数据的访问，并根据其重要性进行评估；c) 供应中断的严重影响。d) 服务不可用时的恢复时间和费用；e) 供应商在信息和网络系统治理中的角色和职责。| 2. 定期验证供应的合规性是否符合 GV.SC-05 测量要求，并进行记录。