CISO助手
完成度
0%(0/43)
评估报告
NIS2

网络与信息安全指令2 2023

控制项模式

欧盟网络与信息安全指令,加强整个欧盟的网络安全要求。

版本: 2023覆盖状态: 完整覆盖 (86/86)控制项/量表/总计: 43/43/86当前展示: 5 / 436 个分类
GV.SC-01供应链网络安全风险管理的计划、策略、目标、政策和流程已由组织的利益相关者建立并认可。控制项
Govern / 供应链风险管理

组织的利益相关者已经建立并接受了供应链网络安全风险管理的程序、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已经建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准:1.关于可能影响信息和网络系统安全的物资采购,包括根据2023年3月31日第36号立法法令附录I.1,第1条第1款i)项使用中央采购工具的情况,规定如下:a) 涉及GV措施中提到的网络安全组织参与。RR-02 在采购流程的定义和执行中,从供应的识别和设计阶段开始;b)根据与供应相关的风险评估结果(参见措施 GV.SC-07),为供应定义与 NIS 实体对信息和网络系统应用的安全措施相一致的安全要求。| 2.对于第1点b)项所提到的安全要求,考虑以下领域(如适用)至少包括:a) 供应商的可靠性,至少考虑其具体的脆弱性、整体产品质量和网络安全实践,尤其是与供应对象相关的能力,保证供应、提供支持和维护的能力,以及在适用情况下,由NIS合作小组进行的关键供应链安全协调风险评估的结果;b) 供应链中的角色与职责;c) 人力资源可靠性;d) 合规性和安全审计;e) 漏洞管理;f) 业务连续性和灾难恢复;g) 身份认证、数字身份和访问控制管理;h) 物理安全;i) 员工培训与意识提升;j) 数据安全;k) 网络与通信保护;l) 监控安全事件,包括访问和执行的活动;m) 事件管理与报告;n) 安全代码开发以及默认和设计时的安全性;o) 日常及演进性维护,包括安全更新;p) 供应链终止,包括数据返回和删除;q) 分包、子供应或供应链相关的潜在安全要求。

评估
评估状态:
评估备注:
GV.SC-02关于供应商、客户和合作伙伴的网络安全角色和责任已经建立、传达,并在内部和外部进行协调。控制项
Govern / 供应链风险管理

组织制定并获得利益相关方认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已经建立、优先排序,并纳入与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中都被理解、记录、优先排序、评估、管理和监控。标准:1。在GV.RR-02措施中概述的网络安全组织框架内,分配给第三方人员的任何与网络安全相关的角色和责任都会被定义,并向NIS实体的相关部门披露。| 2. 第1点中提到的具有特定角色和责任的人员包含在GV.RR-02措施第2点提到的清单中。

评估
评估状态:
评估备注:
GV.SC-04供应商根据关键性进行识别和优先排序。控制项
Govern / 供应链风险管理

组织的利益相关者已经建立并接受了供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已经建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已经建立、优先排序,并纳入与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中都被理解、记录、优先排序、评估、管理和监控。标准:1。维护了一份供应商的最新清单,这些供应商的供应可能对信息和网络系统的安全产生影响,至少包括:a) 供应代表的联系方式;b) 供应的类型。

评估
评估状态:
评估备注:
GV.SC-05针对供应链中的网络安全风险的要求已经建立、确定优先顺序,并纳入与供应商及其他相关第三方的合同和其他类型的协议中。控制项
Govern / 供应链风险管理

组织制定并获得利益相关者认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准:1.在有合理且有据可查的监管或技术原因的前提下,GV.SC-01措施第1点b项提到的安全要求会被纳入与可能影响信息和网络系统安全的供应相关的招标请求、投标邀请、合同、协议及约定中。

评估
评估状态:
评估备注:
GV.SC-07供应商及其产品和服务以及其他第三方带来的风险在整个关系期间都会被理解、记录、优先排序、评估、管理和监控。控制项
Govern / 供应链风险管理

组织制定并获得利益相关方认同的供应链网络安全风险管理的计划、策略、目标、政策和流程。涉及供应商、客户和合作伙伴的网络安全角色和职责已建立、传达,并在内部和外部进行协调。供应商根据其关键性进行识别和优先排序。针对供应链中网络安全风险的要求已被确定、优先排序并整合到与供应商及其他相关第三方的合同和其他类型的协议中。供应商、其产品和服务以及其他第三方所带来的风险在整个合作关系中被理解、记录、优先排序、评估、管理和监控。标准:1.作为措施 ID.RA-05 中提到的风险评估的一部分,将评估并记录与供应相关的风险。为此,至少评估以下内容:a) 供应商对 NIS 实体信息和网络系统的访问级别;b) 供应商对知识产权和数据的访问,并根据其重要性进行评估;c) 供应中断的严重影响。d) 服务不可用时的恢复时间和费用;e) 供应商在信息和网络系统治理中的角色和职责。| 2. 定期验证供应的合规性是否符合 GV.SC-05 测量要求,并进行记录。

评估
评估状态:
评估备注: