网络与信息安全指令2 2023
控制项模式欧盟网络与信息安全指令,加强整个欧盟的网络安全要求。
组织管理的硬件库存得到维护。组织管理的软件、服务和系统的库存得到维护。组织授权的网络通信、内部和外部网络数据流的表示得到维护。供应商提供的服务库存得到维护。标准:1。维护一份由内部 NIS 参与者批准的、包括 IT、IoT、OT 和移动设备在内的信息和网络系统所使用的物理设备(硬件)更新清单。
组织管理的硬件库存得到维护。组织管理的软件、服务和系统的库存得到维护。组织授权的网络通信、内部和外部网络数据流的表示得到维护。供应商提供的服务库存得到维护。标准:1。维护信息和网络系统所包含的服务、系统和软件应用的最新清单,包括商业的、开源的和定制的应用程序,这些应用程序也可以通过 API 访问,并获得内部 NIS 利益相关者的批准。
组织管理的硬件库存得到维护。组织管理的软件、服务和系统的库存得到维护。组织授权的网络通信、内部和外部网络数据流的表示得到维护。供应商提供的服务库存得到维护。标准:1。经内部NIS相关方批准,维护一份更新后的网络流量清单,记录NIS主体的信息与网络系统与外部环境之间的网络流动情况。
组织管理的硬件清单得到维护。组织管理的软件、服务和系统清单得到维护。组织授权的网络通信、内部和外部网络数据流表示得到维护。供应商提供的服务清单得到维护。标准:1。维护了供应商提供的IT服务的最新清单,包括云服务。
改进是基于评估确定的。事件响应计划和其他影响运营的网络安全计划已经建立、传达、维护并改进。标准:1. 根据措施GV第1点提到的审查结果。PO-02,调整计划由管理和执行机构定义、实施、记录并批准,确定确保安全政策执行所需的行动。| 2. 管理和执行机构通过特定的周期性报告获知第1点所述计划的结果。| 3.制定、实施、更新并记录用于评估网络安全风险管理措施有效性的计划,其中包括待评估措施及相关评估方法的说明。| 4. 通过特定的定期报告,将第3点所述的评估计划的有效性通报给行政和执行机构。
改进是基于评估确定的。影响运营的事件响应计划和其他网络安全计划已建立、传达、维护并不断改进。标准:1. 至少针对相关信息和网络系统,已定义、实施、更新并记录了操作连续性计划,包括至少:a) 目标和适用范围;b) 角色和职责;c) 主要联系人和沟通渠道(内部和外部);d) 计划启用和停用的条件;e) 所需资源,包括备份和冗余。2.对于至少相关的信息和网络系统,已定义、实施、更新并记录了灾难恢复计划,包括至少:a) 目标和适用范围;b) 角色和职责;c) 主要联系人和沟通渠道(内部和外部);d) 计划启动和解除的条件;e) 所需资源,包括备份和冗余;f) 恢复操作的顺序;g) 特定操作的恢复程序,包括恢复目标。| 3.至少针对相关信息和网络系统,需制定、实施、更新并记录危机管理计划,包括至少:a) 人员及(在适当情况下)供应商的角色和责任,明确危机情况下的角色分配,包括需遵循的具体程序;b) 各方与主管当局之间的沟通方式。| 4.第1、2和3点所提到的计划已获得行政和管理机构的批准。| 5. 第1、2和3点所提到的计划会接受审查,并在适当情况下至少每两年定期更新一次,同时在发生重大事件或威胁暴露及相关风险发生变化时进行更新。
资产中的漏洞被识别、确认并记录。利用威胁、漏洞、可能性和影响来理解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和应对漏洞披露的流程。标准:1。在措施 ID.RA-08 的第 1 点中提到的信息用于识别信息和网络系统中潜在的漏洞。| 2. 对于至少相关的信息和网络系统,应根据措施 ID 下的漏洞管理计划进行处理。RA-08,除非有正当且有文档记录的规范或技术原因,否则识别漏洞的活动,包括至少漏洞评估和/或渗透测试,应定期进行,并且在投入使用之前进行。| 3.第2点所提到的活动通过包含至少以下内容的特定报告进行记录:a) 所执行活动的一般描述及其结果;b) 所发现漏洞的描述及其对安全的影响程度。
资产中的漏洞被识别、确认并记录。利用威胁、漏洞、可能性和影响来理解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和响应漏洞披露的流程。标准:1。根据GV.RM-03措施中概述的网络安全风险管理计划,针对信息和网络系统安全的风险评估已执行并记录,同时考虑对第三方供应商和合作伙伴的可能依赖,至少包括:a) 风险识别;b) 风险分析;c) 风险评估。| 2.第1点提到的风险评估应按照计划的时间间隔进行,且至少每两年进行一次,同时在发生重大事件、组织变动或威胁暴露及相关风险发生变化时也应进行评估。| 3. 第1点提到的风险评估需由管理和执行机构批准。| 4.第1点提到的风险评估应至少考虑内部和外部威胁、未解决的漏洞以及潜在事件所造成的影响。
资产中的漏洞被识别、确认并记录。威胁、漏洞、可能性和影响用于了解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、计划、监控和沟通。建立了接收、分析和应对漏洞披露的流程。标准:风险应对措施被选择、优先排序、规划、监控并传达。| 1. 风险处理计划已被定义、记录、执行和监控,其中至少包括:a) 针对每一个已识别风险拟实施的处理选项和措施及其相对优先级;b) 执行风险处置措施的主管机构及其实施时间表;c) 对处置后任何剩余风险的接受所进行的说明及理由。| 2.如果由于有正当且有文件记录的规范性或技术原因,未实施本附录附表2中的要求,应在适用的情况下采取补偿性缓解措施,并且第1点所述的计划应包括对这些措施及任何剩余风险的描述。| 3.第1点中提到的计划,包括对任何剩余风险的接受,已获得行政和指挥机构的批准。
资产中的漏洞已被识别、确认并记录。威胁、漏洞、可能性和影响用于理解固有风险,并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和响应漏洞披露的流程。标准:1。至少,意大利CSIRT的通信渠道,以及任何行业CERT和信息共享与分析中心(ISAC)都会被监控,以获取、分析并应对有关漏洞的信息。| 2.漏洞,包括根据测量ID识别的漏洞。RA-01,通过安全更新或缓解措施(如可用)及时解决,或者按照措施 ID.RA-06 所述的网络风险处理计划接受并记录风险。| 3. 定义、实施、更新并记录了漏洞管理计划,其中至少包括:a) 按措施 ID 所述识别漏洞的方法。RA-01 及相关活动的规划;b) 监控、接收、分析和应对漏洞信息的方法;c) 执行 a) 和 b) 点所述活动的程序、角色和职责。| 4. 第 3 点中提到的计划经管理和行政机构批准。| 5.出于第1点所述的目的,还会监控被视为关键的软件供应商的渠道。