网络与信息安全指令2 2023

员工已接受培训和教育，具备在考虑网络安全风险的情况下执行一般任务的知识和技能。担任专门岗位的个人已接受培训和教育，具备在考虑网络安全风险的情况下执行相关任务的知识和技能。标准：1.制定、实施、更新并记录一项关于员工网络安全的培训计划，包括行政和管理机构，至少包括：a) 培训活动的规划，并说明所提供的培训内容；b) 验证学习内容掌握情况的任何方法。| 2. 第1点所提及的培训计划由行政和管理机构批准。| 3.保留一份最新的登记册，列出接受第1点所述培训的员工、相关内容以及在适用情况下进行的核查清单。

员工经过意识培训和技能培训，以具备在考虑网络安全风险的情况下执行一般任务的知识和技能。担任专业岗位的个人经过意识培训和技能培训，以具备在考虑网络安全风险的情况下执行相关任务的知识和技能。标准：1. 在措施PR中提到的计划。AT-01 包括针对具有专门职责的人员的专门培训，即那些需要具备与安全相关的技能和能力的人员，包括系统管理员，培训至少包括：a) 关于信息和网络系统安全配置和操作的指导；b) 已知网络威胁的信息；c) 在发生与安全相关事件时应采取的行为指南。| 2.建立了更新的登记册，列出已接受第1点所述培训的员工、相关内容以及必要时所进行的检查清单。

静态数据（data-at-rest）的机密性、完整性和可用性受到保护。传输中的数据（data-in-transit）的机密性、完整性和可用性受到保护。数据备份已创建、保护、维护并验证。标准：1. 至少针对相关信息和网络系统，并根据措施ID中提到的风险评估结果进行。RA-05，除非有记录和合理的监管或技术原因，否则存储在便携设备（包括笔记本电脑、智能手机和平板电脑）以及可移动介质上的数据，都使用最先进的协议和算法进行加密，并被认为是安全的。除非有书面记录和合理的监管或技术原因，否则禁用可移动媒体的自动运行，并在信息和网络系统使用之前对其进行扫描以检测恶意代码。| 3. 为遵守措施 GV.PO-01 中提到的政策，针对第 1 点和第 2 点的程序已被采纳并记录在案。

静态数据（data-at-rest）的机密性、完整性和可用性得到保护。传输中的数据（data-in-transit）的机密性、完整性和可用性得到保护。数据备份已创建、保护、维护并验证。标准：1。对于至少相关的信息和网络系统，包括用于语音、视频和文本通信的系统，并根据测量 ID.RA-05 的风险评估结果，除非有正当且有记录的监管或技术原因，否则数据传输至外部网络信息系统实体时，将使用先进且被认为安全的协议和加密算法。| 2.根据 GV.PO-01 措施的政策，已采用并记录了与第 1 点相关的程序。

静态数据（数据静态时）的机密性、完整性和可用性受到保护。传输中的数据（数据传输时）的机密性、完整性和可用性受到保护。数据备份已创建、保护、维护并经过验证。标准：1. 根据措施ID中概述的计划中确定的运营连续性和灾难恢复需求。IM-04，会定期进行数据和配置备份，对于相关信息和网络系统，至少还会保存离线备份副本。| 2. 为遵守措施 GV.PO-01 中规定的政策，已采用并记录与第 1 点相关的程序。| 3.至少对于相关的信息和网络系统，备份中包含的信息的机密性和完整性通过对介质的充分物理保护或加密得到保障。| 4. 至少对于相关的信息和网络系统，通过恢复测试定期验证备份的可用性。| 5. 遵守措施 GV 中概述的政策。PO-01，与第3和第4条相关的程序已被采用并记录。

组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义，进行管理、执行和审查，并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准：1. 所有账户，包括具有管理权限的账户和用于远程访问的账户，均应被记录，并经内部NIS相关人员批准，除非有正当且有记录的技术原因，否则应根据措施ID.RA-05中提到的风险评估结果，为每个用户单独设置。| 2. 凭证（例如，与账户相关的用户名和密码) 是强密码，并根据风险评估ID.RA-05的结果及时更新。| 3. 至少对于相关的信息和网络系统，账户及其相关权限应定期核查，并在发生变动（例如员工调动或离职）时进行更新/撤销。| 4. 遵守措施GV中提及的政策。PO-01，针对第1、2、3点已采用并记录了相关程序。

组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义，进行管理、执行和审查，并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准：1. 用户访问信息和网络系统的身份验证方法应与风险相称。为此，至少应评估以下风险：a) 用户权限；b) 信息和网络系统的重要性；c) 用户可以在信息和网络系统上执行的操作类型。2.对于至少相关的信息和网络系统，并根据措施 ID.RA-05 中提到的风险评估结果，采用多因素身份验证方法。| 3. 根据措施 GV.PO-01 中提到的政策，采用并记录与第 1 点和第 2 点相关的程序。

组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义，进行管理、执行和审查，并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准：1. 根据最小权限和职能分离原则分配用户权限，同时考虑知情需求。| 2. 对系统管理员必须完全区分具有管理权限和不具有管理权限的用户，并且必须使用不同的凭据。| 3. 遵守措施 GV 中提到的政策。PO-01，与第1和第2条相关的程序已被采用并记录。

组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义，进行管理、执行和审查，并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准：1. 对于至少相关的信息和网络系统，应保护物理访问。| 2. 根据措施 GV.PO-01 中提到的政策，针对第 1 点采用并记录程序。

配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合，并在整个软件生命周期中监控其性能。标准：1。对于至少相关的信息和网络系统，其安全（加固）的参考配置已在更新的清单中定义并记录。| 2. 根据措施 GV.PO-01 的政策，已采用并记录与第 1 点相关的程序。

配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合，并在整个软件生命周期中监控其性能。标准：1。除非有合理且有文件记录的规范或技术原因，否则只安装保证提供安全更新的软件，包括操作系统。| 2. 除非有合理且有文件记录的规范或技术原因，否则应根据措施 ID.RA-08 中提到的漏洞管理计划，及时安装制造商发布的最新安全更新。| 3.根据GV.PO-01措施中提到的政策，针对第1点和第2点采用并记录了相关程序。| 4. 除非有正当且有文件证明的规范或技术原因，并且符合ID.RA-05措施中提到的风险评估结果，被认为关键的软件在实际部署到运行环境之前，会在测试环境中进行验证。5.根据措施 GV.PO-01 中提到的政策，针对第4点采取并记录了相应的程序。

配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合，并在整个软件生命周期中监控其性能。标准：1。至少对于相关的信息系统和网络，已制定并记录了用于数据存储设备的物理转移和安全处置的程序。| 2. 至少对于相关的信息系统和网络，会保留一份或多份硬件维护记录。

配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合，并在整个软件生命周期中监控其性能。标准：1。所有远程访问以及使用具有管理员权限的账户进行的访问都会被记录。| 2.对于至少相关的信息和网络系统，用于监控安全事件的日志（包括与第1点中提到的访问相关的日志）会被安全存储，并可能集中管理。| 3.根据措施ID的风险评估结果。RA-05，第2点中提到的日志保留时间已定义并记录。| 4. 根据GV.PO-01措施的政策，已采用并记录关于第1点和第2点的程序。

配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合，并在整个软件生命周期中监控其性能。标准：1。在软件开发中采用并记录安全代码开发实践。

网络和环境受到逻辑访问和未经授权使用的保护。已实施机制以在正常和不利情况下满足弹性要求。标准：1. 至少对相关的信息和网络系统，远程活动已定义并记录，并实施了适当的访问安全措施。| 2.维护了一份可远程访问的信息和网络系统的最新清单，包括访问方式的描述。| 3. 存在外围系统，如防火墙，并且这些系统已更新、维护和配置。| 4. 根据GV.PO-01措施中规定的政策，采用并记录与第1、2和3点相关的程序。

网络和环境受到逻辑访问和未经授权使用的保护。已实施机制以在正常和不利情况下满足弹性要求。标准：1. 根据措施 ID.RA-05 中概述的风险评估结果，使用受保护的应急通信系统。| 2. 符合措施 GV 中概述的政策。PO-01，已针对第1点采取并记录了相关程序。