NIST 网络安全框架 2.0 2.0

有关网络安全的法律、监管和合同要求——包括隐私和公民自由义务——已被理解并得到管理 标准: 示例1: 确定一个流程来跟踪和管理关于保护个人信息的法律和监管要求（例如, 健康保险可携性与责任法案，加利福尼亚消费者隐私法案，通用数据保护条例) | 示例2：确定一个流程来跟踪和管理供应商、客户和合作伙伴信息的网络安全管理合同要求 | 示例3：将组织的网络安全策略与法律、法规和合同要求保持一致

组织使命得到理解，并用于指导网络安全风险管理 标准：例1：共享组织的使命（例如，通过愿景和使命声明、营销以及服务策略），为识别可能阻碍该使命的风险提供基础

组织所依赖的成果、能力和服务已被理解并传达 标准：例1：创建组织对外部资源依赖的清单（例如），设施、基于云的托管提供商）及其与组织资产和业务功能的关系 | 示例2：识别并记录对组织关键能力和服务可能构成故障的外部依赖关系，并将该信息与相关人员共享

已了解内部和外部利益相关者，并已了解和考虑他们在网络安全风险管理方面的需求和期望 标准：例如1：识别相关的内部利益相关者及其与网络安全相关的期望（例如，高管、董事和顾问的绩效和风险期望；员工的文化期望）| 示例2：识别相关的外部利益相关者及其与网络安全相关的期望（例如，客户的隐私期望、合作伙伴的商业期望、监管机构的合规期望、社会的道德期望）

利益相关者依赖或期望组织提供的关键目标、能力和服务得到理解并被传达 标准：示例1：建立评估内部和外部利益相关者所看重的能力和服务关键性的标准 | 示例2：确定（例如从业务影响分析中) 对实现任务目标至关重要的资产和业务操作，以及这些操作丧失（或部分丧失）的潜在影响 | 示例3：为在各种运行状态下（例如，在攻击期间、恢复期间、正常操作）提供关键能力和服务建立并传达韧性目标（例如，恢复时间目标）

组织的网络安全风险管理绩效会被评估并审查，以确定所需的调整 标准： 实例1：审查关键绩效指标（KPI），以确保全组织的政策和程序实现目标 | 实例2：审查关键风险指标（KRI），以识别组织面临的风险，包括可能性和潜在影响 | 实例3：收集并传达网络安全指标与高级领导层的风险管理

网络安全风险管理策略的结果会被审查，以便为策略和方向提供信息和调整依据 标准：示例1：衡量风险管理策略和风险结果在多大程度上帮助领导者做出决策并实现组织目标 | 示例2：检验是否应调整阻碍运营或创新的网络安全风险策略

网络安全风险管理策略会进行审查和调整，以确保覆盖组织的要求和风险 标准：例1：审查审计结果，以确认现有的网络安全策略是否已确保符合内部和外部要求 | 例2：审查网络安全相关岗位的绩效监督，以确定是否需要进行政策调整 | 例3：根据网络安全事件审查策略

基于组织的背景、网络安全战略和优先事项，建立管理网络安全风险的政策，并进行传达和执行。 标准：例如1：创建、传播并维护一份可理解、可使用的风险管理政策，其中包含管理意图、期望和指导声明 | 例如2：定期审查政策及其支持的流程和程序，以确保它们与风险管理策略的目标和优先事项以及网络安全政策的高层方向保持一致 | 示例3：需要高级管理层批准政策 | 示例4：在整个组织内传达网络安全风险管理政策及支持的流程和程序 | 示例5：要求人员在首次入职、每年以及政策更新时确认已收到政策

管理网络安全风险的政策会根据要求、威胁、技术和组织使命的变化进行审核、更新、传达和执行。 标准：示例1：根据对网络安全风险管理结果的定期审查更新政策，以确保政策及支持的流程和程序能够将风险保持在可接受的水平 | 示例2：提供审查组织风险环境变化的时间表（例如）。例如，风险变化或组织使命目标的变化)，并传达建议的政策更新 | 示例3：更新政策以反映法律和监管要求的变化 | 示例4：更新政策以反映技术变化（例如采用人工智能）和业务变化（例如收购新业务、新合同要求）

网络安全风险管理活动和结果包含在企业风险管理流程中 标准：例如1：将网络安全风险与其他企业风险一起汇总和管理（例如，合规、财务、运营、监管、声誉、安全）| 示例2：在企业风险管理规划中包括网络安全风险管理人员 | 示例3：在企业风险管理中建立升级网络安全风险的标准

在整个组织中建立了关于网络安全风险的沟通渠道，包括来自供应商和其他第三方的风险。 标准： 示例1：确定如何在双方约定的时间间隔内向高级管理人员、董事和管理层更新组织的网络安全状况。 示例2：识别整个组织中所有部门（如管理、运营、内部审计、法律、采购）如何沟通。采购、物理安全和人力资源——将就网络安全风险相互沟通

风险偏好和风险容忍度声明已经建立、传达并维持 标准：例1：确定并传达风险偏好声明，以表达对组织适当风险水平的期望 | 例2：将风险偏好声明转化为具体、可衡量且广泛易懂的风险容忍度声明 | 例3：完善组织目标和风险偏好 p根据已知的风险暴露和剩余风险定期进行

风险管理目标由组织利益相关者确定并达成一致 标准：例1：在年度战略规划中以及发生重大变更时，更新近期和远期的网络安全风险管理目标 | 例2：为网络安全风险管理建立可衡量的目标（例如，管理用户培训的质量，确保对工业控制系统有足够的风险防护）| 例3：高级领导者就网络安全目标达成一致，并以此来衡量和管理风险与绩效

建立并传达描述适当风险应对选项的战略方向 标准：示例1：为各种数据分类明确接受和规避网络安全风险的标准 | 示例2：确定是否购买网络安全保险 | 示例3：记录共享责任模型可接受的条件（例如），外包某些网络安全功能，由第三方代表组织执行金融交易，使用基于公共云的服务）

建立并传达计算、记录、分类和优先排序网络安全风险的标准化方法 标准：例如1：建立用于网络安全风险分析的定量方法的标准，并指定概率和暴露公式 | 例如2：创建并使用模板（例如风险登记表）记录网络安全风险信息（例如，风险描述、暴露、处理和所有权）| 示例3：在企业的适当层级建立风险优先级标准 | 示例4：使用一致的风险类别列表来支持整合、汇总和比较网络安全风险

战略机会（即积极风险）的特征已被确定，并且被纳入组织的网络安全风险讨论中 标准：示例1：定义并传达识别机会的指导和方法，并将其纳入风险讨论中（例如。优势、劣势、机会和威胁 [SWOT] 分析) | 示例2：确定拓展目标并记录 | 示例3：计算、记录并优先考虑正向风险以及负向风险

网络安全已纳入人力资源实践 标准：例如1：将网络安全风险管理考虑因素整合到人力资源流程中（例如，人员筛选、入职、变更通知、离职) | 例2：在招聘、培训和留用决定中将网络安全知识视为一个积极因素 | 例3：在关键岗位新员工入职前进行背景调查，并定期对担任此类岗位的人员重复背景调查 | 例4：定义并强制执行人员的义务，使其了解、遵守并维护与其岗位相关的安全政策

组织领导对网络安全风险负有责任和义务，并促成一种风险意识强、道德规范高、持续改进的文化。 标准：示例1：领导者（例如，董事) 就在制定、实施和评估组织的网络安全战略中的角色和职责达成一致 | 示例2：分享领导者对安全和道德文化的期望，尤其是在当前事件提供机会突出网络安全风险管理中的正面或负面案例时 | 示例3：领导者指示首席信息安全官保持全面的网络安全风险战略，并至少每年及重大事件后审查和更新 | 示例4：进行审查，以确保负责管理网络安全风险的人拥有足够的权限和协调

根据网络安全风险策略、角色、职责和政策，分配相称的充足资源 标准：示例1：定期进行管理评审，以确保被赋予网络安全风险管理职责的人拥有必要的权限 | 示例2：根据风险容忍度和应对措施确定资源分配和投资 | 示例3：提供充足和足够的人力、流程ess，以及支持网络安全战略的技术资源

与网络安全风险管理相关的角色、职责和权限已被建立、传达、理解并执行 标准：示例1：在政策中记录风险管理的角色和职责 | 示例2：记录谁负责和对网络安全风险管理活动负有责任，以及如何与这些团队和个人进行咨询和通知 | 示例3：包括网络安全责任人员描述中的职责和绩效要求 | 示例4：记录具有网络安全风险管理职责的人员的绩效目标，并定期衡量绩效以识别改进领域 | 示例5：清楚表达运营、风险职能和内部审计职能中的网络安全职责

网络安全供应链风险管理计划包括对合作伙伴关系或服务协议结束后发生的活动的条款 标准： 示例1：建立在正常和不利情况下终止关键关系的流程 | 示例2：定义并实施组件生命周期终结的维护支持和淘汰计划 | 示例3：验证供应商对组织的访问权限当资源不再需要时应立即停用 | 示例4：验证包含组织数据的资产是否已及时、受控且安全地归还或妥善处置 | 示例5：制定并执行终止或过渡供应商关系的计划，同时考虑供应链安全风险和韧性 | 示例6：降低供应商带来的数据和系统风险终止 | 示例7：管理与供应商终止相关的数据泄露风险

供应链中应对网络安全风险的要求已建立、优先排序，并整合到与供应商及其他相关第三方的合同和其他类型的协议中 标准： Ex1：根据其关键性等级及若遭破坏可能产生的影响，为供应商、产品和服务建立安全要求 Ex2：在默认合同条款中包括第三方必须遵循的所有网络安全和供应链要求，以及如何验证对这些要求的遵守情况 Ex3：在协议中定义组织与其供应商及子供应商之间信息共享的规则和协议 Ex4：通过根据关键性及若遭破坏可能产生的影响在协议中纳入安全要求来管理风险 Ex5：在服务水平协议（SLA）中定义安全要求，以在整个供应商关系生命周期内监控供应商的可接受安全绩效 Ex6：在合同中要求供应商披露其产品和服务的网络安全特性、功能及漏洞，期限为产品寿命或服务期限 Ex7：在合同中要求供应商提供并维护当前的组件清单（如克关键产品的软件或硬件物料清单 | 示例8：合同要求供应商审查其员工并防范内部威胁 | 示例9：合同要求供应商通过例如自我声明、符合已知标准、认证或检查等方式提供其执行可接受安全实践的证据 | 示例10：在合同和其他协议中明确组织、其供应商及其供应链在潜在网络安全风险方面的权利和责任

供应商已知并按关键性进行优先排序 标准： 示例1：根据供应商处理或拥有的数据的敏感性、对组织系统的访问程度以及产品或服务对组织使命的重要性等，为供应商关键性制定标准 示例2：保留所有供应商的记录，并根据关键性标准对供应商进行优先排序

网络安全供应链风险管理已被整合到网络安全和企业风险管理、风险评估及改进流程中 标准： 示例1：识别与网络安全和企业风险管理的对齐与重叠领域 | 示例2：建立网络安全风险管理和网络安全供应链风险管理的综合控制集 | 示例3：整合网络安全供应链将风险管理纳入改进流程 | 示例4：将供应链中的重大网络安全风险升级至高级管理层，并在企业风险管理层面进行处理

网络安全供应链风险管理计划、战略、目标、政策和流程已由组织相关方建立并达成一致 标准：实例1：制定表达网络安全供应链风险管理计划目标的战略 | 实例2：制定网络安全供应链风险管理计划，包括计划（带里程碑）、政策和程序指导项目的实施和改进，并与组织利益相关者分享政策和程序 | 示例3：根据组织利益相关者达成并执行的战略、目标、政策和程序，开发和实施项目流程 | 示例4：建立一个跨组织机制，确保各职能之间的对齐，从而促成cy网络安全供应链风险管理，例如网络安全、信息技术、运营、法律、人力资源和工程

供应链安全实践已整合到网络安全和企业风险管理计划中，并且其绩效在技术产品和服务的整个生命周期中进行监控。 标准：示例1：政策和程序要求对所有获取的技术产品和服务保留来源记录 | 示例2：定期向领导提供风险报告，说明所获取的组件如何被证明是安全的受控且真实的 | 示例3：在网络安全风险管理人员和运营人员之间定期沟通，仅从经过认证且值得信赖的软件提供商获取软件补丁、更新和升级的必要性 | 示例4：审查政策以确保其要求由批准的供应商人员执行供应商产品的维护 | 示例5：政策和程序要求检查关键系统的升级用于未经授权更改的物理硬件

在建立正式的供应商或其他第三方关系之前，进行规划和尽职调查以降低风险 标准：例1：对潜在供应商进行彻底的尽职调查，这应与采购规划一致，并与每个供应商关系的风险、关键性和复杂性相称 | 例2：评估技术和网络安全能力的适用性潜在供应商的合规性和风险管理实践 | 示例3：根据业务和适用的网络安全要求进行供应商风险评估 | 示例4：在采购和使用前评估关键产品的真实性、完整性和安全性

相关供应商和其他第三方被纳入事件规划、响应和恢复活动 标准：例1：定义并使用报告事件响应和恢复活动及组织与供应商之间状态的规则和协议 | 例2：识别并记录组织及其供应商在事件响应中的角色和责任 | 例3：包括关键在事件响应演练和模拟中与供应商合作 | 示例4：定义并协调组织与其关键供应商之间的危机沟通方法和协议 | 示例5：与关键供应商共同进行经验教训回顾会

供应商、其产品和服务以及其他第三方所带来的风险在合作关系过程中被理解、记录、优先排序、评估、应对和监控 标准：例如1：根据第三方的声誉以及其提供的产品或服务的重要性调整评估格式和频率 | 例如2：评估第三方遵守合同的证据实际的网络安全要求，例如自我声明、保证、认证及其他材料 | 示例3：监控关键供应商，以确保他们在整个供应商关系生命周期中履行其安全义务，使用各种方法和技术，例如检查、审计、测试或其他形式的评估 | 示例4：监控关键供应商、服务和产品的对其风险状况进行变化评估，并相应地重新评估供应商的重要性和风险影响 | 例5：计划应对意外的供应商及供应链相关的中断，以确保业务连续性

供应商、客户和合作伙伴的网络安全角色和职责已被建立、传达，并在内部和外部进行协调 标准：实例1：确定一个或多个特定角色或职位，这些角色或职位将负责和承担规划、资源配置以及执行网络安全供应链风险管理活动的责任 | 实例2：记录网络安全供应链风险管理的角色和职责d 在政策中的职责 | 例3：创建责任矩阵以记录谁将负责和对网络安全供应链风险管理活动负责，以及如何对这些团队和个人进行咨询和通知 | 例4：在人员描述中包含网络安全供应链风险管理职责和绩效要求，以确保明确性并提高问责制 |示例5：记录具有网络安全风险管理特定职责的人员的绩效目标，并定期衡量这些目标以展示和改进绩效 | 示例6：为供应商、客户和业务合作伙伴制定角色和职责，以应对适用网络安全风险的共同责任，并将其整合到组织政策和适用的第三方协议中ents | 示例7：在内部传达第三方网络安全供应链风险管理的角色和职责 | 示例8：建立组织与其供应商之间信息共享和报告流程的规则和协议