NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
有关网络安全的法律、监管和合同要求——包括隐私和公民自由义务——已被理解并得到管理 标准: 示例1: 确定一个流程来跟踪和管理关于保护个人信息的法律和监管要求(例如, 健康保险可携性与责任法案,加利福尼亚消费者隐私法案,通用数据保护条例) | 示例2:确定一个流程来跟踪和管理供应商、客户和合作伙伴信息的网络安全管理合同要求 | 示例3:将组织的网络安全策略与法律、法规和合同要求保持一致
组织使命得到理解,并用于指导网络安全风险管理 标准:例1:共享组织的使命(例如,通过愿景和使命声明、营销以及服务策略),为识别可能阻碍该使命的风险提供基础
组织所依赖的成果、能力和服务已被理解并传达 标准:例1:创建组织对外部资源依赖的清单(例如),设施、基于云的托管提供商)及其与组织资产和业务功能的关系 | 示例2:识别并记录对组织关键能力和服务可能构成故障的外部依赖关系,并将该信息与相关人员共享
已了解内部和外部利益相关者,并已了解和考虑他们在网络安全风险管理方面的需求和期望 标准:例如1:识别相关的内部利益相关者及其与网络安全相关的期望(例如,高管、董事和顾问的绩效和风险期望;员工的文化期望)| 示例2:识别相关的外部利益相关者及其与网络安全相关的期望(例如,客户的隐私期望、合作伙伴的商业期望、监管机构的合规期望、社会的道德期望)
利益相关者依赖或期望组织提供的关键目标、能力和服务得到理解并被传达 标准:示例1:建立评估内部和外部利益相关者所看重的能力和服务关键性的标准 | 示例2:确定(例如从业务影响分析中) 对实现任务目标至关重要的资产和业务操作,以及这些操作丧失(或部分丧失)的潜在影响 | 示例3:为在各种运行状态下(例如,在攻击期间、恢复期间、正常操作)提供关键能力和服务建立并传达韧性目标(例如,恢复时间目标)