NIST

NIST 网络安全框架 2.0 2.0

控制项模式

网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织，并新增了一个治理功能。

版本: 2.0•覆盖状态: 完整覆盖 (106/106)•控制项/量表/总计: 106/0/106•当前展示: 2 / 106•6 个分类

GV.PO-01管理网络安全风险的政策是基于组织背景、网络安全战略和优先事项制定的，并且已被传达和执行控制项

Govern / 政策、流程和程序

基于组织的背景、网络安全战略和优先事项，建立管理网络安全风险的政策，并进行传达和执行。标准：例如1：创建、传播并维护一份可理解、可使用的风险管理政策，其中包含管理意图、期望和指导声明 | 例如2：定期审查政策及其支持的流程和程序，以确保它们与风险管理策略的目标和优先事项以及网络安全政策的高层方向保持一致 | 示例3：需要高级管理层批准政策 | 示例4：在整个组织内传达网络安全风险管理政策及支持的流程和程序 | 示例5：要求人员在首次入职、每年以及政策更新时确认已收到政策

评估

评估状态:

评估备注:

GV.PO-02用于管理网络安全风险的政策会被审查、更新、传达并执行，以反映要求、威胁、技术和组织使命的变化控制项

Govern / 政策、流程和程序

管理网络安全风险的政策会根据要求、威胁、技术和组织使命的变化进行审核、更新、传达和执行。标准：示例1：根据对网络安全风险管理结果的定期审查更新政策，以确保政策及支持的流程和程序能够将风险保持在可接受的水平 | 示例2：提供审查组织风险环境变化的时间表（例如）。例如，风险变化或组织使命目标的变化)，并传达建议的政策更新 | 示例3：更新政策以反映法律和监管要求的变化 | 示例4：更新政策以反映技术变化（例如采用人工智能）和业务变化（例如收购新业务、新合同要求）

评估

评估状态: