NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
网络安全风险管理活动和结果包含在企业风险管理流程中 标准:例如1:将网络安全风险与其他企业风险一起汇总和管理(例如,合规、财务、运营、监管、声誉、安全)| 示例2:在企业风险管理规划中包括网络安全风险管理人员 | 示例3:在企业风险管理中建立升级网络安全风险的标准
在整个组织中建立了关于网络安全风险的沟通渠道,包括来自供应商和其他第三方的风险。 标准: 示例1:确定如何在双方约定的时间间隔内向高级管理人员、董事和管理层更新组织的网络安全状况。 示例2:识别整个组织中所有部门(如管理、运营、内部审计、法律、采购)如何沟通。采购、物理安全和人力资源——将就网络安全风险相互沟通
风险偏好和风险容忍度声明已经建立、传达并维持 标准:例1:确定并传达风险偏好声明,以表达对组织适当风险水平的期望 | 例2:将风险偏好声明转化为具体、可衡量且广泛易懂的风险容忍度声明 | 例3:完善组织目标和风险偏好 p根据已知的风险暴露和剩余风险定期进行
风险管理目标由组织利益相关者确定并达成一致 标准:例1:在年度战略规划中以及发生重大变更时,更新近期和远期的网络安全风险管理目标 | 例2:为网络安全风险管理建立可衡量的目标(例如,管理用户培训的质量,确保对工业控制系统有足够的风险防护)| 例3:高级领导者就网络安全目标达成一致,并以此来衡量和管理风险与绩效
建立并传达描述适当风险应对选项的战略方向 标准:示例1:为各种数据分类明确接受和规避网络安全风险的标准 | 示例2:确定是否购买网络安全保险 | 示例3:记录共享责任模型可接受的条件(例如),外包某些网络安全功能,由第三方代表组织执行金融交易,使用基于公共云的服务)
建立并传达计算、记录、分类和优先排序网络安全风险的标准化方法 标准:例如1:建立用于网络安全风险分析的定量方法的标准,并指定概率和暴露公式 | 例如2:创建并使用模板(例如风险登记表)记录网络安全风险信息(例如,风险描述、暴露、处理和所有权)| 示例3:在企业的适当层级建立风险优先级标准 | 示例4:使用一致的风险类别列表来支持整合、汇总和比较网络安全风险
战略机会(即积极风险)的特征已被确定,并且被纳入组织的网络安全风险讨论中 标准:示例1:定义并传达识别机会的指导和方法,并将其纳入风险讨论中(例如。优势、劣势、机会和威胁 [SWOT] 分析) | 示例2:确定拓展目标并记录 | 示例3:计算、记录并优先考虑正向风险以及负向风险