NIST 网络安全框架 2.0 2.0

网络安全已纳入人力资源实践 标准：例如1：将网络安全风险管理考虑因素整合到人力资源流程中（例如，人员筛选、入职、变更通知、离职) | 例2：在招聘、培训和留用决定中将网络安全知识视为一个积极因素 | 例3：在关键岗位新员工入职前进行背景调查，并定期对担任此类岗位的人员重复背景调查 | 例4：定义并强制执行人员的义务，使其了解、遵守并维护与其岗位相关的安全政策

组织领导对网络安全风险负有责任和义务，并促成一种风险意识强、道德规范高、持续改进的文化。 标准：示例1：领导者（例如，董事) 就在制定、实施和评估组织的网络安全战略中的角色和职责达成一致 | 示例2：分享领导者对安全和道德文化的期望，尤其是在当前事件提供机会突出网络安全风险管理中的正面或负面案例时 | 示例3：领导者指示首席信息安全官保持全面的网络安全风险战略，并至少每年及重大事件后审查和更新 | 示例4：进行审查，以确保负责管理网络安全风险的人拥有足够的权限和协调

根据网络安全风险策略、角色、职责和政策，分配相称的充足资源 标准：示例1：定期进行管理评审，以确保被赋予网络安全风险管理职责的人拥有必要的权限 | 示例2：根据风险容忍度和应对措施确定资源分配和投资 | 示例3：提供充足和足够的人力、流程ess，以及支持网络安全战略的技术资源

与网络安全风险管理相关的角色、职责和权限已被建立、传达、理解并执行 标准：示例1：在政策中记录风险管理的角色和职责 | 示例2：记录谁负责和对网络安全风险管理活动负有责任，以及如何与这些团队和个人进行咨询和通知 | 示例3：包括网络安全责任人员描述中的职责和绩效要求 | 示例4：记录具有网络安全风险管理职责的人员的绩效目标，并定期衡量绩效以识别改进领域 | 示例5：清楚表达运营、风险职能和内部审计职能中的网络安全职责