NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
网络安全供应链风险管理计划包括对合作伙伴关系或服务协议结束后发生的活动的条款 标准: 示例1:建立在正常和不利情况下终止关键关系的流程 | 示例2:定义并实施组件生命周期终结的维护支持和淘汰计划 | 示例3:验证供应商对组织的访问权限当资源不再需要时应立即停用 | 示例4:验证包含组织数据的资产是否已及时、受控且安全地归还或妥善处置 | 示例5:制定并执行终止或过渡供应商关系的计划,同时考虑供应链安全风险和韧性 | 示例6:降低供应商带来的数据和系统风险终止 | 示例7:管理与供应商终止相关的数据泄露风险
供应链中应对网络安全风险的要求已建立、优先排序,并整合到与供应商及其他相关第三方的合同和其他类型的协议中 标准: Ex1:根据其关键性等级及若遭破坏可能产生的影响,为供应商、产品和服务建立安全要求 Ex2:在默认合同条款中包括第三方必须遵循的所有网络安全和供应链要求,以及如何验证对这些要求的遵守情况 Ex3:在协议中定义组织与其供应商及子供应商之间信息共享的规则和协议 Ex4:通过根据关键性及若遭破坏可能产生的影响在协议中纳入安全要求来管理风险 Ex5:在服务水平协议(SLA)中定义安全要求,以在整个供应商关系生命周期内监控供应商的可接受安全绩效 Ex6:在合同中要求供应商披露其产品和服务的网络安全特性、功能及漏洞,期限为产品寿命或服务期限 Ex7:在合同中要求供应商提供并维护当前的组件清单(如克关键产品的软件或硬件物料清单 | 示例8:合同要求供应商审查其员工并防范内部威胁 | 示例9:合同要求供应商通过例如自我声明、符合已知标准、认证或检查等方式提供其执行可接受安全实践的证据 | 示例10:在合同和其他协议中明确组织、其供应商及其供应链在潜在网络安全风险方面的权利和责任
供应商已知并按关键性进行优先排序 标准: 示例1:根据供应商处理或拥有的数据的敏感性、对组织系统的访问程度以及产品或服务对组织使命的重要性等,为供应商关键性制定标准 示例2:保留所有供应商的记录,并根据关键性标准对供应商进行优先排序
网络安全供应链风险管理已被整合到网络安全和企业风险管理、风险评估及改进流程中 标准: 示例1:识别与网络安全和企业风险管理的对齐与重叠领域 | 示例2:建立网络安全风险管理和网络安全供应链风险管理的综合控制集 | 示例3:整合网络安全供应链将风险管理纳入改进流程 | 示例4:将供应链中的重大网络安全风险升级至高级管理层,并在企业风险管理层面进行处理
网络安全供应链风险管理计划、战略、目标、政策和流程已由组织相关方建立并达成一致 标准:实例1:制定表达网络安全供应链风险管理计划目标的战略 | 实例2:制定网络安全供应链风险管理计划,包括计划(带里程碑)、政策和程序指导项目的实施和改进,并与组织利益相关者分享政策和程序 | 示例3:根据组织利益相关者达成并执行的战略、目标、政策和程序,开发和实施项目流程 | 示例4:建立一个跨组织机制,确保各职能之间的对齐,从而促成cy网络安全供应链风险管理,例如网络安全、信息技术、运营、法律、人力资源和工程
供应链安全实践已整合到网络安全和企业风险管理计划中,并且其绩效在技术产品和服务的整个生命周期中进行监控。 标准:示例1:政策和程序要求对所有获取的技术产品和服务保留来源记录 | 示例2:定期向领导提供风险报告,说明所获取的组件如何被证明是安全的受控且真实的 | 示例3:在网络安全风险管理人员和运营人员之间定期沟通,仅从经过认证且值得信赖的软件提供商获取软件补丁、更新和升级的必要性 | 示例4:审查政策以确保其要求由批准的供应商人员执行供应商产品的维护 | 示例5:政策和程序要求检查关键系统的升级用于未经授权更改的物理硬件
在建立正式的供应商或其他第三方关系之前,进行规划和尽职调查以降低风险 标准:例1:对潜在供应商进行彻底的尽职调查,这应与采购规划一致,并与每个供应商关系的风险、关键性和复杂性相称 | 例2:评估技术和网络安全能力的适用性潜在供应商的合规性和风险管理实践 | 示例3:根据业务和适用的网络安全要求进行供应商风险评估 | 示例4:在采购和使用前评估关键产品的真实性、完整性和安全性
相关供应商和其他第三方被纳入事件规划、响应和恢复活动 标准:例1:定义并使用报告事件响应和恢复活动及组织与供应商之间状态的规则和协议 | 例2:识别并记录组织及其供应商在事件响应中的角色和责任 | 例3:包括关键在事件响应演练和模拟中与供应商合作 | 示例4:定义并协调组织与其关键供应商之间的危机沟通方法和协议 | 示例5:与关键供应商共同进行经验教训回顾会
供应商、其产品和服务以及其他第三方所带来的风险在合作关系过程中被理解、记录、优先排序、评估、应对和监控 标准:例如1:根据第三方的声誉以及其提供的产品或服务的重要性调整评估格式和频率 | 例如2:评估第三方遵守合同的证据实际的网络安全要求,例如自我声明、保证、认证及其他材料 | 示例3:监控关键供应商,以确保他们在整个供应商关系生命周期中履行其安全义务,使用各种方法和技术,例如检查、审计、测试或其他形式的评估 | 示例4:监控关键供应商、服务和产品的对其风险状况进行变化评估,并相应地重新评估供应商的重要性和风险影响 | 例5:计划应对意外的供应商及供应链相关的中断,以确保业务连续性
供应商、客户和合作伙伴的网络安全角色和职责已被建立、传达,并在内部和外部进行协调 标准:实例1:确定一个或多个特定角色或职位,这些角色或职位将负责和承担规划、资源配置以及执行网络安全供应链风险管理活动的责任 | 实例2:记录网络安全供应链风险管理的角色和职责d 在政策中的职责 | 例3:创建责任矩阵以记录谁将负责和对网络安全供应链风险管理活动负责,以及如何对这些团队和个人进行咨询和通知 | 例4:在人员描述中包含网络安全供应链风险管理职责和绩效要求,以确保明确性并提高问责制 |示例5:记录具有网络安全风险管理特定职责的人员的绩效目标,并定期衡量这些目标以展示和改进绩效 | 示例6:为供应商、客户和业务合作伙伴制定角色和职责,以应对适用网络安全风险的共同责任,并将其整合到组织政策和适用的第三方协议中ents | 示例7:在内部传达第三方网络安全供应链风险管理的角色和职责 | 示例8:建立组织与其供应商之间信息共享和报告流程的规则和协议