NIST 网络安全框架 2.0 2.0

系统、硬件、软件、服务和数据在其整个生命周期中进行管理 标准：例1：在系统、硬件、软件和服务的整个生命周期中整合网络安全考虑因素 | 例2：将网络安全考虑因素整合到产品生命周期中 | 例3：识别为实现任务目标而进行的非正式技术使用（即，“影子 IT”) | 例4：定期识别不必要地增加组织攻击面的冗余系统、硬件、软件和服务 | 例5：在投入生产前正确配置和保护系统、硬件、软件和服务 | 例6：当系统、硬件、软件和服务在组织内部移动或转移时，更新清单 | 例7：根据组织的数据保留政策，使用规定的销毁方法安全销毁存储的数据，并保存和管理销毁记录 | 例8：在硬件报废、退役、重新分配或送修/更换时安全清理数据存储 | 例9：提供销毁纸张、存储介质和其他物理数据存储形式的方法

资产的优先级根据分类、重要性、资源和对任务的影响来确定 标准：例如1：定义每类资产的优先级标准 | 例如2：将优先级标准应用于资产 | 例如3：跟踪资产优先级，并在组织发生重大变化时定期更新

为指定数据类型维护数据及相应元数据的清单 标准：例如 1：维护感兴趣的指定数据类型的列表（例如个人身份信息、受保护的健康信息、财务账户号码、组织知识产权、运营技术数据）| 示例2：持续发现和分析临时数据，以识别指定数据类型的新实例 | 示例3：通过标签或标记为指定数据类型分配数据分类 | 示例4：跟踪每个指定数据类型实例的来源、数据所有者和地理位置

组织管理的硬件库存得到维护 标准：示例1：维护所有类型硬件的库存，包括IT、物联网（IoT）、操作技术（OT）和移动设备 | 示例2：不断监控网络以检测新硬件并自动更新库存

维护组织授权的网络通信以及内部和外部网络数据流的表示 标准： 例1：维护组织有线和无线网络内通信和数据流的基线 例2：维护组织与第三方之间通信和数据流的基线 例3：维护组织的通信和数据流基线组织的基础设施即服务 (IaaS) 使用 | 示例4：维护文档，记录授权系统之间通常使用的网络端口、协议和服务

组织管理的软件、服务和系统的清单得到维护 标准：例如1：维护所有类型的软件和服务清单，包括商业现成软件、开源软件、自定义应用、API服务以及基于云的应用和服务 | 例如2：持续监控所有平台，包括容器和虚拟机的软件和服务清单变化| 示例3：维护组织系统的清单

供应商提供的服务库存得到维护 标准：示例1：列出组织使用的所有外部服务，包括第三方基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）产品；API；以及其他外部托管的应用服务 | 示例2：在将要使用新的外部服务时更新库存，以确保对组织使用该服务的网络安全风险管理监控充分

通过评估识别改进点 标准： 示例1：对关键服务进行自我评估，考虑当前的威胁和战术、技术及程序（TTPs） 示例2：投资于第三方评估或独立审计，以评估组织网络安全计划的有效性，从而识别需要改进的领域 示例3：通过自动化不断评估对选定网络安全要求的合规性交配的意思

改进是通过执行运营流程、程序和活动识别的 标准：示例1：与供应商开展协作的经验教训总结会议 | 示例2：每年审核网络安全政策、流程和程序，以吸取经验教训 | 示例3：使用指标评估运营网络安全绩效随时间的变化

针对事件响应的计划和其他影响运营的网络安全计划已被制定、传达、维护并改进 标准：示例1：制定应急计划（例如, 事件响应、业务连续性、灾难恢复) 用于应对和恢复可能干扰运营、暴露机密信息或以其他方式危及组织使命和生存能力的不利事件 | 示例2：在所有应急计划中包含联系和沟通信息、处理常见情况的流程，以及优先级、升级和提升的标准 | 示例3：制定漏洞管理计划，以识别和评估所有类型的漏洞，并对风险应对进行优先排序、测试和实施 | 示例4：向负责执行的人员和受影响的各方传达网络安全计划（包括更新） | 示例5：每年审查和更新所有网络安全计划，或在发现需要重大改进时进行更新

从安全测试和演练中（包括与供应商及相关第三方协调进行的测试和演练）识别改进措施 标准：例如：根据事件响应评估的结果识别未来事件响应活动的改进措施（例如、桌面演练和模拟、测试、内部审查、独立审计）| 示例2：根据与关键服务提供商和产品供应商协调进行的演练，识别未来业务连续性、灾难恢复和事件响应活动的改进措施 | 示例3：涉及内部利益相关者（例如高级管理人员、法务部门、人力资源部门) 在安全测试和演练中适当参与 | 示例4：执行渗透测试，以识别机会，改善经领导批准的高风险系统的安全状态 | 示例5：演练应急计划，以应对和恢复发现产品或服务不是由签约供应商或合作伙伴提供，或在收到前已被更改的情况 | 示例6：使用安全工具和服务收集和分析性能指标，以为网络安全计划的改进提供依据

资产中的漏洞被识别、验证并记录 标准：示例1：使用漏洞管理技术识别未打补丁和配置错误的软件 | 示例2：评估网络和系统架构在设计和实施中影响网络安全的弱点 | 示例3：审查、分析或测试组织开发的软件以识别设计、编码和默认配置的漏洞| Ex4：评估存放关键计算资产的设施的物理漏洞和韧性问题 | Ex5：监控网络威胁情报来源，以获取有关产品和服务中新漏洞的信息 | Ex6：审查流程和程序中可能被利用以影响网络安全的弱点

变更和例外情况得到管理、风险影响评估、记录和跟踪 标准： 示例1：实施并遵循正式文档化、审查、测试和批准提出的变更和请求的例外情况的程序 示例2：记录每项拟议变更的可能风险或不进行变更的风险，并提供变更回滚的指导 示例3：记录与每个请求的例外相关的风险tion以及应对这些风险的计划 | 示例4：定期审查基于计划的未来行动或里程碑而被接受的风险

在收购前对关键供应商进行评估 标准：例如1：根据业务和适用的网络安全要求，包括供应链，进行供应商风险评估

确定并记录潜在的威胁利用漏洞的影响和可能性 标准：例1：业务领导者和网络安全风险管理从业人员共同评估风险情景的可能性和影响，并将其记录在风险登记册中 | 例2：列出未经授权访问组织的通信、系统和数据处理可能带来的潜在业务影响在这些系统中或由这些系统产生 | 示例3：说明系统群级联故障的潜在影响

网络威胁情报来自信息共享论坛和来源 标准：例如1：配置具有检测或响应能力的网络安全工具和技术，以安全地获取网络威胁情报信息流 | 例如2：接收并审查来自知名第三方的关于当前威胁行为者及其策略、技术和程序（TTPs）的公告 | 例如3：监控网络威胁来源获取有关新兴技术可能存在的漏洞类型的信息的情报

在获取和使用之前评估硬件和软件的真实性和完整性 标准：例如1：在获取和使用之前评估关键技术产品和服务的真实性和网络安全性

威胁、漏洞、可能性和影响用于理解固有风险并为风险应对优先级提供信息 标准：例如1：开发威胁模型以更好地理解对数据的风险并确定适当的风险应对措施 | 例如2：根据估计的可能性和影响对网络安全资源分配和投资进行优先排序

风险应对措施会被选择、优先排序、计划、跟踪和沟通 标准： 例1：应用漏洞管理计划的标准来决定是否接受、转移、缓解或规避风险 例2：应用漏洞管理计划的标准来选择补偿控制以缓解风险 例3：跟踪风险应对实施的进展（例如行动计划和里程碑 [POA&M]，风险登记表，风险详细报告）| 例4：使用风险评估结果来指导风险应对决策和行动 | 例5：按优先顺序将计划的风险应对措施传达给受影响的利益相关者

识别并记录对组织的内部和外部威胁 标准： Ex1：利用网络威胁情报保持对可能针对组织的威胁行为者类型及其可能使用的战术、技术和程序（TTPs）的了解 | Ex2：执行威胁狩猎以寻找环境中威胁行为者的迹象 | Ex3：实施识别内部威胁行为者的流程

已经建立接收、分析和响应漏洞披露的流程 标准：示例1：根据合同中定义的规则和协议，在组织与其供应商之间进行漏洞信息共享 | 示例2：分配责任并验证处理、分析影响及响应网络安全威胁、漏洞或事件的程序的执行情况供应商、客户、合作伙伴和政府网络安全组织的事件披露