NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
系统、硬件、软件、服务和数据在其整个生命周期中进行管理 标准:例1:在系统、硬件、软件和服务的整个生命周期中整合网络安全考虑因素 | 例2:将网络安全考虑因素整合到产品生命周期中 | 例3:识别为实现任务目标而进行的非正式技术使用(即,“影子 IT”) | 例4:定期识别不必要地增加组织攻击面的冗余系统、硬件、软件和服务 | 例5:在投入生产前正确配置和保护系统、硬件、软件和服务 | 例6:当系统、硬件、软件和服务在组织内部移动或转移时,更新清单 | 例7:根据组织的数据保留政策,使用规定的销毁方法安全销毁存储的数据,并保存和管理销毁记录 | 例8:在硬件报废、退役、重新分配或送修/更换时安全清理数据存储 | 例9:提供销毁纸张、存储介质和其他物理数据存储形式的方法
资产的优先级根据分类、重要性、资源和对任务的影响来确定 标准:例如1:定义每类资产的优先级标准 | 例如2:将优先级标准应用于资产 | 例如3:跟踪资产优先级,并在组织发生重大变化时定期更新
为指定数据类型维护数据及相应元数据的清单 标准:例如 1:维护感兴趣的指定数据类型的列表(例如个人身份信息、受保护的健康信息、财务账户号码、组织知识产权、运营技术数据)| 示例2:持续发现和分析临时数据,以识别指定数据类型的新实例 | 示例3:通过标签或标记为指定数据类型分配数据分类 | 示例4:跟踪每个指定数据类型实例的来源、数据所有者和地理位置
组织管理的硬件库存得到维护 标准:示例1:维护所有类型硬件的库存,包括IT、物联网(IoT)、操作技术(OT)和移动设备 | 示例2:不断监控网络以检测新硬件并自动更新库存
维护组织授权的网络通信以及内部和外部网络数据流的表示 标准: 例1:维护组织有线和无线网络内通信和数据流的基线 例2:维护组织与第三方之间通信和数据流的基线 例3:维护组织的通信和数据流基线组织的基础设施即服务 (IaaS) 使用 | 示例4:维护文档,记录授权系统之间通常使用的网络端口、协议和服务
组织管理的软件、服务和系统的清单得到维护 标准:例如1:维护所有类型的软件和服务清单,包括商业现成软件、开源软件、自定义应用、API服务以及基于云的应用和服务 | 例如2:持续监控所有平台,包括容器和虚拟机的软件和服务清单变化| 示例3:维护组织系统的清单
供应商提供的服务库存得到维护 标准:示例1:列出组织使用的所有外部服务,包括第三方基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)产品;API;以及其他外部托管的应用服务 | 示例2:在将要使用新的外部服务时更新库存,以确保对组织使用该服务的网络安全风险管理监控充分