NIST 网络安全框架 2.0 2.0

资产中的漏洞被识别、验证并记录 标准：示例1：使用漏洞管理技术识别未打补丁和配置错误的软件 | 示例2：评估网络和系统架构在设计和实施中影响网络安全的弱点 | 示例3：审查、分析或测试组织开发的软件以识别设计、编码和默认配置的漏洞| Ex4：评估存放关键计算资产的设施的物理漏洞和韧性问题 | Ex5：监控网络威胁情报来源，以获取有关产品和服务中新漏洞的信息 | Ex6：审查流程和程序中可能被利用以影响网络安全的弱点

变更和例外情况得到管理、风险影响评估、记录和跟踪 标准： 示例1：实施并遵循正式文档化、审查、测试和批准提出的变更和请求的例外情况的程序 示例2：记录每项拟议变更的可能风险或不进行变更的风险，并提供变更回滚的指导 示例3：记录与每个请求的例外相关的风险tion以及应对这些风险的计划 | 示例4：定期审查基于计划的未来行动或里程碑而被接受的风险

在收购前对关键供应商进行评估 标准：例如1：根据业务和适用的网络安全要求，包括供应链，进行供应商风险评估

确定并记录潜在的威胁利用漏洞的影响和可能性 标准：例1：业务领导者和网络安全风险管理从业人员共同评估风险情景的可能性和影响，并将其记录在风险登记册中 | 例2：列出未经授权访问组织的通信、系统和数据处理可能带来的潜在业务影响在这些系统中或由这些系统产生 | 示例3：说明系统群级联故障的潜在影响

网络威胁情报来自信息共享论坛和来源 标准：例如1：配置具有检测或响应能力的网络安全工具和技术，以安全地获取网络威胁情报信息流 | 例如2：接收并审查来自知名第三方的关于当前威胁行为者及其策略、技术和程序（TTPs）的公告 | 例如3：监控网络威胁来源获取有关新兴技术可能存在的漏洞类型的信息的情报

在获取和使用之前评估硬件和软件的真实性和完整性 标准：例如1：在获取和使用之前评估关键技术产品和服务的真实性和网络安全性

威胁、漏洞、可能性和影响用于理解固有风险并为风险应对优先级提供信息 标准：例如1：开发威胁模型以更好地理解对数据的风险并确定适当的风险应对措施 | 例如2：根据估计的可能性和影响对网络安全资源分配和投资进行优先排序

风险应对措施会被选择、优先排序、计划、跟踪和沟通 标准： 例1：应用漏洞管理计划的标准来决定是否接受、转移、缓解或规避风险 例2：应用漏洞管理计划的标准来选择补偿控制以缓解风险 例3：跟踪风险应对实施的进展（例如行动计划和里程碑 [POA&M]，风险登记表，风险详细报告）| 例4：使用风险评估结果来指导风险应对决策和行动 | 例5：按优先顺序将计划的风险应对措施传达给受影响的利益相关者

识别并记录对组织的内部和外部威胁 标准： Ex1：利用网络威胁情报保持对可能针对组织的威胁行为者类型及其可能使用的战术、技术和程序（TTPs）的了解 | Ex2：执行威胁狩猎以寻找环境中威胁行为者的迹象 | Ex3：实施识别内部威胁行为者的流程

已经建立接收、分析和响应漏洞披露的流程 标准：示例1：根据合同中定义的规则和协议，在组织与其供应商之间进行漏洞信息共享 | 示例2：分配责任并验证处理、分析影响及响应网络安全威胁、漏洞或事件的程序的执行情况供应商、客户、合作伙伴和政府网络安全组织的事件披露