| | | |
Govern(GV):已建立、沟通和监控组织的网络安全风险管理战略、期望和方针 | (Organizational Context):环境—任务、利益相关者期望、依赖,以及法律、法规和合同要求,理解围绕组织的网络安全风险管理决策
| | GV.OC-01: 了解组织任务并告知网络安全风险管理 |
GV.OC-02: 了解内部和外部利益相关者,了解并考虑网络安全风险管理方面的需求和期望 |
GV.OC-03: 了解和考虑关于网络安全的法律、法规和合同要求,包括隐私和公民自由义务 |
GV.OC-04: 了解和沟通外部利益相关者依赖或期望从组织得到的关键目标、能力和服务 |
GV.OC-05: 了解和沟通组织所依赖的成果、能力和服务 |
(Risk Management Strategy): | | GV.RM-01: 建立风险管理目标,并得到利益相关者同意 |
GV.RM-02: 建立、沟通和维护风险偏好和风险容忍度声明 |
GV.RM-03: 网络安全风险管理活动和成果包括在企业风险管理过程中 |
GV.RM-04: 建立并沟通描述适当风险响应选项的战略方向 |
GV.RM-05: 针对网络安全风险,包括来自供应商和其他第三方的风险,在整个组织内建立沟通渠道 |
GV.RM-06: 建立和沟通用于计算、记录、分类和排序网络安全风险的标准化方法 |
GV.RM-07: 描述战略机会(即积极风险)并包括在组织网络安全风险讨论中 |
(Roles, Responsibilities, and Authorities):建立和沟通网络安全角色、职责和权限,以促进问责制、绩效评估和持续改进 | | GV.RR-01: 组织领导对网络安全负责,推进具有风险意识、道德和持续改进的企业文化 |
GV.RR-02: 建立、沟通、了解和执行与网络安全风险管理相关的角色、职责和权限 |
GV.RR-03: 分配与网络安全风险战略、角色、职责和政策相称的充足资源 |
|
| | GV.PO-01:基于组织背景、网络安全战略和优先级建立网络安全风险管理政策,并进行沟通和执行 |
GV.PO-02: 审查、更新、沟通和执行管理网络安全风险的政策,以反映需求、威胁、技术和组织任务的变化 |
组织范围内的网络安全风险管理活动和绩效的结果用于通知、改进和调整风险管理策略 | | GV.OV-01: 审查网络安全风险管理战略成果,以通知和调整战略和方向 |
GV.OV-02: 审查并调整网络安全风险管理策略 |
GV.OV-03: 评估和审查组织网络安全风险管理绩效,以进行必要的调整 |
(Cybersecurity Supply Chain Risk Management):由组织利益相关者识别、建立、管理、监控和改进网络供应链风险管理流程 | | GV.SC-01: 组织利益相关者建立并同意网络安全供应链风险管理计划、战略、目标、策略和流程 |
GV.SC-02: 在内部和外部建立、沟通和协调供应商、客户和合作伙伴的网络安全角色和责任 |
GV.SC-03: 网络安全供应链风险管理集成到网络安全和企业风险管理、风险评估和改进过程中 |
GV.SC-04: 供应商是已知的,并根据重要性排序 |
GV.SC-05: 建立解决供应链网络安全风险的要求,对其进行优先排序,并将其整合到与供应商和其他相关第三方的合同和其他类型的协议中 |
GV.SC-06: 在与供应商或其他第三方建立正式关系之前进行计划和尽职调查以降低风险 |
GV.SC-07: 在整个关系过程中,了解、记录、优先排序、评估、响应和监控供应商、其产品和服务以及其他第三方构成的风险 |
GV.SC-08: 在事件计划、响应和恢复活动中包括相关供应商和其他第三方 |
GV.SC-09: 供应链安全实践集成到网络安全和企业风险管理计划中,在技术产品和服务的生命周期中监控其绩效 |
GV.SC-10: 网络安全供应链风险管理计划包括伙伴关系或服务协议签订后发生活动的规定 |
IDENTIFY (ID):了解组织当前的网络安全风险
| 能够使组织实现业务目标的资产(如数据、硬件、软件、系统、设施、服务、人员),应按照其对组织目标和组织风险策略的相对重要性进行识别和管理 | | |
ID.AM-02: 维护由组织管理的软件、服务和系统清单 |
ID.AM-03: 展示组织授权的网络通信,并维护内部和外部网络数据流 |
|
ID.AM-05:基于分类、重要性、资源和对任务的影响对资产优先级排序 |
ID.AM-07: 维护指定数据类型的数据清单和相应元数据 |
ID.AM-08:在整个生命周期中管理系统、硬件、软件、服务和数据 |
| | |
ID.RA-02: 从信息共享论坛和来源接收网络威胁情报 |
ID.RA-03: 识别和记录组织的内部和外部威胁 |
ID.RA-04: 识别和记录威胁利用漏洞的潜在影响和可能性 |
ID.RA-05: 威胁、漏洞、可能性和影响被用来理解固有风险和告知风险响应优先级 |
ID.RA-06:选择、排序、计划、跟踪和沟通风险响应 |
ID.RA-07: 管理变更和异常,评估、记录和跟踪风险影响 |
ID.RA-08: 建立接收、分析和响应漏洞披露的流程 |
ID.RA-09: 在收购和使用之前,评估硬件和软件的真实性和完整性 |
|
改进组织网络安全风险管理流程,所有CSF功能中识别步骤和活动 | | |
ID.IM-02: 从安全测试和练习中识别改进,包括与供应商和相关第三方进行协调 |
ID.IM-03: 从操作过程、步骤和活动的执行中识别改进 |
ID.IM-04: 建立、沟通、维护和改进影响运营的事件响应计划和其他网络安全计划 |
PROTECT(PR):使用安全措施管理组织的网络安全风险
| 身份管理、认证和访问控制(Identity Management, Authentication, and Access Control):访问物理和逻辑资产仅限于已授权的用户、服务和硬件,与未授权访问的评估风险相称 | | PR.AA-01: 组织管理授权用户、服务和硬件的身份及凭证 |
PR.AA-02: 基于交互的上下文对身份进行验证并绑定到凭证 |
|
PR.AA-04:保护、传递和验证身份断言(Identity assertions) |
PR.AA-05: 在策略中定义访问许可、权利和授权;管理、强制和审查、结合最小特权原则和职责分离 |
PR.AA-06: 对资产的物理访问进行与风险相称的管理、监控和强制执行 |
(Awareness and Training):为组织人员提供网络安全意识和培训,以便他们能够执行与网络安全相关的任务 | | PR.AT-01: 向员工提供意识和培训,以使他们具备执行一般任务的知识和技能,并有网络安全风险的意识 |
PR.AT-02: 为从事特定角色的个人提供意识和培训,他们拥有执行相关任务的知识和技能,并有网络安全风险的意识 |
数据的管理与组织的风险策略一致,以保护信息的机密性、完整性和可用性 | | PR.DS-01: 静态数据的机密性、完整性和可用性受到保护 |
PR.DS-02: 传输数据的机密性、完整性和可用性受到保护 |
PR.DS-10: 使用中的数据的机密性、完整性和可用性受到保护 |
PR.DS-11: 创建、保护、维护和测试数据备份 |
物理和虚拟平台的硬件、软件(例如,固件、操作系统、应用程序)和服务均符合组织的风险战略,保护其机密性、完整性和可用性 | | |
PR.PS-02: 软件的维护、替换和删除与风险相称 |
PR.PS-03: 硬件的维护、更换和移除与风险相称 |
PR.PS-04: 生成日志记录并使其可用于持续监控 |
|
PR.PS-06: 集成安全软件开发实践,在整个软件开发生命周期监控性能 |
(Technology Infrastructure Resilience):安全体系结构与组织的风险战略一起管理,以保护资产机密性、完整性和可用性,以及组织的韧性 | | PR.IR-01: 保护网络和环境免受未经授权的逻辑访问和使用 |
PR.IR-02: 组织的技术资产受到保护,免受环境威胁 |
PR.IR-03: 正常情况和不利的情况下,实施机制以达到韧性要求 |
|
DETECT(DE):发现并分析可能的网络安全攻击和入侵 | 对资产进行监控,以发现异常情况、入侵指标和其他潜在的不良事件
| | DE.CM-01: 监控网络和网络服务以发现潜在的不良事件 |
DE.CM-02: 监测物理环境以发现潜在的不良事件 |
DE.CM-03: 监控人员活动和技术使用,以发现潜在的不良事件 |
DE.CM-06: 监控外部服务提供者的活动和服务,以发现潜在的不良事件 |
DE.CM-09: 监控计算硬件和软件、运行环境及其数据发现潜在的不良事件 |
(Adverse Event Analysis):分析异常,入侵指标协和其他潜在的不良事件,以描述事件并检测网络安全事件
| | DE.AE-02: 分析潜在的不良事件,以更好地了解相关的活动 |
|
|
DE.AE-06: 向授权的工作人员和工具提供有关不良事件的信息 |
DE.AE-07: 网络威胁情报和其他上下文信息集成到事件分析中 |
DE.AE-08: 当不良事件符合定义的事件标准时,宣布事件 |
RESPOND (RS):针对检测到的网络安全事件采取行动
| | | RS.MA-01: 一旦事件被宣布,执行与第三方相关事件响应计划 |
|
|
|
|
| | RS.AN-03: 执行分析以确定事件期间发生了什么以及事件的根本原因 |
RS.AN-06: 记录调查过程中所采取的行动,保存并调查记录完整性和来源 |
RS.AN-07: 收集事件数据和元数据,并保存其完整性和来源 |
|
(Incident Response Reporting and Communication):根据法律、法规或政策的要求,与内部和外部利益相关者协调响应活动 | | RS.CO-02:将事件通知内部和外部的利益相关者 |
RS.CO-03:信息共享给指定的内部和外部利益相关者 |
| | |
|
RECOVER(RC):恢复网络安全事件中受影响的资产和运维 | (Incident Recovery Plan Execution):执行恢复活动,保证网络安全事件受影响的系统和服务可用 | | RC.RP-01: 一旦事件响应流程启动,执行事件响应计划的恢复部分 |
RC.RP-02: 选择、界定范围、制定优先级、执行恢复行动 |
RC.RP-03:验证备份和其他恢复资产的完整性,再开始恢复 |
RC.RP-04: 考虑关键任务职能和网络安全风险管理,以建立事件后操作规范 |
RC.RP-05: 验证恢复资产的完整性,恢复系统和业务,确认正常运行状态 |
RC.RP-06: 根据标准,宣布事件恢复结束,并完成与事件相关的文档 |
(Incident Recovery Communication): | | RC.CO-03: 指定的内部和外部利益相关者之间,沟通恢复活动及恢复运营能力的进展 |
RC.CO-04: 使用批准的方法和发布方式,公开事件恢复的进展 |