Cybersecurity Framework
識別(Identify)
1
資產管理(ID. AM)識別和管理使組織能夠實現業務目標的資料,人員,設備,系統和設施,以及它們對組織目標和組織風險戰略的相對重要性。
1.1
ID.AM-1:清點組織內的實體設備和系統
1.2
ID.AM-2:清點組織內的軟體平台和應用系統
1.3
ID.AM-3:組織通信和資料流
1.4
ID.AM-4:外部信息系統分類
1.5
ID.AM-5:資源(例如,硬件,設備,數據,時間,人員和軟件)根據其分類,重要性和業務價值確定優先級
1.6
ID.AM-6:確定了整個員工隊伍和第三方利益相關者(例如供應商,客戶,合作夥伴)的網絡安全角色和職責
2
商業環境(ID.BE):了解組織的使命,目標,利益相關者和活動並確定其優先級;此信息用於通知網絡安全角色,職責和風險管理決策。
2.1
ID.BE-1:確定並傳達組織在供應鏈中的角色
2.2
ID.BE-2:確定並傳達組織在關鍵基礎架構及其行業中的地位
2.3
ID.BE-3:確定並傳達了組織任務,目標和活動的優先級
2.4
ID.BE-4:建立了提供關鍵服務的依賴關係和關鍵功能
2.5
ID.BE-5:針對所有操作狀態(例如在脅迫/攻擊,恢復期間,正常操作中)建立了支持關鍵服務交付的恢復能力要求
3
治理(ID.GV):了解用於管理和監視組織的法規,法律,風險,環境和運營要求的政策,程序和流程,並為網絡安全風險管理提供信息。
3.1
ID.GV-1:建立並傳達組織的網絡安全政策
3.2
ID.GV-2:網絡安全角色和職責與內部角色和外部合作夥伴進行協調並保持一致
3.3
ID.GV-3:了解並管理有關網絡安全的法律和法規要求,包括隱私和公民自由義務
3.4
ID.GV-4:治理和風險管理流程可解決網絡安全風險
4
風險評估(ID.RA):組織應了解組織運營(包括任務,職能,形像或聲譽),組織資產和個人面臨的網絡安全風險。
4.1
ID.RA-1:識別並記錄資產弱點
4.2
ID.RA-2:網絡威脅情報是從信息共享論壇和來源獲得的
4.3
ID.RA-3:識別並記錄內部和外部威脅
4.4
ID.RA-4:確定潛在的業務影響和可能性
4.5
ID.RA-5:威脅,漏洞,可能性和影響用於確定風險
4.6
ID.RA-6:確定風險回應並確定優先級
5
風險管理策略(ID.RM):確定了組織的優先級,約束,風險容忍度和假設,並用於支持運營風險決策。
5.1
ID.RM-1:風險管理流程被建立與管理,並由組織利害相關者同意之。
5.2
ID.RM-2:明確定義組織的風險承受能力
5.3
ID.RM-3:組織在關鍵基礎架構和特定行業的風險分析中的作用決定了風險承受能力的確定
6
供應鏈風險管理(ID.SC):建立組織的優先級,約束,風險容忍度和假設,並用於支持與管理供應鏈風險相關的風險決策。該組織已經建立並實施了識別,評估和管理供應鏈風險的流程。
6.1
ID.SC-1:網路供應鏈風險管理流程被定義、建立、評估與管理,同時由組織利害關係者同意之。(需求->評估->自行開發or委外開發or採購->系統分析->開發->設計-測試->上線->維護(變更管理、弱點管理)
6.2
ID.SC-2:供應商與第三方合作夥伴涉及的資訊系統、資訊元件與資訊服務應被識別與評估,並用於網路供應鏈風險評估流程中。(風險評估應包含委外服務所涉及的項目)
6.3
ID.SC-3:與供應商和第三方合作夥伴的合約用於實施適當的措施,以實現組織的網絡安全計劃和網絡供應鏈風險管理計劃的目標。(合約應有安全要求)
6.4
ID.SC-4:使用審核,測試結果或其他形式的評估對供應商和第三方合作夥伴進行例行評估,以確認他們是否履行合同義務。(委外稽核、技術檢測)
6.5
ID.SC-5:與供應商和第三方供應商一起進行回應和恢復計劃和測試。(還原演練)
防護(Protect)
7
身份管理,身份驗證和存取控制(PR.AC):對實體和邏輯資產及相關設施的存取僅限於授權用戶,流程和設備,並根據評估的未授權存取授權活動和交易的風險進行管理。
7.1
PR.AC-1:為授權的設備,用戶和過程發布,管理,驗證,註銷和審核身份和憑據
7.2
PR.AC-2:管理和保護對資產的實體存取
7.3
PR.AC-3:管理遠程存取。(內部員工、外部人員)
7.4
PR.AC-4:管理存取權限和授權,結合了最小特權和職責分離的原則
7.5
PR.AC-5:網絡完整性受到保護(例如,網絡隔離,網絡分段)
7.6
PR.AC-6:身份被證明並綁定到憑據,並在交互中聲明
7.7
PR.AC-7:對用戶,設備和其他資產進行身份驗證(例如,單因素,多因素),使其與交易風險(例如,個人的安全和隱私風險以及其他組織風險)相對應
8
意識和培訓(PR.AT):向組織的人員和合作夥伴提供網絡安全意識教育,並受過培訓,以按照相關政策,程序和協議履行與網絡安全有關的職責。
8.1
PR.AT-1:所有用戶都已了解並接受了培訓
8.2
PR.AT-2:特權用戶了解他們的角色和職責
8.3
PR.AT-3:第三方利益相關者(例如供應商,客戶,合作夥伴)了解他們的角色和職責
8.4
PR.AT-4:高級管理人員了解他們的角色和職責
8.5
PR.AT-5:實體和網絡安全人員了解其角色和職責
9
數據安全性(PR.DS):根據組織的風險策略對信息和記錄(數據)進行管理,以保護信息的機密性,完整性和可用性。
9.1
PR.DS-1:靜態數據受保護。(資料在rest狀態)
9.2
PR.DS-2:傳輸中的數據受到保護
9.3
PR.DS-3:在清除,傳輸和處理期間對資產進行管理
9.4
PR.DS-4:有足夠的容量來確保可用性
9.5
PR.DS-5:實施了防止數據洩漏的保護措施
9.6
PR.DS-6:完整性檢查機制用於驗證軟件,固件和信息的完整性
9.7
PR.DS-7:開發和測試環境與生產環境是分開的
9.8
PR.DS-8:完整性檢查機制用於驗證硬件完整性
10
信息保護流程和程序(PR.IP):維護安全策略(用於解決目的,範圍,角色,職責,管理承諾以及組織實體之間的協調),流程和過程,並用於管理信息系統和資產的保護。
10.1
PR.IP-1:結合安全原則(例如最低功能性概念)創建和維護信息技術/工業控制系統的基準配置
10.2
PR.IP-2:實現了用於管理系統的系統開發生命週期
10.3
PR.IP-3:組態變更控制過程設置
10.4
PR.IP-4:進行,維護和測試信息的備份
10.5
PR.IP-5:滿足有關組織資產的實際運營環境的政策和法規
10.6
PR.IP-6:數據已根據政策銷毀
10.7
PR.IP-7:保護過程得到改善
10.8
PR.IP-8:共享保護技術的有效性
10.9
PR.IP-9:已經制定並管理了回應計劃(事件回應和業務連續性)和恢復計劃(事件恢復和災難恢復)
10.10 PR.IP-10:測試了回應和恢復計劃
10.11 PR.IP-11:網絡安全已包含在人力資源實踐中(例如,取消配置,人員篩選)
10.12 PR.IP-12:制定並實施了漏洞管理計劃
11
維護(PR.MA):按照政策和程序進行工業控制和信息系統組件的維護和修理。
11.1
PR.MA-1:使用批准和控制的工具執行和記錄組織資產的維護和修理
11.2
PR.MA-2:組織資產的遠程維護以防止未授權存取的方式被批准,記錄和執行
12
保護技術(PR.PT):對技術安全解決方案進行管理,以確保系統和資產的安全性和彈性,並與相關的政策,程序和協議保持一致。
12.1
PR.PT-1:根據政策確定,記錄,實施和審查審核/日誌記錄
12.2
PR.PT-2:可移動媒體受到保護,並且根據政策限制其使用
12.3
PR.PT-3:最低功能性原則是通過配置系統以僅提供基本功能而納入的
12.4
PR.PT-4:網絡通信和控制措施受到保護
12.5
PR.PT-5:實施了機制(例如,失效保護,負載平衡,熱插拔)以在正常和不利情況下達到彈性要求
偵測(Detect)
13
異常和事件(DE.AE):檢測到異常活動並了解事件的潛在影響。
13.1
DE.AE-1:建立和管理用戶和系統的網絡操作和預期數據流的基準。(正常值與異常值)
13.2
DE.AE-2:分析檢測到的事件以了解攻擊目標和方法。(Log分析)
13.3
DE.AE-3:從多個來源和傳感器收集並關聯事件數據。(SOC,SIEM,Virus Center,Firewall,IDS,AP System Log,Network log..)
13.4
DE.AE-4:確定事件的影響層級
13.5
DE.AE-5:確定了事件警報閾值。(資訊資產,資訊服務..)
14
安全連續監視(DE.CM):對信息系統和資產進行監視,以識別網絡安全事件並驗證保護措施的有效性。
14.1
DE.CM-1:監視網絡以檢測潛在的網絡安全事件
14.2
DE.CM-2:監視實體環境以檢測潛在的網絡安全事件
14.3
DE.CM-3:監視人員活動以檢測潛在的網絡安全事件
14.4
DE.CM-4:檢測到惡意代碼
14.5
DE.CM-5:檢測到未經授權存取的移動代碼(Mobile code:technologies include, for example, Java,
JavaScript, ActiveX, Postscript,PDF, Shockwave movies, Flash animations, and
VBScript.)
14.6
DE.CM-6:監視外部服務提供商的活動以檢測潛在的網絡安全事件
14.7
DE.CM-7:監視未授權人員,連接,設備和軟件
14.8
DE.CM-8:執行弱點掃描
15
檢測過程(DE.DP):維護和測試檢測過程和程序,以確保對異常事件的意識。
15.1
DE.DP-1:明確規定了偵查的角色和職責以確保責任制
15.2
DE.DP-2:檢測活動符合所有適用要求
15.3
DE.DP-3:檢測過程經過測試
15.4
DE.DP-4:通信事件檢測信息
15.5
DE.DP-5:檢測過程不斷改進
回應(Respond)
16
回應計劃(RS.RP):執行並維護回應流程和過程,以確保對檢測到的網絡安全事件做出回應。
16.1
RS.RP-1:在事件發生期間或之後執行回應計劃
17
溝通(RS.CO):回應活動與內部和外部利益相關者進行協調(例如,執法機構的外部支持)。
17.1
RS.CO-1:需要回應時,人員知道他們的角色和操作順序
17.2
RS.CO-2:報告的事件符合既定標準
17.3
RS.CO-3:信息共享與回應計劃一致
17.4
RS.CO-4:與利益相關者的協調與回應計劃一致
17.5
RS.CO-5:與外部利益相關者進行自願信息共享,以實現更廣泛的網絡安全態勢感知
18
分析(RS.AN):進行分析以確保有效回應並支持恢復活動。
18.1
RS.AN-1:研究調查來自偵測系統的通知
18.2
RS.AN-2:了解事件的影響
18.3
RS.AN-3:進行鑑識取證
18.4
RS.AN-4:事件分類與回應計劃一致
18.5
RS.AN-5:建立了流程以接收,分析和回應從內部和外部來源(例如內部測試,安全公告或安全研究人員)披露給組織的漏洞
19
減緩(RS.MI):執行活動是為了防止事件擴展,減輕其影響並解決事件。
19.1
RS.MI-1:包含事件
19.2
RS.MI-2:事故得到緩解
19.3
RS.MI-3:新發現的漏洞已得到緩解或記錄為可接受的風險
20
改進(RS.IM):通過吸收從當前和以前的檢測/回應活動中學到的經驗教訓,改進組織的回應活動。
20.1
RS.IM-1:應對計劃應吸取教訓
20.2
RS.IM-2:更新了回應策略
回復(Recover)
21
恢復計劃(RC.RP):執行並維護恢復過程和程序,以確保恢復受網絡安全事件影響的系統或資產。
21.1
RC.RP-1:在網絡安全事件期間或之後執行恢復計劃
22
改進(RC.IM):通過將汲取的教訓納入未來的活動中來改進恢復計劃和流程。
22.1
RC.IM-1:恢復計劃結合了經驗教訓
22.2
RC.IM-2:更新了恢復策略
23
通信(RC.CO):恢復活動與內部和外部各方(例如,協調中心,Internet服務提供商,攻擊系統的所有者,受害者,其他CSIRT和供應商)進行協調。
23.1
RC.CO-1:管理公共關係
23.2
RC.CO-2:事故後聲譽得以修復
23.3
RC.CO-3:將恢復活動傳達給內部和外部利益相關者以及執行和管理團隊
沒有留言:
張貼留言