- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
提升关键基础设施网络安全框架(美国)
V1.1
2018 年 4 月 16 日
核心内容:包括 5 大功能模块、22 类、108 子类
功能缩写
功能
类别缩写
类别
ID
标识
ID.AM
资产管理
ID.BE
业务环境
ID.GV
治理
ID.RA
风险评估
ID.RM
风险管理战略
ID.SC
供应链风险管理
PR
防护
PR.AC
身份管理和接入控制
PR.AT
意识和培训
PR.DS
数据安全
PR.IP
信息保护
PR.MA
维护
PR.PT
防护技术
DE
监测
DE.AE
异常和事件
DE.CM
持续安全监控
DE.DP
检测流程
RS
响应
RS.RP
响应计划
RS.CO
沟通
RS.MI
缓解
RS.IM
提升
RC
恢复
RC.RP
恢复计划
RC.IM
提升
RC.CO
沟通
功能
类别
子类别
ID
ID.AM
1)该组织内的设备和系统都有清单
标识
资产管理
2)该组织内的软件平台和应用都有清单
3)制作该组织内的通信和数据流图
4)编制外部信息系统目录
5)基于资源所处层级、重要性和商业价值将各类资源
(包括:硬件、设备、数据、时间、员工、软件等)按
优先级列表
6)建立责任体系,包括全体员工队伍和第三方利益相关方(如:供应商、客户、合作伙伴等)
ID.BE
定义和描述该组织在供应链中的任务
定义和描述该组织在关键基础设施及其行业中的地位
业务环境 3)建立和描述该组织使命、目标和活动的优先事项
建立关键服务交付的依赖性和关键功能
建立所有操作状态(比如:胁迫/攻击状态,恢复状态, 正常操作状态)支持关键服务交付的弹性(Resilience) 要求
ID.GV
建立和传达组织网络安全政策
将内部角色和外部合作伙伴的网络安全角色和责任
治理 协调一致
理解和执行有关网络安全的法律法规要求,包括隐私和公民自由义务 4)解决网络安全风险的治理和风险管理流程
ID.RA
识别并记录资产漏洞(vulnerabilities)
网络威胁情报来自信息共享论坛和来源处(sources)
风险评估 3)定义和记录内外部威胁
确定潜在的业务影响和可能性
威胁、漏洞、相似性和影响被用于确定风险
定义风险响应并确定其优先级
ID.RM
组织利益相关者建立、管理、同意风险管理过程。
确定并明确表达组织风险承受能力
风险管理战略 3)组织对风险承受能力的决定取决于它在关键基础设
施中的作用和行业特定风险分析。
ID.SC
1)组织利益相关者识别、评估、管理、同意网络供应链风险管理流程
供应链风险管 2)使用网络供应链风险评估流程对供应商和第三方合
理 作伙伴的信息系统、组件和服务进行评估、识别和确定优先级。
3)为实现组织的网络安全和网络供应链风险管理计划
PR PR.AC
保护
目标,与供应商签订相关合同明确相关措施。 4)采用审核、测试结果或其他形式的评估定期评估供 应商和第三方合作伙伴,以确认他们正在履行合同义务 。 5)与供应商和第三方合作伙伴制定响应和恢复预案并 演 练 1)对授权设备、用户、流程的身份和凭据进行审核、
管理、验证、撤销和审计
身份管理与接 2)对资产的物理访问进行管理和保护
入控制
PR.AT
远程接入管理
接入权限和授权是按照最低特权和职责分离原则进行管理的
网络完整性受到保护
身份被证明并绑定到凭证,并在交互中证实
用户、设备和其他资产的身份验证(例如,单因子, 多因子)与交易风险(个人安全、隐私风险以及其他组织风险)相称。
所有用户都得到通知和培训
2 特权用户了解他们的角色和职责
意识和培训 3)第三方利益相关者(如供应商、客户、合作伙伴)
了解他们的角色和职责
高级管理人员了解他们的角色和职责
物理和网络安全人员了解他们的角色和职责
PR.DS
静态数据受到保护
传输数据受到保护
数据安全 3)资产在搬迁、运输和处置的过程中得到正式管理。4)足够的容量以确保可用性
5)实施数据泄漏保护 6)完整性检查机制用于验证软件、固件 firmware 和信息完整性 7)开发和测试环境与生产环境分离
8)完整性检查机制用于验证硬件完整性
PR.IP
结合安全原则创建和维护信息/工业控制系统的基线配置
信息保护 2)实施系统开发生命周期管理系统
配置变更控制流程到位
对信息进行备份、维护和测试
符合有关组织资产的物理操作环境的政策和法规
根据策略销毁数据
改进保护过程
保护
文档评论(0)