2018NIST關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架

關(guān)鍵基raeokfrImroin善框架CriticalInfrastructureCybersecurityVersion1.1美國國家標(biāo)準(zhǔn)與技術(shù)研究院NationalInstituteofStandardsandTechnology20184月16日目錄讀者需了解的更新須知 01致謝 02內(nèi)容摘要 031.0框架介紹 052.0框架基礎(chǔ) 093.0如何使用框架 154.0利用該框架對網(wǎng)絡(luò)風(fēng)險安全進(jìn)行自我評估 21附錄A：框架核心 22附錄B：術(shù)語表 35附錄C：縮寫詞表 37篇外：框架編寫背景 38-01--01-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架讀者需了解的更新須知網(wǎng)絡(luò)安全框架1.1版對2014年2月發(fā)布的1.0版進(jìn)行了改進(jìn)、說明和完善。其包含了有關(guān)1.1版的兩份草稿的意見。版供框架新用戶和當(dāng)前用戶使用。當(dāng)前用戶應(yīng)能夠在最小或無干擾的情況下實(shí)施1.1版；與1.0版兼容是一個明確的目標(biāo)。以下表格總結(jié)了1.0版與1.1版之間的變更。表NTR-1——框架1.0版與1.1版之間的變更總結(jié)。更新闡明了“合規(guī)”等術(shù)語會造成混淆，各個框架利益相關(guān)者對這些術(shù)語會有完全不同的理解更新說明進(jìn)一步闡明了該框架是一種結(jié)構(gòu)和語言，用于管理和表明對組織自身網(wǎng)絡(luò)安全要求的遵守。然而，組織可通過多種方式使用該框架，這意味著“框架合規(guī)性”等短語會造成混淆。關(guān)于自我評估的新小節(jié)各個組織可通過新添加的第4.0節(jié)《利用該框架對網(wǎng)絡(luò)風(fēng)險安全進(jìn)行自我評估》了解和評估其網(wǎng)絡(luò)安全風(fēng)險，包括評估方法的使用。進(jìn)一步解釋了框架在網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理方面的用途擴(kuò)充了第3.3節(jié)《向利益相關(guān)者傳達(dá)網(wǎng)絡(luò)安全要求》的內(nèi)容，從而幫助用戶進(jìn)一步了解網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理（SCRM），而全新的第3.4節(jié)《購買決策》強(qiáng)調(diào)了框架可用于了解與商業(yè)現(xiàn)貨產(chǎn)品與服務(wù)相關(guān)的風(fēng)險。實(shí)現(xiàn)層中添加了額外的網(wǎng)絡(luò)SCRM標(biāo)準(zhǔn)。最后，在框架核心中添加了供應(yīng)鏈風(fēng)險管理分類，包括多個子分類。進(jìn)行改進(jìn)以更好地對認(rèn)證、授權(quán)與身份證明作出解釋已對訪問控制分類的語言進(jìn)行改進(jìn)，從而更好地對認(rèn)證、授權(quán)與身份證明作出解釋。其包括為認(rèn)證與身份證明各添加一個子分類。并且，該分類已重新命名為身份管理與訪問控制（PR.A更好地解釋了實(shí)現(xiàn)層與配置文件之間的關(guān)系為第3.2節(jié)《建立或優(yōu)化網(wǎng)絡(luò)安全程序》添加關(guān)于在框架實(shí)施中使用框架層的說明。添加有關(guān)框架層的說明，在組織風(fēng)險管理程序中加入框架注意事項。也完善了框架層概念。更新圖2.0以涵括框架層的指令。考慮了協(xié)調(diào)的漏洞披露添加了漏洞披露周期相關(guān)的子分類。和1.0版一樣，我們鼓勵1.1版用戶自定義該框架，以最大化組織價值。-03--03-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架內(nèi)容摘要/健康面臨嚴(yán)重風(fēng)險。與商業(yè)及聲譽(yù)風(fēng)險類似，網(wǎng)絡(luò)安全風(fēng)險同樣會對企業(yè)業(yè)務(wù)產(chǎn)生巨大影響——包括增加成本、2014（簡稱CEA）對國家標(biāo)準(zhǔn)與技術(shù)研究院（簡稱NIST）的職能角色作出更新，要求其負(fù)責(zé)確定并制定一套網(wǎng)絡(luò)安全風(fēng)險框架，CEANIST必須確定“一種包”NIST以往立足13636（1.0版本作出EO13636CEA簡稱T（S（S）-04--04-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架（IoT）將繼續(xù)與各級私營部門與政府機(jī)構(gòu)進(jìn)行協(xié)調(diào)。隨著框架實(shí)現(xiàn)層的愈發(fā)豐富，-05--05-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架框架介紹/健康面臨嚴(yán)重風(fēng)險。與商業(yè)及聲譽(yù)風(fēng)險類似，網(wǎng)絡(luò)安全風(fēng)險同樣會對企業(yè)業(yè)務(wù)產(chǎn)生巨大影響——包括增加成本、2014（簡稱CEA）對國家標(biāo)準(zhǔn)與技術(shù)研究院（簡稱NIST）的職能角色作出更新，要求其負(fù)責(zé)確定并制定一套網(wǎng)絡(luò)安全風(fēng)險框架，CEANIST必須確定“一種包”NIST13636（1.0版本作出了全面改進(jìn)，并將為未來的框架演變提供重要指導(dǎo)。《2001年美國愛國者法案》當(dāng)中將關(guān)鍵基礎(chǔ)設(shè)施定義為“對于美國國家而言高度關(guān)鍵的物理/虛擬系統(tǒng)與資產(chǎn)，此類系統(tǒng)與資產(chǎn)一旦喪失功能或遭到破壞，則會對國家安全、國家經(jīng)”考慮到來自外部與（簡稱T簡稱S（簡稱S以及物聯(lián)網(wǎng)（IoT）-06--06-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架此框架立足上述標(biāo)準(zhǔn)、準(zhǔn)則與實(shí)踐，為組織提供一套通用型分類機(jī)制，從而：闡述其當(dāng)前網(wǎng)絡(luò)安全態(tài)勢;闡述其網(wǎng)絡(luò)安全目標(biāo)狀態(tài);立足持續(xù)與可重復(fù)流程確定改進(jìn)機(jī)會與優(yōu)先順序;面向目標(biāo)狀態(tài)評估進(jìn)展情況;就網(wǎng)絡(luò)安全風(fēng)險同內(nèi)部與外部利益相關(guān)方進(jìn)行溝通。盡管此框架專為改善與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡(luò)安全風(fēng)險管理工作而制定，但其同樣適用于-07--07-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架/任務(wù)驅(qū)動因素與網(wǎng)絡(luò)安全活動間的聯(lián)系。下面，我們共同了解這些元素的具體含義：框架核心由一組網(wǎng)絡(luò)安全活動、期望結(jié)果以及關(guān)鍵基礎(chǔ)設(shè)施部門內(nèi)的通用型適用參考方案構(gòu)成?？蚣芎诵闹荚谔峁┬袠I(yè)標(biāo)準(zhǔn)、指導(dǎo)方針與實(shí)踐方式，以便立足組織整體的執(zhí)行層面以及實(shí)現(xiàn)/織的網(wǎng)絡(luò)安全風(fēng)險管理生命周期提供一種宏觀層級的戰(zhàn)略性視圖。框架核心還為每項功能確立了內(nèi)部關(guān)鍵類別與子類別——這些類別屬于非連續(xù)性結(jié)果——并將其與示例信息引用（例如各子類別的現(xiàn)有標(biāo)準(zhǔn)、準(zhǔn)則與實(shí)踐）加以匹配?？蚣軐?shí)現(xiàn)層負(fù)責(zé)為組織提供應(yīng)對網(wǎng)絡(luò)安全風(fēng)險及現(xiàn)有風(fēng)險管理流程的背景信息。實(shí)現(xiàn)層將描述組織內(nèi)網(wǎng)絡(luò)安全風(fēng)險管理實(shí)踐中定義的各項特征（包括風(fēng)險與威脅認(rèn)知、可重復(fù)性與適應(yīng)性。實(shí)現(xiàn)層代表組織在特定范圍內(nèi)的實(shí)踐方法，具體涵蓋部分（一層）（四層框架概況代表組織在框架類別與子類別當(dāng)中根據(jù)自身情況作出的結(jié)果判斷。概況可定較“當(dāng)前”概況（即‘現(xiàn)狀’狀態(tài)）與“目標(biāo)”概況預(yù)期’狀態(tài)，即可利用概況信息發(fā)現(xiàn)改善網(wǎng)絡(luò)安全狀況的機(jī)會。要建立框架概況，組織可以檢查其中全部類別與/-08--08-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架ITICS（簡稱ISO）31000：2009、ISO/國際電工技術(shù)委員會（簡稱IEC）27005：2011、NIST特刊（簡稱SP）800-39以及電力部門網(wǎng)絡(luò)安全風(fēng)險管理流程（RMP）指南。本文件的其余部分包含以下章節(jié)及附錄：第二節(jié)闡述框架各組成部分：框架核心、實(shí)現(xiàn)層與框架概況。第三節(jié)介紹框架使用示例。第四節(jié)介紹如何利用框架進(jìn)行自我評估，并通過測量了解網(wǎng)絡(luò)安全水平。ABC-09--09-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架框架基礎(chǔ)圖一：框架核心結(jié)構(gòu)各框架核心元素通過以下方式實(shí)現(xiàn)協(xié)同：功能復(fù)。這些功能通過組織信息、啟動風(fēng)險管理決策、解決威脅以及汲取以往活動經(jīng)驗(yàn)等方式實(shí)現(xiàn)改進(jìn)，幫助組織表達(dá)自身風(fēng)險安全風(fēng)險管理思路。此外，這些功能亦與現(xiàn)有事件管理方法保持一致，有助于展示投資活動在網(wǎng)絡(luò)安全方面帶來的實(shí)際影響。舉例而言，為及時響應(yīng)與恢復(fù)行動的規(guī)劃與實(shí)踐提供投資支持，將顯著降低安全事件給服--PAGE22-關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架務(wù)交付造成的影響。類別包括“資產(chǎn)管理“身份管理與訪問控制”以及“檢測流程”等等。子類別進(jìn)一步將類別劃分為技術(shù)與/信息性參考A。發(fā)現(xiàn)–保護(hù)–檢測–響應(yīng)–恢復(fù)–制定并實(shí)施適當(dāng)行動，從而維護(hù)恢復(fù)計劃并還原因網(wǎng)絡(luò)安全事件而受到損害的任何功能或服務(wù)?；謴?fù)功能旨在及時恢復(fù)正常運(yùn)營，降低網(wǎng)絡(luò)安全事件帶來的實(shí)際影響。此功能在類別范疇內(nèi)的對應(yīng)成果包括：恢復(fù)計劃、改進(jìn)與溝通。關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架。不同層反映出網(wǎng)絡(luò)（ISAC）（ISAO）的現(xiàn)有成熟度模型，或來自其它來源的外部指導(dǎo)信息，協(xié)助自身確定符合需求及預(yù)期效果的層級。（部分實(shí)現(xiàn)層內(nèi)各層級定義如下：第一層：部分爾被動的方式接受管理。網(wǎng)絡(luò)安全行動的優(yōu)先級可能無法直接通過組織風(fēng)險目標(biāo)、威脅環(huán)境或業(yè)務(wù)/任務(wù)要求進(jìn)行判斷。外部的信息往往存在巨大差異，因此組織需要通過不規(guī)則的個案實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險管理。組織內(nèi)可能尚未建立起用于共享網(wǎng)絡(luò)安全信息的既定流程。外部參與——組織不了解自身依賴關(guān)系或關(guān)聯(lián)性情況在更高層級生態(tài)系統(tǒng)當(dāng)中的作用。（ISAO）關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架合作或建立信息接收（例如威脅情報、最佳實(shí)踐、技術(shù)成果等）體系，亦不進(jìn)行信息共享。組織通常不清楚自身所提供或使用的產(chǎn)品及服務(wù)所面臨的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險。第二層：風(fēng)險知悉風(fēng)險管理流程——風(fēng)險管理實(shí)踐得到管理層批準(zhǔn)，但仍未被作為整個組織范圍內(nèi)的正/任務(wù)需求決定。制定出網(wǎng)絡(luò)安全風(fēng)險管理方法。網(wǎng)絡(luò)安全信息在組織內(nèi)以非正式方式共享。一部分組織目標(biāo)與計劃當(dāng)中會將網(wǎng)絡(luò)安全因素納入進(jìn)來，但覆蓋面仍不夠廣泛。組織內(nèi)產(chǎn)與外部資產(chǎn)的網(wǎng)絡(luò)風(fēng)險評估工作偶爾進(jìn)行，但通常不會定期重復(fù)。外部參與——組織通常能夠理解自身的依賴或關(guān)聯(lián)關(guān)系在更大規(guī)模生態(tài)系統(tǒng)當(dāng)中扮演的角色，但無關(guān)將二者加以結(jié)合。組織與其它實(shí)體開展合作，并從其它實(shí)體處接收部及使用的產(chǎn)品及服務(wù)帶來的相關(guān)網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險，但無法以一致或正式方式處理此類風(fēng)險。第三層：可重復(fù)風(fēng)險管理流程——組織的風(fēng)險管理實(shí)踐經(jīng)過正式批準(zhǔn)并以政策形式傳達(dá)。組織定期更/程與規(guī)程根據(jù)預(yù)期目標(biāo)進(jìn)行定義、實(shí)現(xiàn)與審查。組織能夠采取一致性方法有效應(yīng)對風(fēng)險變化。工作人員擁有履行其特定角色與職責(zé)的知識與技能。組織持續(xù)準(zhǔn)確地監(jiān)控自有資產(chǎn)的網(wǎng)絡(luò)安全風(fēng)險。高層網(wǎng)絡(luò)安全與非網(wǎng)絡(luò)安全管理者定期就網(wǎng)絡(luò)安全風(fēng)險進(jìn)行溝通。高層管理人員通過組織內(nèi)各業(yè)務(wù)線確保將網(wǎng)絡(luò)安全考量納入運(yùn)營規(guī)劃。外部參與——組織理解自身在更大規(guī)模生態(tài)系統(tǒng)中扮演的角色、依賴與關(guān)聯(lián)關(guān)系，且可能通過貢獻(xiàn)幫助社區(qū)建立更為廣泛的風(fēng)險理解能力。組織定期與其它實(shí)體合作并從能夠意識到自身所提供及使用的產(chǎn)品及服務(wù)帶來的相關(guān)網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險。此外，組織通常正式應(yīng)對風(fēng)險狀況，包括發(fā)布書面協(xié)議以溝通基準(zhǔn)要求、治理結(jié)構(gòu)（例如風(fēng)險委員會）以及政策實(shí)施與督導(dǎo)等制度。第四層：適應(yīng)訓(xùn)與預(yù)測指標(biāo)。通過將先進(jìn)網(wǎng)絡(luò)安全技術(shù)與實(shí)踐同持續(xù)改進(jìn)流程加以結(jié)合，組織能夠關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架主動適應(yīng)不斷變化的威脅與技術(shù)環(huán)境，且及時有效地應(yīng)對持續(xù)演進(jìn)的復(fù)雜威脅態(tài)勢。政策、流程與規(guī)程以應(yīng)對潛在網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)安全風(fēng)險與組織目標(biāo)之間的關(guān)系將在決策過程當(dāng)中得到充分考量與理解。高層管理人員以等同于財務(wù)風(fēng)險及其它組織層面風(fēng)險的態(tài)度監(jiān)管網(wǎng)絡(luò)安全風(fēng)險事務(wù)。組織內(nèi)的預(yù)算劃撥基于對當(dāng)前及預(yù)計風(fēng)險環(huán)境與風(fēng)險承受度的正確認(rèn)知。業(yè)務(wù)部門在組織風(fēng)險承受能力范圍之內(nèi)建立發(fā)展愿景，并分析系統(tǒng)級風(fēng)險因素。網(wǎng)絡(luò)安全風(fēng)險管理成為組織文化的一部分，且植根于對以往網(wǎng)/任務(wù)目標(biāo)的變化將在風(fēng)險層面引發(fā)哪些變化。外部參與——組織理解自身在更大規(guī)模生態(tài)系統(tǒng)中扮演的角色、依賴與關(guān)聯(lián)關(guān)系，且可通過貢獻(xiàn)幫助社區(qū)更廣泛地理解網(wǎng)絡(luò)安全風(fēng)險。組織能夠接收、生成并審查優(yōu)先級信息、威脅與技術(shù)格局隨時間推移發(fā)生的演變，并可持續(xù)分析其對應(yīng)風(fēng)險。組織與其它合作方立足內(nèi)部與外部實(shí)現(xiàn)信息共享。組織利用實(shí)時或近實(shí)時信息以了解并通過一致性方式處理由其提供或使用的產(chǎn)品與服務(wù)帶來的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險。此外，組織使用（例如協(xié)議/（例如當(dāng)前概況與目標(biāo)概況可能會展示出滿足網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo)過程中（例如人員配置與資金等類別的具體適用性與可行性依對應(yīng)概況范圍而定。關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架圖二所示為組織內(nèi)以下各層級的通用性信息與決策流程：高管團(tuán)隊業(yè)務(wù)/流程實(shí)現(xiàn)/運(yùn)營其中，高管團(tuán)隊將任務(wù)優(yōu)先級、可用資源以及整體風(fēng)險承受度結(jié)論傳達(dá)給業(yè)務(wù)/流程層級。業(yè)務(wù)流程層級將上述信息作為風(fēng)險管理流程的輸入內(nèi)容，而后同實(shí)現(xiàn)/運(yùn)營層級協(xié)作以進(jìn)一/運(yùn)營層級將概況實(shí)現(xiàn)進(jìn)度反饋回業(yè)務(wù)/圖二：組織內(nèi)信息傳達(dá)與決策制定流程圖關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架如何使用框架組織可以使用該框架作為其體系化過程的關(guān)鍵部分，用于識別、評估和管理網(wǎng)絡(luò)安全風(fēng)險。該框架的部署貫穿整個周期，從計劃制訂、設(shè)計、搭建/購買、部署、運(yùn)營直至退役。計劃（如補(bǔ)償性和共同控制以下幾個部分介紹了幾種使用該架構(gòu)的不同方式。（或有需要關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架“現(xiàn)在情況步驟一：優(yōu)先權(quán)限和范圍。組織可先確定其業(yè)務(wù)/任務(wù)目標(biāo)和高級別的組織優(yōu)先權(quán)。有了這些信息，決策時就可兼顧網(wǎng)絡(luò)安全部署，并確定哪些系統(tǒng)和資產(chǎn)要支持選定的業(yè)務(wù)或流程?？烧{(diào)整架構(gòu)適應(yīng)業(yè)務(wù)需求和風(fēng)險耐受度。目標(biāo)實(shí)施層可反映風(fēng)險耐受程度。步驟四：執(zhí)行風(fēng)險評估。此評估可由整體風(fēng)險管理進(jìn)程或以前的風(fēng)險評估活動引導(dǎo)完成。組織分析運(yùn)行環(huán)境以辨明網(wǎng)絡(luò)安全事件發(fā)生的可能性以及事件可能產(chǎn)生的影響。對組織而言，識別突發(fā)風(fēng)險并利用網(wǎng)絡(luò)威脅信息更好地理解網(wǎng)絡(luò)安全事件的影響是至關(guān)重要的。定二者的差距。然后，可創(chuàng)建一個優(yōu)先計劃來縮小差距——考慮達(dá)成目標(biāo)的任務(wù)驅(qū)動因素，如有需要，可重復(fù)以上步驟以獲得持續(xù)的評估和改進(jìn)體驗(yàn)。例如，可能會有組織發(fā)現(xiàn)重復(fù)步關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架組織可能使用目標(biāo)概況文件向外部服務(wù)供應(yīng)商表達(dá)網(wǎng)絡(luò)安全風(fēng)險管理需求（輸出對象——云廠商）已經(jīng)確定其外部合作伙伴的關(guān)鍵基礎(chǔ)設(shè)施所有者/文件使用，供其打造一個定制版的目標(biāo)配置文件。而更好地管理利益相關(guān)者之間的網(wǎng)絡(luò)安全風(fēng)險。（SCRM）是一項重要的組織功能。網(wǎng)絡(luò)SCRM是管理與外部合作伙伴相關(guān)的網(wǎng)絡(luò)風(fēng)險時必須考慮的內(nèi)容。更確切地說，網(wǎng)絡(luò)SCRM解決的是用戶和外部合作伙伴之間網(wǎng)絡(luò)安全的相互作用。網(wǎng)絡(luò)SCRM的首要目標(biāo)是識別、評估和緩解“可能攜帶惡意功能、假冒信息的產(chǎn)品和服務(wù)，或是由于網(wǎng)絡(luò)供應(yīng)鏈中制造開發(fā)不當(dāng)導(dǎo)致的漏洞?！卑ǎ合蚬?yīng)商確定網(wǎng)絡(luò)安全需求，通過正式協(xié)議（如合同）制定網(wǎng)絡(luò)安全需求，與供應(yīng)商溝通如何驗(yàn)證網(wǎng)絡(luò)安全需求的有效性，制定各種評估方法驗(yàn)證網(wǎng)絡(luò)安全需求，確保以上行為得到監(jiān)管。SCRM覆蓋了技術(shù)買賣雙方，以及非技術(shù)買賣雙方，其中技術(shù)至少包括T（SS關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架圖三：網(wǎng)絡(luò)供應(yīng)鏈關(guān)系圖三中描述的各方破壞了一個企業(yè)的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。這些關(guān)系凸顯了網(wǎng)絡(luò)SCRM在關(guān)鍵基礎(chǔ)設(shè)施和更廣泛的數(shù)字經(jīng)濟(jì)中對網(wǎng)絡(luò)安全風(fēng)險中的重要作用。用戶應(yīng)該了解這些關(guān)系，他們提供的產(chǎn)品和服務(wù)以及帶來的風(fēng)險，不但要在整個組織的響應(yīng)和恢復(fù)協(xié)議中納入考量，而且要成為保護(hù)性和檢測性功能的重要組成。買家“賣家”包括上游產(chǎn)品和服務(wù)供應(yīng)商，其產(chǎn)品和服務(wù)供買家內(nèi)部使用（IT基礎(chǔ)設(shè)施）或集成到下游產(chǎn)品中。這些術(shù)語適用于技術(shù)型和非技術(shù)型產(chǎn)品和服務(wù)。（，用戶術(shù)運(yùn)營商進(jìn)行評估（例如，ID.BE-4,ID.SC-3,ID.SC-4,ID.SC-5,PR.DS-4,PR.DS-6,PR.DS-7,DS-8,I-1,DEE-5。關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架節(jié)已解決關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架數(shù)據(jù)質(zhì)量，完整性和安全性；問責(zé)制和審核。正如企業(yè)在附錄A中評估架構(gòu)核心一樣，下列流程和行為可作為解決上述隱私和公民自由的方法。網(wǎng)絡(luò)安全風(fēng)險的監(jiān)管企業(yè)對網(wǎng)絡(luò)風(fēng)險和潛在風(fēng)險響應(yīng)的評估會考慮網(wǎng)絡(luò)安全計劃中的隱私問題。承擔(dān)與網(wǎng)絡(luò)安全相關(guān)的隱私責(zé)任的個人要匯報管理情況，并得到適當(dāng)培訓(xùn)。依據(jù)隱私法規(guī)和憲法要求制訂流程支持網(wǎng)絡(luò)安全活動。制訂流程評估上述措施和控制方法的部署情況。識別，驗(yàn)證和授權(quán)個人訪問企業(yè)資產(chǎn)和系統(tǒng)問題。意識和訓(xùn)練源自組織隱私政策的適用信息要包含在網(wǎng)絡(luò)安全人力培訓(xùn)和意識活動中。對于提供網(wǎng)絡(luò)安全服務(wù)的服務(wù)供應(yīng)商，要告知其適用于買方的隱私政策。異?；顒訖z測，系統(tǒng)和資產(chǎn)監(jiān)控制訂流程，針對組織的異?；顒訖z測和網(wǎng)絡(luò)安全監(jiān)控執(zhí)行隱私審查。響應(yīng)活動，包括信息共享或其他補(bǔ)救措施的時機(jī)、方式、還有信息共享的程度。對組織的網(wǎng)絡(luò)安全補(bǔ)救措施執(zhí)行隱私審查。關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架4.0利用該框架對網(wǎng)絡(luò)風(fēng)險安全進(jìn)行自我評估但是該框架核心的網(wǎng)絡(luò)安全成果卻能夠支持采用以下方式對投資成效和網(wǎng)絡(luò)安全活動進(jìn)行自我評估：對不同部分的網(wǎng)絡(luò)安全操作如何影響目標(biāo)實(shí)現(xiàn)層的選擇作出決定，通過確定當(dāng)前實(shí)現(xiàn)層以評估組織對網(wǎng)絡(luò)安全風(fēng)險管理所采取的措施，通過編制目標(biāo)配置文件對網(wǎng)絡(luò)安全成果進(jìn)行優(yōu)先排序，通過評估當(dāng)前配置文件確定采用具體網(wǎng)絡(luò)安全措施實(shí)現(xiàn)預(yù)期網(wǎng)絡(luò)安全成果的程度評估控制目錄或列為參考性文件的技術(shù)指導(dǎo)的實(shí)現(xiàn)程度。后關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架AppendixA:FrameworkCoreThisappendixpresentstheFrameworkCore:alistingofFunctions,Categories,Subcategories,andInformativeReferencesthatdescribespecificcybersecurityactivitiesthatarecommonacrossallcriticalinfrastructuresectors.ThechosenpresentationformatfortheFrameworkCoredoesnotsuggestaspecificimple-mentationorderorimplyadegreeofimportanceoftheCategories,Subcatego-ries,andInformativeReferences.TheFrameworkCorepresentedinthisappendixrepresentsacommonsetofactivitiesformanagingcybersecurityrisk.WhiletheFrameworkisnotexhaustive,itisextensible,allowingorganizations,sectors,andotherentitiestouseSubcategoriesandInformativeReferencesthatarecost-ef-fectiveandefficientandthatenablethemtomanagetheircybersecurityrisk.ActivitiescanbeselectedfromtheFrameworkCoreduringtheProfilecreationprocessandadditionalCategories,Subcategories,andInformativeReferencesmaybeaddedtotheProfile.Anorganization’sriskmanagementprocesses,legal/regulatoryrequirements,business/missionobjectives,andorganizationalconstraintsguidetheselectionoftheseactivitiesduringProfilecreation.PersonalinformationisconsideredacomponentofdataorassetsreferencedintheCate-gorieswhenassessingsecurityrisksandprotections.WhiletheintendedoutcomesidentifiedintheFunctions,Categories,andSubcat-egoriesarethesameforITandICS,theoperationalenvironmentsandconsider-ationsforITandICSdiffer.ICShaveadirecteffectonthephysicalworld,includingpotentialriskstothehealthandsafetyofindividuals,andimpactontheenviron-ment.Additionally,ICShaveuniqueperformanceandreliabilityrequirementscomparedwithIT,andthegoalsofsafetyandefficiencymustbeconsideredwhenimplementingcybersecuritymeasures.Foreaseofuse,eachcomponentoftheFrameworkCoreisgivenauniqueidenti-fier.FunctionsandCategorieseachhaveauniquealphabeticidentifier,asshowninTable1.SubcategorieswithineachCategoryarereferencednumerically;theuniqueidentifierforeachSubcategoryisincludedinTable2.Additionalsupportingmaterial,includingInformativeReferences,relatingtotheFrameworkcanbefoundontheNISTwebsiteat\h/cyberframe-work/.關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架Table1:FunctionandCategoryUniqueIdentifiersFunctionUniqueIdentifierFunctionCategoryUniqueIdentifierCategoryIDIdentifyID.AMAssetManagementID.BEBusinessEnvironmentID.GVGovernanceID.RARiskAssessmentID.RMRiskManagementStrategyID.SCSupplyChainRiskManagementPRProtectPR.ACIdentityManagementandAccessControlPR.ATAwarenessandTrainingPR.DSDataSecurityPR.IPInformationProtectionProcessesandProceduresPR.MAMaintenancePR.PTProtectiveTechnologyDEDetectDE.AEAnomaliesandEventsDE.CMSecurityContinuousMonitoringDE.DPDetectionProcessesRSRespondRS.RPResponsePlanningRS.COCommunicationsRS.ANAnalysisRS.MIMitigationRS.IMImprovementsRCRecoverRC.RPRecoveryPlanningRC.IMImprovementsRC.COCommunications關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架Table2:FrameworkCoreFunctionCategorySubcategoryInformativeReferencesIDENTIFY(ID)AssetManagement(ID.AM):Thedata,personnel,devices,systems,andfacilitiesthatenabletheorganizationtoachievebusinesspurposesareidentifiedandmanagedconsistentwiththeirrelativeimportancetoorganizationalobjectivesandtheorganization’sriskstrategy.ID.AM-1:PhysicaldevicesandsystemswithintheorganizationareinventoriedCISCSC1COBIT5BAI09.01,BAI09.02ISA62443-2-1:200ISA62443-3-3:2013SR7.8ISO/IEC27001:2013A.8.1.1,A.8.1.2NISTSP800-53Rev.4CM-8,PM-5ID.AM-2:SoftwareplatformsandapplicationswithintheorganizationareinventoriedCISCSC2COBIT5BAI09.01,BAI09.02,BAI09.05ISA62443-2-1:200ISA62443-3-3:2013SR7.8ISO/IEC27001:2013A.8.1.1,A.8.1.2,A.12.5.1NISTSP800-53Rev.4CM-8,PM-5ID.AM-3:OrganizationalcommunicationanddataflowsaremappedCISCSC12COBIT5DSS05.02ISA62443-2-1:2009ISO/IEC27001:2013A.13.2.1,A.13.2.2NISTSP800-53Rev.4AC-4,CA-3,CA-9,PL-8ID.AM-4:ExternalinformationsystemsarecataloguedCISCSC12COBIT5APO02.02,APO10.04,DSS01.02ISO/IEC27001:2013A.11.2.6NISTSP800-53Rev.4AC-20,SA-9ID.AM-5:Resources(e.g.,hardware,devices,data,time,personnel,andsoftware)areprioritizedbasedontheirclassification,criticality,andbusinessvalueCISCSC13,14COBIT5APO03.03,APO03.04,APO12.01,BAI04.02,BAI09.02ISA62443-2-1:2009ISO/IEC27001:2013A.8.2.1NISTSP800-53Rev.4CP-2,RA-2,SA-14,SC-6ID.AM-6:CybersecurityrolesandresponsibilitiesfortheentireworkforceandCISCSC17,19COBIT5APO01.02,APO07.06,APO13.01,DSS06.03third-partystakeholders(e.g.,suppliers,customers,partners)areestablishedISA62443-2-1:200.3ISO/IEC27001:2013A.6.1.1NISTSP800-53Rev.4CP-2,PS-7,PM-11BusinessEnvironment(ID.BE):Theorganization’smission,objectives,stakeholders,andactivitiesareunderstoodandprioritized;thisinformationisusedtoinformcybersecurityroles,responsibilities,andriskmanagementdecisions.ID.BE-1:Theorganization’sroleinthesupplychainisidentifiedandcommunicatedCOBIT5APO08.01,APO08.04,APO08.05,APO10.03,APO10.04,APO10.05ISO/IEC27001:2013A.15.1.1,A.15.1.2,A.15.1.3,A.15.2.1,A.15.2.2NISTSP800-53Rev.4CP-2,SA-12ID.BE-2:Theorganization’splaceincriticalinfrastructureanditsindustrysectorisidentifiedandcommunicatedCOBIT5APO02.06,APO03.01ISO/IEC27001:2013Clause4.1NISTSP800-53Rev.4PM-8ID.BE-3:Prioritiesfororganizationalmission,objectives,andactivitiesareestablishedandcommunicatedCOBIT5APO02.01,APO02.06,APO03.01ISA62443-2-1:2009,NISTSP800-53Rev.4PM-11,SA-14ID.BE-4:DependenciesandcriticalfunctionsfordeliveryofcriticalservicesareestablishedCOBIT5APO10.01,BAI04.02,BAI09.02ISO/IEC27001:2013A.11.2.2,A.11.2.3,A.12.1.3NISTSP800-53Rev.4CP-8,PE-9,PE-11,PM-8,SA-14ID.BE-5:Resiliencerequirementstosupportdeliveryofcriticalservicesareestablishedforalloperatingstates(e.g.underduress/attack,duringrecovery,normaloperations)COBIT5BAI03.02,DSS04.02ISO/IEC27001:2013A.11.1.4,A.17.1.1,A.17.1.2,A.17.2.1NISTSP800-53Rev.4CP-2,CP-11,SA-13,SA-14Governance(ID.GV):Thepolicies,procedures,andprocessestomanageandmonitortheorganization’sregulatory,legal,risk,environmental,andoperationalrequirementsareunderstoodandinformtheID.GV-1:OrganizationalcybersecuritypolicyisestablishedandcommunicatedCISCSC19COBIT5APO01.03,APO13.01,EDM01.01,EDM01.02ISA62443-2-1:2009ISO/IEC27001:2013A.5.1.1NISTSP800-53Rev.4-1controlsfromallsecuritycontrolfamilies關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架FunctionCategorySubcategoryInformativeReferencesmanagementofcybersecurityrisk.ID.GV-2:CybersecurityrolesandresponsibilitiesarecoordinatedandalignedwithinternalrolesandexternalpartnersCISCSC19COBIT5APO01.02,APO10.03,APO13.02,DSS05.04ISA62443-2-1:2009.3ISO/IEC27001:2013A.6.1.1,A.7.2.1,A.15.1.1NISTSP800-53Rev.4PS-7,PM-1,PM-2ID.GV-3:Legalandregulatoryrequirementsregardingcybersecurity,includingprivacyandcivillibertiesobligations,areunderstoodandmanagedCISCSC19COBIT5BAI02.01,MEA03.01,MEA03.04ISA62443-2-1:200ISO/IEC27001:2013A.18.1.1,A.18.1.2,A.18.1.3,A.18.1.4,A.18.1.5NISTSP800-53Rev.4-1controlsfromallsecuritycontrolfamiliesID.GV-4:GovernanceandriskmanagementprocessesaddresscybersecurityrisksCOBIT5EDM03.02,APO12.02,APO12.05,DSS04.02ISA62443-2-1:2009,,,,1,.3,.3ISO/IEC27001:2013Clause6NISTSP800-53Rev.4SA-2,PM-3,PM-7,PM-9,PM-10,PM-11RiskAssessment(ID.RA):Theorganizationunderstandsthecybersecurityrisktoorganizationaloperations(includingmission,functions,image,orreputation),organizationalassets,andindividuals.ID.RA-1:AssetvulnerabilitiesareidentifiedanddocumentedCISCSC4COBIT5APO12.01,APO12.02,APO12.03,APO12.04,DSS05.01,DSS05.02ISA62443-2-1:20094.2.3,,,2ISO/IEC27001:2013A.12.6.1,A.18.2.3NISTSP800-53Rev.4CA-2,CA-7,CA-8,RA-3,RA-5,SA-5,SA-11,SI-2,SI-4,SI-5ID.RA-2:CyberthreatintelligenceisreceivedfrominformationsharingforumsandsourcesCISCSC4COBIT5BAI08.01ISA62443-2-1:20094.2.3,,2ISO/IEC27001:2013A.6.1.4NISTSP800-53Rev.4SI-5,PM-15,PM-16ID.RA-3:Threats,bothinternalandexternal,areidentifiedanddocumentedCISCSC4COBIT5APO12.01,APO12.02,APO12.03,APO12.04ISA62443-2-1:20094.2.3,,2ISO/IEC27001:2013Clause6.1.2NISTSP800-53Rev.4RA-3,SI-5,PM-12,PM-16ID.RA-4:PotentialbusinessimpactsandlikelihoodsareidentifiedCISCSC4COBIT5DSS04.02ISA62443-2-1:20094.2.3,,2ISO/IEC27001:2013A.16.1.6,Clause6.1.2NISTSP800-53Rev.4RA-2,RA-3,SA-14,PM-9,PM-11ID.RA-5:Threats,vulnerabilities,likelihoods,andimpactsareusedtodetermineriskCISCSC4COBIT5APO12.02ISO/IEC27001:2013A.12.6.1NISTSP800-53Rev.4RA-2,RA-3,PM-16ID.RA-6:RiskresponsesareidentifiedandprioritizedCISCSC4COBIT5APO12.05,APO13.02ISO/IEC27001:2013Clause6.1.3NISTSP800-53Rev.4PM-4,PM-9RiskManagementStrategy(ID.RM):Theorganization’spriorities,constraints,risktolerances,andassumptionsareestablishedandusedtosupportoperationalriskdecisions.ID.RM-1:Riskmanagementprocessesareestablished,managed,andagreedtobyorganizationalstakeholdersCISCSC4COBIT5APO12.04,APO12.05,APO13.02,BAI02.03,BAI04.02ISA62443-2-1:2009ISO/IEC27001:2013Clause6.1.3,Clause8.3,Clause9.3NISTSP800-53Rev.4PM-9ID.RM-2:OrganizationalrisktoleranceisdeterminedandclearlyexpressedCOBIT5APO12.06ISA62443-2-1:2009.5ISO/IEC27001:2013Clause6.1.3,Clause8.3NISTSP800-53Rev.4PM-9關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架FunctionCategorySubcategoryInformativeReferencesID.RM-3:Theorganization’sdeterminationofrisktoleranceisinformedbyitsroleincriticalinfrastructureandsectorspecificriskanalysisCOBIT5APO12.02ISO/IEC27001:2013Clause6.1.3,Clause8.3NISTSP800-53Rev.4SA-14,PM-8,PM-9,PM-11SupplyChainRiskManagement(ID.SC):Theorganization’spriorities,constraints,risktolerances,andassumptionsareestablishedandusedtosupportriskdecisionsassociatedwithmanagingsupplychainrisk.Theorganizationhasestablishedandimplementedtheprocessestoidentify,assessandmanagesupplychainrisks.ID.SC-1:Cybersupplychainriskmanagementprocessesareidentified,established,assessed,managed,andagreedtobyorganizationalstakeholdersCISCSC4COBIT5APO10.01,APO10.04,APO12.04,APO12.05,APO13.02,BAI01.03,BAI02.03,BAI04.02ISA62443-2-1:200ISO/IEC27001:2013A.15.1.1,A.15.1.2,A.15.1.3,A.15.2.1,A.15.2.2NISTSP800-53Rev.4SA-9,SA-12,PM-9ID.SC-2:Suppliersandthirdpartypartnersofinformationsystems,components,andservicesareidentified,prioritized,andassessedusingacybersupplychainriskassessmentprocessCOBIT5APO10.01,APO10.02,APO10.04,APO10.05,APO12.01,APO12.02,APO12.03,APO12.04,APO12.05,APO12.06,APO13.02,BAI02.03ISA62443-2-1:2009,,,,,,,0,2,3,4ISO/IEC27001:2013A.15.2.1,A.15.2.2NISTSP800-53Rev.4RA-2,RA-3,SA-12,SA-14,SA-15,PM-9ID.SC-3:Contractswithsuppliersandthird-partypartnersareusedtoimplementappropriatemeasuresdesignedtomeettheobjectivesofanorganization’scybersecurityprogramandCyberSupplyChainRiskManagementPlan.COBIT5APO10.01,APO10.02,APO10.03,APO10.04,APO10.05ISA62443-2-1:2009.4,.7ISO/IEC27001:2013A.15.1.1,A.15.1.2,A.15.1.3NISTSP800-53Rev.4SA-9,SA-11,SA-12,PM-9ID.SC-4:Suppliersandthird-partypartnersareroutinelyassessedusingaudits,testresults,orotherformsofevaluationstoconfirmtheyaremeetingtheircontractualobligations.COBIT5APO10.01,APO10.03,APO10.04,APO10.05,MEA01.01,MEA01.02,MEA01.03,MEA01.04,MEA01.05ISA62443-2-1:2009.7ISA62443-3-3:2013SR6.1ISO/IEC27001:2013A.15.2.1,A.15.2.2NISTSP800-53Rev.4AU-2,AU-6,AU-12,AU-16,PS-7,SA-9,SA-12ID.SC-5:Responseandrecoveryplanningandtestingareconductedwithsuppliersandthird-partyprovidersCISCSC19,20COBIT5DSS04.04ISA62443-2-1:2009.7,.11ISA62443-3-3:2013SR2.8,SR3.3,SR.6.1,SR7.3,SR7.4ISO/IEC27001:2013A.17.1.3NISTSP800-53Rev.4CP-2,CP-4,IR-3,IR-4,IR-6,IR-8,IR-9PROTECT(PR)IdentityManagement,AuthenticationandAccessControl(PR.AC):Accesstophysicalandlogicalassetsandassociatedfacilitiesislimitedtoauthorizedusers,processes,anddevices,andismanagedconsistentwiththeassessedriskofunauthorizedaccesstoauthorizedactivitiesandtransactions.PR.AC-1:Identitiesandcredentialsareissued,managed,verified,revoked,andauditedforauthorizeddevices,usersandprocessesCISCSC1,5,15,16COBIT5DSS05.04,DSS06.03ISA62443-2-1:2009.1ISA62443-3-3:2013SR1.1,SR1.2,SR1.3,SR1.4,SR1.5,SR1.7,SR1.8,SR1.9ISO/IEC27001:2013A.9.2.1,A.9.2.2,A.9.2.3,A.9.2.4,A.9.2.6,A.9.3.1,A.9.4.2,A.9.4.3NISTSP800-53Rev.4AC-1,AC-2,IA-1,IA-2,IA-3,IA-4,IA-5,IA-6,IA-7,IA-8,IA-9,IA-10,IA-11PR.AC-2:PhysicalaccesstoassetsismanagedandprotectedCOBIT5DSS01.04,DSS05.05ISA62443-2-1:2009.2,.8ISO/IEC27001:2013A.11.1.1,A.11.1.2,A.11.1.3,A.11.1.4,A.11.1.5,A.11.1.6,A.11.2.1,A.11.2.3,A.11.2.5,A.11.2.6,A.11.2.7,A.11.2.8NISTSP800-53Rev.4PE-2,PE-3,PE-4,PE-5,PE-6,PE-8PR.AC-3:RemoteaccessismanagedCISCSC12COBIT5APO13.01,DSS01.04,DSS05.03ISA62443-2-1:2009.6ISA62443-3-3:2013SR1.13,SR2.6ISO/IEC27001:2013A.6.2.1,A.6.2.2,A.11.2.6,A.13.1.1,A.13.2.1關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架FunctionCategorySubcategoryInformativeReferencesNISTSP800-53Rev.4AC-1,AC-17,AC-19,AC-20,SC-15PR.AC-4:Accesspermissionsandauthorizationsaremanaged,incorporatingtheprinciplesofleastprivilegeandseparationofdutiesCISCSC3,5,12,14,15,16,18COBIT5DSS05.04ISA62443-2-1:2009.3ISA62443-3-3:2013SR2.1ISO/IEC27001:2013A.6.1.2,A.9.1.2,A.9.2.3,A.9.4.1,A.9.4.4,A.9.4.5NISTSP800-53Rev.4AC-1,AC-2,AC-3,AC-5,AC-6,AC-14,AC-16,AC-24PR.AC-5:Networkintegrityisprotected(e.g.,networksegregation,networksegmentation)CISCSC9,14,15,18COBIT5DSS01.05,DSS05.02ISA62443-2-1:200ISA62443-3-3:2013SR3.1,SR3.8ISO/IEC27001:2013A.13.1.1,A.13.1.3,A.13.2.1,A.14.1.2,A.14.1.3NISTSP800-53Rev.4AC-4,AC-10,SC-7PR.AC-6:IdentitiesareproofedandboundtocredentialsandassertedininteractionsCISCSC,16COBIT5DSS05.04,DSS05.05,DSS05.07,DSS06.03ISA62443-2-1:2009.2,.2,.2,.4ISA62443-3-3:2013SR1.1,SR1.2,SR1.4,SR1.5,SR1.9,SR2.1ISO/IEC27001:2013,A.7.1.1,A.9.2.1NISTSP800-53Rev.4AC-1,AC-2,AC-3,AC-16,AC-19,AC-24,IA-1,IA-2,IA-4,IA-5,IA-8,PE-2,PS-3PR.AC-7:Users,devices,andotherassetsareauthenticated(e.g.,single-factor,multi-factor)commensuratewiththeriskofthetransaction(e.g.,individuals’securityandprivacyrisksandotherorganizationalrisks)CISCSC1,12,15,16COBIT5DSS05.04,DSS05.10,DSS06.10ISA62443-2-1:2009.1,.2,.3,.4,.5,.6,.7,.8,.9ISA62443-3-3:2013SR1.1,SR1.2,SR1.5,SR1.7,SR1.8,SR1.9,SR1.10ISO/IEC27001:2013A.9.2.1,A.9.2.4,A.9.3.1,A.9.4.2,A.9.4.3,A.18.1.4NISTSP800-53Rev.4AC-7,AC-8,AC-9,AC-11,AC-12,AC-14,IA-1,IA-2,IA-3,IA-4,IA-5,IA-8,IA-9,IA-10,IA-11AwarenessandTraining(PR.AT):Theorganization’spersonnelandpartnersareprovidedcybersecurityawarenesseducationandaretrainedtoperformtheircybersecurity-relateddutiesandresponsibilitiesconsistentwithrelatedpolicies,procedures,andagreements.PR.AT-1:AllusersareinformedandtrainedCISCSC17,18COBIT5APO07.03,BAI05.07ISA62443-2-1:2009.2ISO/IEC27001:2013A.7.2.2,A.12.2.1NISTSP800-53Rev.4AT-2,PM-13PR.AT-2:PrivilegedusersunderstandtheirrolesandresponsibilitiesCISCSC5,17,18COBIT5APO07.02,DSS05.04,DSS06.03ISA62443-2-1:2009.2,.3ISO/IEC27001:2013A.6.1.1,A.7.2.2NISTSP800-53Rev.4AT-3,PM-13PR.AT-3:Third-partystakeholders(e.g.,suppliers,customers,partners)understandtheirrolesandresponsibilitiesCISCSC17COBIT5APO07.03,APO07.06,APO10.04,APO10.05ISA62443-2-1:2009.2ISO/IEC27001:2013A.6.1.1,A.7.2.1,A.7.2.2NISTSP800-53Rev.4PS-7,SA-9,SA-16PR.AT-4:SeniorexecutivesunderstandtheirrolesandresponsibilitiesCISCSC17,19COBIT5EDM01.01,APO01.02,APO07.03ISA62443-2-1:2009.2ISO/IEC27001:2013A.6.1.1,A.7.2.2NISTSP800-53Rev.4AT-3,PM-13PR.AT-5:PhysicalandcybersecuritypersonnelunderstandtheirrolesandresponsibilitiesCISCSC17COBIT5APO07.03ISA62443-2-1:2009.2ISO/IEC27001:2013A.6.1.1,A.7.2.2關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架FunctionCategorySubcategoryInformativeReferencesNISTSP800-53Rev.4AT-3,IR-2,PM-13DataSecurity(PR.DS):Informationandrecords(data)aremanagedconsistentwiththeorganization’sriskstrategytoprotecttheconfidentiality,integrity,andavailabilityofinformation.PR.DS-1:Data-at-restisprotectedCISCSC13,14COBIT5APO01.06,BAI02.01,BAI06.01,DSS04.07,DSS05.03,DSS06.06ISA62443-3-3:2013SR3.4,SR4.1ISO/IEC27001:2013A.8.2.3NISTSP800-53Rev.4MP-8,SC-12,SC-28PR.DS-2:Data-in-transitisprotectedCISCSC13,14COBIT5APO01.06,DSS05.02,DSS06.06ISA62443-3-3:2013SR3.1,SR3.8,SR4.1,SR4.2ISO/IEC27001:2013A.8.2.3,A.13.1.1,A.13.2.1,A.13.2.3,A.14.1.2,A.14.1.3NISTSP800-53Rev.4SC-8,SC-11,SC-12PR.DS-3:Assetsareformallymanagedthroughoutremoval,transfers,anddispositionCISCSC1COBIT5BAI09.03ISA62443-2-1:2009.9,.1ISA62443-3-3:2013SR4.2ISO/IEC27001:2013A.8.2.3,A.8.3.1,A.8.3.2,A.8.3.3,A.11.2.5,A.11.2.7NISTSP800-53Rev.4CM-8,MP-6,PE-16PR.DS-4:AdequatecapacitytoensureavailabilityismaintainedCISCSC1,2,13COBIT5APO13.01,BAI04.04ISA62443-3-3:2013SR7.1,SR7.2ISO/IEC27001:2013A.12.1.3,A.17.2.1NISTSP800-53Rev.4AU-4,CP-2,SC-5PR.DS-5:ProtectionsagainstdataleaksareimplementedCISCSC13COBIT5APO01.06,DSS05.04,DSS05.07,DSS06.02ISA62443-3-3:2013SR5.2ISO/IEC27001:2013A.6.1.2,A.7.1.1,A.7.1.2,A.7.3.1,A.8.2.2,A.8.2.3,A.9.1.1,A.9.1.2,A.9.2.3,A.9.4.1,A.9.4.4,A.9.4.5,A.10.1.1,A.11.1.4,A.11.1.5,A.11.2.1,A.13.1.1,A.13.1.3,A.13.2.1,A.13.2.3,A.13.2.4,A.14.1.2,A.14.1.3NISTSP800-53Rev.4AC-4,AC-5,AC-6,PE-19,PS-3,PS-6,SC-7,SC-8,SC-13,SC-31,SI-4PR.DS-6:Integritycheckingmechanismsareusedtoverifysoftware,firmware,andinformationintegrityCISCSC2,3COBIT5APO01.06,BAI06.01,DSS06.02ISA62443-3-3:2013SR3.1,SR3.3,SR3.4,SR3.8ISO/IEC27001:2013A.12.2.1,A.12.5.1,A.14.1.2,A.14.1.3,A.14.2.4NISTSP800-53Rev.4SC-16,SI-7PR.DS-7:Thedevelopmentandtestingenvironment(s)areseparatefromtheproductionenvironmentCISCSC18,20COBIT5BAI03.08,BAI07.04ISO/IEC27001:2013A.12.1.4NISTSP800-53Rev.4CM-2PR.DS-8:IntegritycheckingmechanismsareusedtoverifyhardwareintegrityCOBIT5BAI03.05ISA62443-2-1:2009.4ISO/IEC27001:2013A.11.2.4NISTSP800-53Rev.4SA-10,SI-7InformationProtectionProcessesandProcedures(PR.IP):Securitypolicies(thataddresspurpose,scope,roles,responsibilities,managementcommitment,andcoordinationamongorganizationalentities),processes,andproceduresaremaintainedandusedtomanageprotectionofinformationsystemsandassets.PR.IP-1:Abaselineconfigurationofinformationtechnology/industrialcontrolsystemsiscreatedandmaintainedincorporatingsecurityprinciples(e.g.conceptofleastfunctionality)CISCSC3,9,11COBIT5BAI10.01,BAI10.02,BAI10.03,BAI10.05ISA62443-2-1:2009.2,.3ISA62443-3-3:2013SR7.6ISO/IEC27001:2013A.12.1.2,A.12.5.1,A.12.6.2,A.14.2.2,A.14.2.3,A.14.2.4NISTSP800-53Rev.4CM-2,CM-3,CM-4,CM-5,CM-6,CM-7,CM-9,SA-10PR.IP-2:ASystemDevelopmentLifeCycletomanagesystemsisimplementedCISCSC18COBIT5APO13.01,BAI03.01,BAI03.02,BAI03.03ISA62443-2-1:2009.3關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架FunctionCategorySubcategoryInformativeReferencesISO/IEC27001:2013A.6.1.5,A.14.1.1,A.14.2.1,A.14.2.5NISTSP800-53Rev.4PL-8,SA-3,SA-4,SA-8,SA-10,SA-11,SA-12,SA-15,SA-17,SI-12,SI-13,SI-14,SI-16,SI-17PR.IP-3:ConfigurationchangecontrolprocessesareinplaceCISCSC3,11COBIT5BAI01.06,BAI06.01ISA62443-2-1:2009.2,.3ISA62443-3-3:2013SR7.6ISO/IEC27001:2013A.12.1.2,A.12.5.1,A.12.6.2,A.14.2.2,A.14.2.3,A.14.2.4NISTSP800-53Rev.4CM-3,CM-4,SA-10PR.IP-4:Backupsofinformationareconducted,maintained,andtestedCISCSC10COBIT5APO13.01,DSS01.01,D