【文章內(nèi)容簡介】 安全需求與利益相關者該框架提供了一個共同的語言進行溝通負責必不可少的關鍵基礎設施服務的提供相互依存的利益相關者的要求。實例包括： ?一個組織可能利用目標配置文件來表達網(wǎng)絡安全風險管理要求，外部服務提供商（例如，一個云提供商它所導出的數(shù)據(jù)）。 ?一個組織可以通過當前的配置文件表示其網(wǎng)絡安全狀態(tài)報告結果或與收購的要求進行比較。 ?一個重要的基礎設施所有者/經(jīng)營者，在確定對其中的基礎設施依賴外部合作伙伴，可以使用目標配置文件來傳達所需的類別和子類別。 ?一個重要的基礎設施部門可以設立一個目標配置文件，可以使用它的成分中作為一個初始基線資料，以建立自己的定制目標配置文件。 確定新的機遇或修訂的規(guī)范性參考文獻該框架可用于識別新的或修訂的標準，準則或慣例在附加參考性文獻，將有助于企業(yè)滿足新的需求機會。實現(xiàn)給定的子類別，或開發(fā)新的子類別的組織，可能會發(fā)現(xiàn)，有一些參考性文獻，如果有的話，對于相關的活動。為了滿足這一需求，該組織可能會與技術帶頭人和/或標準組織起草，制定，協(xié)調(diào)標準，準則或慣例進行合作。 方法來保護隱私和公民自由本節(jié)介紹了所要求的行政命令來解決個人隱私和公民自由的影響，可能導致網(wǎng)絡安全業(yè)務的一種方法。這種方法的目的是因為隱私和公民自由的影響可能會有所不同部門或隨著時間的推移和組織可以解決這些方面的考慮和流程，一系列的技術實現(xiàn)一般設置注意事項和流程。然而，在一個網(wǎng)絡安全方案并非所有的活動，可能這些因素引起。，技術保密標準，準則和其他最佳做法可能需要開發(fā)支持改進的技術實現(xiàn)。當個人信息的使用，收集，處理，保存，或與一個組織的網(wǎng)絡安全活動有關的披露可能出現(xiàn)的隱私和公民自由問題。那熊隱私或公民自由方面的考慮活動的一些例子可能包括：網(wǎng)絡安全的活動，導致過度采集或過度保留的個人信息。披露無關的網(wǎng)絡安全活動的個人信息或使用，這導致拒絕網(wǎng)絡安全減災活動服務或其他類似的潛在的不利影響，包括活動，如某些類型的事件檢測或監(jiān)測可能影響言論或結社的自由。政府的政府和代理商有直接的責任，以保護網(wǎng)絡安全的活動所產(chǎn)生的公民自由。參考下文的方法，政府或擁有或經(jīng)營的關鍵基礎設施，政府的代理人應該有一個過程，以支持遵守適用的隱私法律，法規(guī)和憲法要求網(wǎng)絡安全的活動。為了解決隱私問題，企業(yè)可以考慮怎么樣，而該等措施是適當?shù)?，他們的網(wǎng)絡安全程序可能包含隱私原則，例如：盡量減少數(shù)據(jù)的收集，披露和保留相關的網(wǎng)絡安全事件的個人信息資料的。使用限制對專門針對網(wǎng)絡安全的活動收集的任何信息網(wǎng)絡安全的活動外，對某些網(wǎng)絡安全的活動的透明度。個人同意和補救措施的使用在網(wǎng)絡安全活動的個人信息而產(chǎn)生的不利影響。數(shù)據(jù)質(zhì)量，完整性和安全性，以及問責制和審計。隨著組織評估框架核心附錄A中，下列過程和活動可被視為一種手段，以解決上面提到的隱私和公民自由的含義：的網(wǎng)絡安全風險治理?網(wǎng)絡安全的風險的一個組織的評估和潛在的風險應對措施考慮其網(wǎng)絡安全計劃的隱私問題?個人與網(wǎng)絡安全相關的隱私責任報告適當?shù)墓芾砗拖鄳嘤?過程是否到位，以支持遵守適用的隱私法律，法規(guī)和憲法規(guī)定的網(wǎng)絡安全活動?過程是否到位，以評估實施上述組織措施和控制途徑識別和授權的個人訪問組織資產(chǎn)和系統(tǒng)?采取措施以識別和解決訪問控制措施的隱私問題的范圍內(nèi)，它們涉及個人信息的收集，披露，使用或意識和培訓措施?從組織的隱私政策適用的信息包含在網(wǎng)絡安全工作人員的培訓和宣傳活動?服務提供商為組織提供網(wǎng)絡安全相關的服務都被告知該組織的適用的隱私政策異?；顒拥臋z測以及系統(tǒng)和資產(chǎn)監(jiān)控?過程是否到位進行組織的異常活動的檢測和網(wǎng)絡安全監(jiān)控的隱私審查應對活動，包括信息共享或其他減災工作?過程是否到位，評估和應對是否，何時，如何，以及在何種程度上的個人信息在組織外部共享作為網(wǎng)絡安全信息共享活動的一部分?過程是否到位進行組織的網(wǎng)絡安全減災努力的隱私審查附錄A：核心框架本附錄介紹了核心框架：功能，類別，子類別，以及描述具體的網(wǎng)絡安全活動，是通用的所有關鍵基礎設施部門參考性文獻的列表。為框架核心所選擇的演示文稿格式不提出一個具體的實施順序或暗示的學位類別，子類別，并參考性文獻的重要性。本附錄中給出的框架核心代表一組通用的管理網(wǎng)絡安全風險的活動。而框架并不詳盡，它是可擴展的，允許組織，部門和其他實體使用子類別和參考性文獻是成本效益和效率，使他們能夠管理自己的網(wǎng)絡安全風險?；顒涌梢詮暮诵目蚣茉谂渲梦募?chuàng)建過程中選擇和額外的類別，子類別，并參考性文獻可以被添加到配置文件。一個組織的風險管理流程，法律/監(jiān)管規(guī)定，業(yè)務/任務目標，并組織約束引導配置文件創(chuàng)建在這些活動的選擇。個人信息被認為是評估安全風險和保護時，在分類中引用的數(shù)據(jù)或資產(chǎn)的一個組成部分。而在功能方面，分類和子類別確定的預期結果是相同的IT和ICS的，因為它的作戰(zhàn)環(huán)境和注意事項和ICS不同。 ICS對現(xiàn)實世界中的直接作用，包括對健康和個人安全的潛在風險，以及對環(huán)境的影響。此外， ICS與它比較獨特的性能和可靠性要求，以及安全和效率的目標必須實現(xiàn)網(wǎng)絡安全的措施時，必須考慮。為便于使用，該框架核心的每個組件被賦予一個唯一的標識符。功能和類別都有一個唯一字母標識符，如表1所示。每個類別??內(nèi)的子類別進行了數(shù)值引用。每個子類別的唯一標識符被包括在表2中。有關框架的其他證明材料可在NIST網(wǎng)站上的。Table 1: Function and Category Unique IdentifiersFunction Unique IdentifierFunctionCategory Unique IdentifierCategoryIDIdentifyAsset ManagementBusiness EnvironmentGovernanceRisk AssessmentRisk Management StrategyPRProtectAccess ControlAwareness and TrainingData SecurityInformation Protection Processes and ProceduresMaintenanceProtective TechnologyDEDetectAnomalies and EventsSecurity Continuous MonitoringDetection ProcessesRSRespondResponse PlanningCommunicationsAnalysisMitigationImprovementsRCRecoverRecovery PlanningImprovementsCommunications表2：框架核心FunctionCategorySubcategoryInformative ReferencesIDENTIFY(ID)Asset Management (): The data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to business objectives and the organization’s risk strategy.: Physical devices and systems within the organization are inventoried CCS CSC 1 COBIT 5 , ISA 6244321:2009 ISA 6244333:2013 SR ISO/IEC 27001:2013 , NIST SP 80053 Rev. 4 CM8: Software platforms and applications within the organization are inventoried CCS CSC 2 COBIT 5 , , ISA 6244321:2009 ISA 6244333:2013 SR ISO/IEC 27001:2013 , NIST SP 80053 Rev. 4 CM8: Organizational munication and data flows are mapped CCS CSC 1 COBIT 5 ISA 6244321:2009 ISO/IEC 27001:2013 NIST SP 80053 Rev. 4 AC4, CA3, CA9, PL8: External information systems are catalogued COBIT 5 ISO/IEC 27001:2013 NIST SP 80053 Rev. 4 AC20, SA9: Resources (., hardware, devices, data, and software) are prioritized based on their classification, criticality, and business value COBIT 5 , , ISA 6244321:2009 ISO/IEC 27001:2013 NIST SP 80053 Rev. 4 CP2, RA2, SA14: Cybersecurity roles and responsibilities for the entire workforce and thirdparty stakeholders (., suppliers, customers, partners) are established COBIT 5 , ISA 6244321:2009 ISO/IEC 27001:2013 FunctionCategorySubcategoryInformative ReferencesNIST SP 80053 Rev. 4 CP2, PS7, PM11Business Environment ():: The organization’s role in theCOBIT 5 , , , supply chain is identified andISO/IEC 27001:2013 , ,municatedNIST SP 80053 Rev. 4 CP2, SA12: The organization’s place in critical infrastructure and its industry sector is identified and municated COBIT 5 , NIST SP 80053 Rev. 4 PM8The organization’s mission,objectives, stakeholders, and: Priorities for organizational mission, objectives, and activities are established and municated COBIT 5 , , ISA 6244321:2009 , NIST SP 80053 Rev. 4 PM11, SA14activities are understood andprioritized。 this information isused to inform cybersecurityroles, responsibilities, and risk: Dependencies and critical functions for delivery of critical services are established ISO/IEC 27001:2013 , , NIST SP 80053 Rev. 4 CP8, PE9, PE11, PM8, SA14management decisions.: Resilience requirements to support delivery of critical services are established COBIT 5 ISO/IEC 27001:2013 , , , NIST SP 80053 Rev. 4 CP2, CP11, SA14Governance (): The policies, procedures, and processes to manage and monitor the organization’s regulatory, legal, risk, environmental, and operational requirements are understood and inform the management