【正文】 ISO/IEC 27001:2013 , , , , ISO/IEC 27001:2013 , , , , CCS CSC 14 COBIT 5 COBIT 5 ISO/IEC 27001:2013 , , ISO/IEC 27001:2013 ISO/IEC 27001:2013 , ,Disaster Recovery) are in place andmanaged ISO/IEC 27001:2013 COBIT 5 , ISA 6244321:2009 ISA 6244321:2009 , , the physical operating environment for ISA 6244333:2013 SR , SR ISO/IEC 27001:2013 , , , , 10, SA11, SA12, SA15, SA17, PL8: Configuration change control COBIT 5 protection of information systemsand assets. ISA 6244321:2009 , ISO/IEC 27001:2013 ISA 6244333:2013 SR , SR , SR ,SR COBIT 5 ISA 6244333:2013 SR , SR ISA 6244333:2013 SR ISO/IEC 27001:2013 , , , , , NIST SP 80053 Rev. 4 SC28: Dataintransit is protected CCS CSC 17 COBIT 5 ISO/IEC 27001:2013 , , responsibilities COBIT 5 , , ISO/IEC 27001:2013 , responsibilities COBIT 5 , ISA 6244333:2013 SR , SR ISA 6244333:2013 SR ISO/IEC 27001:2013 , ,FunctionCategorySubcategoryInformative References5, PE6, PE9: Remote access is managedCOBIT 5 , is limited to authorized users, processes, or devices, and toISA 6244321:2009 NIST SP 80053 Rev. 4 PM9: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis ISA 6244321:2009 NIST SP 80053 Rev. 4 RA2, RA3, PM16: Risk responses are identified and ISA 6244321:2009 , , COBIT 5 , , , NIST SP 80053 Rev. 4 CA2, CA7, CA8,RA3, RA5, SA5, SA11, SI2, SI4, SI5: Threat and vulnerability information is received from information sharing forums and sources CCS CSC 4 NIST SP 80053 Rev. 4 1 controls from all families (except PM1): Governance and risk management processes address cybersecurity risks NIST SP 80053 Rev. 4 PM1, PS7: Legal and regulatory requirements regarding cybersecurity, responsibilities are coordinated and aligned with internal roles and external partners COBIT 5 , , NIST SP 80053 Rev. 4 CP8, PE9, PE11, PM8, SA14management decisions.: Resilience requirements to support delivery of critical services are established ISA 6244321:2009 , NIST SP 80053 Rev. 4 CP2, SA12: The organization’s place in critical infrastructure and its industry sector is identified and municated ISO/IEC 27001:2013 FunctionCategorySubcategoryInformative References ISO/IEC 27001:2013 ISO/IEC 27001:2013 ISA 6244321:2009 ISO/IEC 27001:2013 , CCS CSC 2 ISA 6244321:2009 有關(guān)框架的其他證明材料可在NIST網(wǎng)站上的。為便于使用，該框架核心的每個組件被賦予一個唯一的標識符。個人信息被認為是評估安全風險和保護時，在分類中引用的數(shù)據(jù)或資產(chǎn)的一個組成部分。本附錄中給出的框架核心代表一組通用的管理網(wǎng)絡安全風險的活動。個人同意和補救措施的使用在網(wǎng)絡安全活動的個人信息而產(chǎn)生的不利影響。政府的政府和代理商有直接的責任，以保護網(wǎng)絡安全的活動所產(chǎn)生的公民自由。技術(shù)保密標準，準則和其他最佳做法可能需要開發(fā)支持改進的技術(shù)實現(xiàn)。為了滿足這一需求，該組織可能會與技術(shù)帶頭人和/或標準組織起草，制定，協(xié)調(diào)標準，準則或慣例進行合作。 ?一個重要的基礎(chǔ)設(shè)施所有者/經(jīng)營者，在確定對其中的基礎(chǔ)設(shè)施依賴外部合作伙伴，可以使用目標配置文件來傳達所需的類別和子類別。組織也可以利用這個過程來自己理想的框架實現(xiàn)層調(diào)整其網(wǎng)絡安全計劃。為進一步指導，框架識別有關(guān)類別和子類別的例子參考性文獻，但組織應確定哪些標準，準則和做法，包括那些特定行業(yè)，最適合他們的需要。以這種方式使用配置文件使組織能夠做出有關(guān)網(wǎng)絡安全的活動明智的決定，支持風險管理，使組織能夠進行具有成本效益的，有針對性的改進。第6步：確定，分析和優(yōu)先差距。第5步：創(chuàng)建目標配置文件。第4步：進行風險評估。一旦網(wǎng)絡安全方案的范圍已確定為業(yè)務線或過程，組織確定了相關(guān)制度和資產(chǎn)，監(jiān)管要求和整體風險的方法。該組織確定其業(yè)務/任務目標和高層次的組織優(yōu)先事項。該框架還可以幫助企業(yè)回答的基本問題，包括“是怎樣的呢？ ”然后，他們可以在一個更明智的方式來加強其網(wǎng)絡安全的做法認為有必要在何時何地移動。該組織可以利用這些信息來制定一項行動計劃，以加強現(xiàn)有的網(wǎng)絡安全實踐，并降低網(wǎng)絡安全風險。 基本審查網(wǎng)絡安全實踐該框架可用于與本框架的核心概括比較組織當前網(wǎng)絡安全的活動。它可以作為一個新的網(wǎng)絡安全方案或機制以改善現(xiàn)有程序的基礎(chǔ)。Figure 2: Notional Information and Decision Flows within an Organization一個組織可以使用該框架作為其系統(tǒng)的過程的一個關(guān)鍵部分進行識別，評估和管理網(wǎng)絡安全風險。業(yè)務/流程層面使用信息作為輸入到風險管理過程，然后與合作的實施/運營級通信業(yè)務需求，并創(chuàng)建一個配置文件。一項行動計劃，以解決這些差距可以促進上述路線圖。目標資料表明以實現(xiàn)所需的網(wǎng)絡安全風險管理目標所需要的結(jié)果。一個側(cè)影使組織能夠建立一個路線圖，降低網(wǎng)絡安全風險，是很好用的組織和部門的目標一致，認為法律/法規(guī)要求和行業(yè)最佳實踐，并體現(xiàn)了風險管理的優(yōu)先事項。?集成的風險管理計劃 有一個組織范圍內(nèi)的方法來管理使用風險告知政策，流程和程序，以解決潛在的網(wǎng)絡安全事件的網(wǎng)絡安全風險。人員具備的知識和技能，以履行其指定的角色和責任。組織網(wǎng)絡安全的做法是定期更新的基礎(chǔ)上的風險管理程序的應用，以改變業(yè)務/任務要求和不斷變化的威脅和技術(shù)的景觀。風險告知，管理層批準的過程和程序都定義和實現(xiàn)，以及工作人員有足夠的資源來履行其網(wǎng)絡安全的職責。?外部參與 一個組織可能沒有到位的過程中參與的協(xié)調(diào)或協(xié)作與其他實體。網(wǎng)絡安全的活動的優(yōu)先順序，不得直接告知組織風險的目標，威脅環(huán)境，或業(yè)務/任務需求。雖然組織認定為一級（部分）鼓勵將考慮轉(zhuǎn)向方法2或更大，層級并不代表成熟度級別。風險管理的考慮因素包括網(wǎng)絡安全的許多方面，包括其隱私和公民自由方面的考慮都融入的網(wǎng)絡安全風險和潛在的風險應對組織的管理程度。改進。和改進。 ?響應 制定并實施適當?shù)幕顒?，以采取有關(guān)檢測到的網(wǎng)絡安全事件的行動。 該檢測功能能夠及時發(fā)現(xiàn)網(wǎng)絡安全事件。和保護技術(shù)。了解業(yè)務環(huán)境，支持關(guān)鍵職能的資源，以及相關(guān)的網(wǎng)絡安全風險，使組織能夠集中和優(yōu)先努力，憑借其風險管理策略和業(yè)務需求保持一致。五個框架核心功能定義如下。子類別的例子包括： “外部信息系統(tǒng)進行編目”，“數(shù)據(jù)的靜止是被保護的”，和“從檢測系統(tǒng)通知進行了研究。類別的例子包括“資產(chǎn)管理”，“訪問控制”和“檢測過程。該功能還配合現(xiàn)有方法的事件管理和幫助表示投資的網(wǎng)絡安全帶來的影響。核心包括四個要素：功能，類別，子類別，并參考性文獻，如圖1所示：Figure 1: Framework Core Structure該框架的核心元素結(jié)合在一起的工作方式如下：不同類型的實體 包括部門的協(xié)調(diào)機構(gòu)，協(xié)會和組織 可以使用框架為不同的目的，包括建立共同的配置文件中。3 International Organization for Standardization, Risk management – Principles and guidelines, ISO 31000:2009, 2009. 4 International Organization for Standardization/International Electrotechnical Commission, Information technology – Security techniques – Information security risk management, ISO/IEC 27005:2011, 2011.5 Joint Task Force Transformation Initiative, Managing Information Security Risk: Organization, Mission, and Information System View, NIST Special Publication 80039, March 2011. 6 . Department of Energy, Electricity Subsector Cybersecurity Risk Management Process, DOE/OE0003, May 2012. 173。 因此，該框架使企業(yè)能夠動態(tài)地選擇和網(wǎng)絡安全風險管理為IT和ICS的環(huán)境中直接改善的能力該框架是自適應，提供一個靈活的，基于風險的實現(xiàn)，它可以與網(wǎng)絡安全風險管理過程的一系列廣泛使用。風險管理計劃的實施提供了組織量化和溝通調(diào)整其網(wǎng)絡安全計劃的能力。 風險管理換貨和網(wǎng)絡安全工作框架風險管理是識別，評估和應對風險的持續(xù)過程。配置文件可用于通過比較“當前”個人資料以確定改進網(wǎng)絡安全姿勢的機會（在“按原樣”狀態(tài)）與“目標”個人資料（在“是”的狀態(tài)） 。在第一級選擇過程中，組織應考慮其目前的風險管理措施，威脅環(huán)境，法律和監(jiān)管規(guī)定，業(yè)務/任務目標和組織約束。 ?框架實施層級（ “層” ）提供上下文對一個組織如何觀看網(wǎng)絡安全風險，并在適當?shù)某绦騺砉芾盹L險。該框架的核心是由五個并發(fā)和連續(xù)函數(shù)，確定，保護，檢測，響應，恢復的。下面這些部件進行說明。正如框架不是特定行業(yè)，標準，準則和慣例的通用分類法，它也提供了不特定國家。5 ）溝通有關(guān)網(wǎng)絡安全風險的內(nèi)部和外部利益相關(guān)者之間。從這些標準，準則和慣例建立，框架提供了常用的分類和機制組織：1 ）形容自己目前網(wǎng)絡安全的姿勢。該框架依賴于各種現(xiàn)有的標準，準則和措施，使關(guān)鍵基礎(chǔ)設(shè)施供應商，實現(xiàn)彈性。許多組織已經(jīng)有了解決隱私和公民自由的過程。例如， ICS和ICS的操作產(chǎn)生的數(shù)據(jù)越來越多地用于提供關(guān)鍵的服務和支持業(yè)務決策，一個網(wǎng)絡安全事件對組織業(yè)務的潛在影響，資產(chǎn)，健康和個人安全和環(huán)境，應考慮。 “由于來自外部和內(nèi)部的威脅越來越大的壓力，負責關(guān)鍵基礎(chǔ)設(shè)施的組織需要有一個一致的，迭代的方法來識別，評估和管理網(wǎng)絡安全風險。 框架簡介美國的國家安全和經(jīng)濟安全取決于關(guān)鍵基礎(chǔ)設(shè)施的可靠運作的。該框架是一個活的文件，并會繼續(xù)進行更新和改善，產(chǎn)業(yè)提供了執(zhí)行的