网络安全框架2.0版之改善网络安全风险沟通和集成

admin 2024年4月9日17:07:16评论9 views字数 5361阅读17分52秒阅读模式

改善网络安全风险沟通和集成

CSF 的使用将根据组织的独特使命和风险而有所不同。通过了解利益相关者的期望以及风险偏好和容忍度(如 GOVERN 中所述),组织可以优先考虑网络安全活动,以便就网络安全支出和行动做出明智的决策。组织可以选择以一种或多种方式处理风险,包括减轻、转移、避免或接受负面风险,以及实现、分担、增强或接受正面风险,具体取决于潜在影响和可能性。重要的是,组织既可以在内部使用 CSF 来管理其网络安全能力,也可以在外部监督或与第三方沟通。

无论 CSF 的使用方式如何,组织都可以从使用 CSF 作为指导中受益,以帮助其了解、评估、确定优先级和沟通网络安全风险以及管理这些风险的行动。选定的成果可用于关注和实施战略决策,以改善网络安全态势并保持任务基本职能的连续性,同时考虑优先事项和可用资源。

改善风险管理沟通

CSF 为改善有关网络安全期望、规划和资源的沟通提供了基础。CSF 促进了专注于组织优先事项和战略方向的高管与管理可能影响这些优先事项实现的特定网络安全风险的经理之间的双向信息流(如图 5 的上半部分所示)。CSF 还支持管理人员与实施和操作技术的从业人员之间的类似流程(如图 5 的下半部分所示)。图的左侧表示从业者与经理和高管分享他们的最新情况、见解和关注点的重要性。

网络安全框架2.0版之改善网络安全风险沟通和集成

5.使用 CSF 改善风险管理沟通

准备创建和使用组织配置文件涉及从高管那里收集有关组织优先级、资源和风险方向的信息。然后,经理与从业人员合作,沟通业务需求并创建风险知情的组织概况。管理人员和从业人员将采取行动,以弥合当前概况和目标概况之间查明的任何差距,并将为系统一级的计划提供关键投入。当目标状态在整个组织内实现时(包括通过在系统级别应用的控制和监控),更新的结果可以通过风险登记册和进度报告共享。作为持续评估的一部分,管理人员可以获得洞察力,以便进行调整,从而进一步减少潜在危害并增加潜在收益。

GOVERN职能支持组织与高管的风险沟通。高管们的讨论涉及战略,特别是与网络安全相关的不确定性如何影响组织目标的实现。这些治理讨论支持关于风险管理策略(包括网络安全供应链风险)的对话和协议;角色、责任和权限;政策;和监督。当高管根据这些需求确定网络安全优先事项和目标时,他们会传达对风险偏好、问责制和资源的期望。高管还负责将网络安全风险管理与 ERM 计划和较低级别的风险管理计划相结合(参见 Sec. 5.2)。图 5 上半部分反映的沟通  可以包括对 ERM 和较低级别计划的考虑,从而为管理人员和从业人员提供信息。

高管设定的总体网络安全目标由经理告知并级联给 经理。在商业实体中,这些可能适用于业务线或运营部门。对于政府实体,这些可能是部门或分支机构级别的考虑因素。在实施 CSF 时,管理人员将重点关注如何通过共同服务、控制和协作来实现风险目标,如目标概况中所表达的那样,并通过行动计划中跟踪的行动(例如,风险登记册、风险详细信息报告、POA&M)进行改进。

从业人员 专注于实施目标状态和衡量运营风险的变化,以帮助规划、执行和监控特定的网络安全活动。当实施控制以将风险管理在可接受的水平时,从业人员为经理和高管提供他们需要的信息(例如,关键绩效指标、关键风险指标),以了解组织的网络安全态势,做出明智的决策,并相应地维护或调整风险策略。高管还可以将这些网络安全风险数据与整个组织中有关其他类型的风险的信息相结合。随着周期的重复,对期望和优先级的更新包含在更新的组织配置文件中。

 改善与其他风险管理计划的集成

每个组织都面临着多种类型的ICT风险(例如,隐私、供应链、人工智能),并且可能使用特定于每种风险的框架和管理工具。一些组织通过使用企业风险管理,在高层次上整合了信息和通信技术与所有其他风险管理工作,而另一些组织则将工作分开,以确保对每项工作给予足够的重视。就其性质而言,小型组织可能会在企业一级监控风险,而大型公司可能会在企业风险管理中保持单独的风险管理工作。

组织可以采用 ERM 方法来平衡 包括网络安全在内的一系列风险考虑因素,并做出明智的决策。高管们在将治理和风险战略与以前使用 CSF 的结果相结合时,会收到有关当前和计划风险活动的大量信息。CSF 帮助组织将其网络安全和网络安全风险管理术语翻译成高管能够理解的通用风险管理语言。

描述网络安全风险管理与ERM之间相互关系的NIST资源包括:

  • NIST 网络安全框架 2.0–EnterpriseRiskManagementQuick-Start Guide

  • NIST机构间报告(IR)8286,Integrating Cybersecurity and Enterprise RiskManagement(ERM)

  • IR8286A,IdentifyingandEstimatingCybersecurityRiskforEnterpriseRiskManagement

  • IR8286B,PrioritizingCybersecurityRiskforEnterpriseRiskManagement

  • IR8286C,StagingCybersecurityRisksforEnterpriseRiskManagementandGovernanceOversight

  • IR8286D,UsingBusinessImpact AnalysistoInformRiskPrioritizationandResponse

  • SP800-221,EnterpriseImpactofInformationandCommunicationsTechnologyRisk:GoverningandManagingICT RiskPrograms WithinanEnterprise RiskPortfolio

  • SP800-221A,InformationandCommunicationsTechnology(ICT)RiskOutcomes:IntegratingICT RiskManagementProgramswiththeEnterpriseRiskPortfolio

组织还可能发现 CSF有利于将网络安全风险管理与单个 ICT风险管理计划相结合,例如:
  • 网络安全风险管理和评估:CSF 可以与已建立的网络安全风险管理和评估计划集成,例如SP 800-37, Risk Management Framework for Information Systems and Organizations, SP800-30, Guide for Conducting Risk Assessments来自 NIST 风险管理框架 (RMF)。对于使用the NIST RMF and its suite of publications,CSF 可用于补充 RMF 从以下位置选择和优先排序对照的方法 SP 800-53, Security and Privacy Controls for Information Systems andOrganizations.

  • 隐私风险:虽然网络安全和隐私是独立的学科,但在某些情况下,它们的目标会重叠,如图 6 所示

  • 网络安全框架2.0版之改善网络安全风险沟通和集成

6.网络安全与隐私风险关系

网络安全风险管理对于解决与个人数据的机密性、完整性和可用性损失相关的隐私风险至关重要。例如,数据泄露可能导致身份盗用。但是,隐私风险也可能通过与网络安全事件无关的方式产生。

组织处理数据以实现任务或业务目的,这有时会导致 隐私事件 ,个人可能会因数据处理而遇到问题。这些问题可以用多种方式表达,但NIST将其描述为从尊严类型的影响(例如,尴尬或耻辱)到更明显的伤害(例如,歧视,经济损失或身体伤害)。NIST隐私框架 和网络安全框架可以一起使用,以解决网络安全和隐私风险的不同方面。此外,NIST 的 隐私风险评估方法 (PRAM) 有一个用于隐私风险评估的示例问题目录。

供应链风险:组织可以使用CSF来促进网络安全风险监督以及与供应链利益相关者的沟通。所有类型的技术都依赖于一个复杂的、全球分布的、广泛且相互关联的供应链生态系统,这些生态系统具有地理上不同的路线和多层次的外包。该生态系统由公共和私营部门实体(例如,收购方、供应商、开发商、系统集成商、外部系统服务提供商和其他与技术相关的服务提供商)组成,这些实体进行交互以研究、开发、设计、制造、获取、交付、集成、运营、维护、处置以及以其他方式利用或管理技术产品和服务。这些互动受到技术、法律、政策、程序和实践的影响。

鉴于该生态系统中复杂且相互关联的关系,供应链风险管理 (SCRM) 对组织至关重要。网络安全 SCRM(C-SCRM) 是一个系统流程,用于管理整个供应链中的网络安全风险敞口,并制定适当的响应策略、政策、流程和程序。CSF C-SCRM 类别中的子类别 [GV.SC] 在纯粹关注网络安全的结果和关注 C-SCRM 的结果之间建立了联系。SP 800-161r1(修订版 1),系统和组织的 网络安全供应链风险管理实践,提供了有关 C-SCRM 的深入信息。

新兴技术带来的风险:随着新技术和技术的新应用的出现,新的风险变得清晰起来。一个当代的例子是人工智能 (AI),它存在网络安全和隐私风险,以及许多其他类型的风险。NIST人工智能风险管理框架(AIRMF) 旨在帮助解决这些风险。将人工智能风险与其他企业风险(例如财务、网络安全、声誉和隐私)一起处理,将产生更加综合的结果和组织效率。网络安全和隐私风险管理注意事项和方法适用于人工智能系统的设计、开发、部署、评估和使用。AI RMF核心使用函数、类别和子类别来描述AI结果并帮助管理与AI相关的风险。

—END—

网络安全框架2.0版之改善网络安全风险沟通和集成

精彩回顾:祺印说信安2024之前
230个网络和数据安全相关法律法规规范文件打包下载
2023年收集标准合集下载
收集信通院白皮书系列合集(618个)下载
美国网络安全机构更新了DDoS缓解指南
CISA发布桌面演习包:水坝部门-水电设施
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
等级保护网络架构安全要求与网络分段的7个安全优点
网络安全等级保护相关知识汇总
等级保护测评之安全物理环境测评PPT
>>>数据安全系列<<<
数据安全管理从哪里开始
数据安全知识:数据安全策略规划
数据安全知识:数据库安全重要性
数据安全知识:数据整理与数据清理
>>>错与罚<<<
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
严厉打击网络谣言!商丘警方公布4起典型案例
新乡网安依法查处3起不履行网络安全保护义务案
侮辱南阳火灾遇难学生的“谯城芳芳姐”获十日行政拘留
宁夏网警公布5起打击谣言典型案例
吉林警方公布3起、湖北公安公布5起打击谣言典型案例
安徽警方依法打击整治网络谣言10起典型案例
2023年度国家网络与信息安全信息通报工作总结会议在京召开
焦点访谈丨拒绝“按键”伤人 避免网络戾气变成伤人利器
全国公安厅局长会议召开 忠实履行神圣职责 为扎实稳健推进中国式现代化贡献公安力量
公安部:纵深推进全面从严管党治警 着力锻造忠诚干净担当的新时代公安铁军
山西公布10、辽宁网警公布6起打击谣言典型案例
重庆璧山出现比缅甸还恐怖的新型背债人?警方:系某房产中介为博眼球造谣
上海、四川、浙江、福建警方宣传和打击整治网络谣言
四川德阳网警开展打击整治网络谣言宣传活动
广安警方公布4起打击整治网络谣言典型案例
四川查处两起利用AI编造、传播网络谣言案件
西安网警依法处置一起网络暴力案件
中信银行被罚400万,涉信息安全风险隐患未得到整改、虚假演练等
中行被罚430万,涉迟报重要信息系统重大突发事件等
新疆警方公布5起打击整治网络谣言典型案件
山西忻州一网民因编造地震谣言被依法查处
公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问
有坏人!快藏好您的个人信息
在西藏架设“GOIP”设备给骗子提供帮助,10人落网!
网上买卖传播淫秽物品,触犯法律!
“温州帮”竟然是缅北电诈后台?警方通报来了
借甘肃积石山地震造谣博流量,行拘!
陕西警方公布6起打谣典型案例
“再来一次12级地震”,行拘!
江西警方公布7起“打谣”典型案例
江苏警方公布8起打谣典型案例
越想越生气,酒后干出糊涂事……
邯郸刘某某因编造网络谣言被依法查处!
>>>其他<<<
2023年10佳免费网络威胁情报来源和工具
2023年网络安全资金下降40%
为什么攻击模拟是避免 KO 的关键
持续安全监控对于稳健的网络安全策略的重要性
网络安全策略:远程访问策略
网络安全策略:账户管理策略
保护企业的19项网络安全最佳实践
实现混合网络时代的“无摩擦防御”

物联网不是一份持续接受的礼物

确保完整的 IT 资产可见性及安全

网络安全行业裁员的负面影响专业人员可能涌入网络犯罪

现代网络安全基于风险的漏洞管理

网络安全框架2.0版之CSF层的概念图示

网络安全领域薪酬新趋势

英国政府发布云 SCADA 安全指南

网络安全框架2.0版之CSF核心

网络安全框架2.0版之前言和概述

网络安全框架2.0版之CSF核心简介

网络安全框架2.0版之CSF配置文件和层简介

安全运营和事件管理的10个教训

看老外如何为网络安全合规时代做好准备

基于打字模式的键盘声学侧通道攻击

运营技术 (OT) 和网络安全:保护关键信息基础设施

运营技术之云托管的监控和数据采集 (SCADA)

运营技术之技术和云解决方案适用性

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月9日17:07:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全框架2.0版之改善网络安全风险沟通和集成http://cn-sec.com/archives/2639766.html

发表评论

匿名网友 填写信息