网络安全框架2.0版之CSF核心

CSF核心

本附录描述了CSF核心的功能、类别和子类别。表 1 列出了 CSF 2.0 核心功能和类别名称以及唯一的字母标识符。表中的每个函数名称都链接到附录中的其部分。核心的功能、类别和子类别的顺序不是按字母顺序排列的;它旨在与那些负责在组织内实施风险管理的人产生最大的共鸣。

表1.CSF 2.0 核心功能和类别名称和标识符

功能	类别	类别标识符
治理(GV)	组织背景	GV.OC
	风险管理策略	GV.RM
	角色、职责和权限	GV.RR
	策略	GV.PO
	监督	GV.OV
	网络安全供应链风险管理	GV.SC
识别(ID)	资产管理	ID.AM
	风险评估	ID.RA
	改进	ID.IM
保护 （PR）	身份管理、身份验证和访问控制	PR.AA
	意识和培训	PR.AT
	数据安全	PR.DS
	平台安全	PR.PS
	技术基础设施弹性	PR.IR
检测 （DE）	持续监测	DE.CM
	不良事件分析	DE.AE
响应 （RS）	事件管理	RS.MA
	事件分析	RS.AN
	事件响应报告和沟通	RS.CO
	事件缓解	RS.MI
恢复 （RC）	事件恢复计划执行	RC.RP
	事件恢复通信	RC.CO

CSF核心、信息参考和实施示例可在CSF 2.0网站上获得，也可以通过CSF 2.0参考工具获得，该工具允许用户探索它们并以人类和机器可读的格式导出它们。CSF 2.0 Core也以类似于 CSF 1.1的旧格式提供。

治理 （GV）： 建立、传达和监控组织的网络安全风险管理战略、期望和政策

组织背景 （GV.OC）： 了解围绕组织网络安全风险管理决策的情况——使命、利益相关者期望、依赖关系以及法律、法规和合同要求

oGV.OC-01： 理解组织使命并为网络安全风险管理提供信息

oGV.OC-02： 了解内部和外部利益相关者，了解和考虑他们对网络安全风险管理的需求和期望

oGV.OC-03： 理解和管理有关网络安全的法律、监管和合同要求，包括隐私和公民自由义务

oGV.OC-04： 理解和传达外部利益相关者依赖或期望从组织获得的关键目标、能力和服务

oGV.OC-05： 理解和传达组织所依赖的结果、能力和服务

风险管理战略 （GV.RM）：建立、传达和使用组织的优先事项、约束、风险承受能力和偏好声明以及假设来支持运营风险决策

oGV.RM-01： 风险管理目标由组织利益相关者建立并达成一致

oGV.RM-02： 建立、传达和维护风险偏好和风险承受能力声明

oGV.RM-03： 网络安全风险管理活动和结果包含在企业风险管理流程中

oGV.RM-04： 建立并传达描述适当风险应对方案的战略方向

oGV.RM-05： 针对网络安全风险（包括来自供应商和其他第三方的风险）建立整个组织的沟通渠道

oGV.RM-06： 建立并传达了用于计算、记录、分类和确定网络安全风险优先级的标准化方法

oGV.RM-07：对战略机会（即积极风险）进行表征，并将其纳入组织网络安全风险讨论中

角色、责任和权限 （GV.RR）：建立并传达网络安全角色、职责和权限，以促进问责制、绩效评估和持续改进

oGV.RR-01： 组织领导层对网络安全风险负责，并培养一种具有风险意识、道德和持续改进的文化

oGV.RR-02： 建立、沟通、理解和执行与网络安全风险管理相关的角色、职责和权限

oGV.RR-03： 根据网络安全风险战略、角色、职责和政策分配足够的资源

oGV.RR-04： 网络安全被纳入人力资源实践

策略 （GV.PO）：建立、传达和执行组织网络安全策略

oGV.PO-01：根据组织环境、网络安全战略和优先事项制定网络安全风险管理策略，并进行沟通和执行

oGV.PO-02： 审查、更新、传达和执行网络安全风险管理策略，以反映需求、威胁、技术和组织使命的变化

监督（GV.OV）：组织范围内的网络安全风险管理活动和绩效的结果用于通知、改进和调整风险管理策略

oGV.OV-01： 审查网络安全风险管理战略结果，为战略和方向提供信息并调整战略和方向

oGV.OV-02： 审查和调整网络安全风险管理策略，以确保覆盖组织要求和风险

oGV.OV-03： 评估和审查组织网络安全风险管理绩效，以进行必要的调整

网络安全供应链风险管理（GV.SC）： 网络供应链风险管理流程由组织利益相关者识别、建立、管理、监控和改进

oGV.SC-01： 建立网络安全供应链风险管理计划、战略、目标、政策和流程，并由组织利益相关者同意

oGV.SC-02：在内部和外部建立、沟通和协调供应商、客户和合作伙伴的网络安全角色和责任

oGV.SC-03： 将网络安全供应链风险管理整合到网络安全和企业风险管理、风险评估和改进流程中

oGV.SC-04： 供应商是已知的，并按重要性确定优先级

oGV.SC-05： 建立、优先处理供应链网络安全风险的要求，并将其整合到与供应商和其他相关第三方的合同和其他类型的协议中

oGV.SC-06： 在建立正式的供应商或其他第三方关系之前，进行规划和尽职调查以降低风险

oGV.SC-07： 在关系过程中，对供应商、其产品和服务以及其他第三方构成的风险进行理解、记录、优先排序、评估、响应和监控

oGV.SC-08： 相关供应商和其他第三方参与事件规划、响应和恢复活动

oGV.SC-09：将供应链安全实践整合到网络安全和企业风险管理计划中，并在整个技术产品和服务生命周期中监控其绩效

oGV.SC-10：网络安全供应链风险管理计划包括对缔结合作伙伴关系或服务协议后发生的活动的规定

识别（ID）： 了解组织当前的网络安全风险

资产管理（ID.AM）： 根据其对组织目标和组织风险战略的相对重要性，识别和管理使组织能够实现业务目的的资产（例如，数据、硬件、软件、系统、设施、服务、人员）

oID.AM-01： 维护组织管理的硬件清单

oID.AM-02： 维护组织管理的软件、服务和系统的清单

oID.AM-03： 维护组织的授权网络通信以及内部和外部网络数据流的表示形式

oID.AM-04： 维护供应商提供的服务清单

oID.AM-05： 根据分类、重要性、资源和对任务的影响对资产进行优先级排序

oID.AM-07： 维护指定数据类型的数据清单和相应的元数据

oID.AM-08： 系统、硬件、软件、服务和数据在其整个生命周期内进行管理

风险评估（ID.RA）：组织了解组织、资产和个人的网络安全风险

oID.RA-01： 识别、验证和记录资产中的漏洞

oID.RA-02： 从信息共享论坛和来源接收网络威胁情报

oID.RA-03： 识别并记录对组织的内部和外部威胁

oID.RA-04： 识别并记录利用漏洞的威胁的潜在影响和可能性

oID.RA-05： 威胁、漏洞、可能性和影响用于了解固有风险并为风险响应优先级提供信息

oID.RA-06： 选择风险应对措施、确定优先次序、计划、跟踪和沟通

oID.RA-07： 对变更和异常进行管理、风险影响评估、记录和跟踪

oID.RA-08： 建立了接收、分析和响应漏洞披露的流程

oID.RA-09：在获取和使用之前，对硬件和软件的真实性和完整性进行评估

oID.RA-10： 在收购前对关键供应商进行评估

改进 （ID.IM）： 在所有 CSF 职能中确定组织网络安全风险管理流程、程序和活动的改进

oID.IM-01： 从评估中确定改进

oID.IM-02： 改进是通过安全测试和练习确定的，包括与供应商和相关第三方协调进行的测试和练习

oID.IM-03： 从操作流程、程序和活动的执行中确定改进

oID.IM-04：建立、传达、维护和改进影响运营的事件响应计划和其他网络安全计划

保护 （PR）： 使用保护措施来管理组织的网络安全风险

身份管理、身份验证和访问控制（PR.AA）： 对物理和逻辑资产的访问仅限于授权用户、服务和硬件，并根据评估的未经授权访问的风险进行管理

oPR.AA-01： 授权用户、服务和硬件的标识和凭据由组织管理

oPR.AA-02： 根据交互的上下文对身份进行验证并绑定到凭据

oPR.AA-03： 用户、服务和硬件已通过身份验证

oPR.AA-04： 身份断言受到保护、传达和验证

oPR.AA-05： 访问权限、权利和授权在策略中定义、管理、强制执行和审查，并包含最小权限和职责分离原则

oPR.AA-06： 对资产的物理访问进行管理、监控和实施与风险相称

意识和培训（PR.AT）： 为组织的人员提供网络安全意识和培训，以便他们能够执行与网络安全相关的任务

oPR.AT-01： 为人员提供意识和培训，使他们具备在考虑网络安全风险的情况下执行一般任务的知识和技能

oPR.AT-02： 为担任专业角色的个人提供意识和培训，以便他们具备在考虑网络安全风险的情况下执行相关任务的知识和技能

数据安全（PR.DS）： 根据组织的风险策略管理数据，以保护信息的机密性、完整性和可用性

oPR.DS-01： 静态数据的机密性、完整性和可用性受到保护

oPR.DS-02： 传输中数据的机密性、完整性和可用性受到保护

oPR.DS-10： 保护使用中数据的机密性、完整性和可用性

oPR.DS-11： 创建、保护、维护和测试数据备份

平台安全 （PR.PS）： 物理和虚拟平台的硬件、软件（例如固件、操作系统、应用程序）和服务按照组织的风险策略进行管理，以保护其机密性、完整性和可用性

oPR.PS-01： 建立并应用配置管理实践

oPR.PS-02：与风险相称的软件维护、更换和移除

oPR.PS-03： 与风险相称的硬件维护、更换和拆卸

oPR.PS-04： 生成日志记录并可用于持续监控

oPR.PS-05： 防止安装和执行未经授权的软件

oPR.PS-06： 集成了安全的软件开发实践，并在整个软件开发生命周期中监控其性能

技术基础设施弹性 （PR.IR）： 安全架构使用组织的风险策略进行管理，以保护资产的机密性、完整性和可用性以及组织弹性

oPR.IR-01： 保护网络和环境免受未经授权的逻辑访问和使用

oPR.IR-02： 保护组织的技术资产免受环境威胁

oPR.IR-03： 实施机制以在正常和不利情况下实现弹性要求

oPR.IR-04：足够的资源能力，以确保保持可用性

检测 （DE）： 发现并分析可能的网络安全攻击和危害

持续监测 （DE.CM）：对资产进行监控，以发现异常、入侵指标和其他潜在的不良事件

oDE.CM-01： 监控网络和网络服务以发现潜在的不良事件

oDE.CM-02： 监测物理环境以发现潜在的不良事件

oDE.CM-03： 监控人员活动和技术使用情况，以发现潜在的不良事件

oDE.CM-06： 监控外部服务提供商的活动和服务以发现潜在的不良事件

oDE.CM-09： 监控计算硬件和软件、运行时环境及其数据，以发现潜在的不良事件

不良事件分析（DE.AE）： 分析异常、入侵指标和其他潜在的不良事件，以表征事件并检测网络安全事件

oDE.AE-02： 分析潜在的不良事件以更好地了解相关活动

oDE.AE-03： 信息从多个来源关联

oDE.AE-04： 了解不良事件的估计影响和范围

oDE.AE-06： 向授权人员和工具提供有关不良事件的信息

oDE.AE-07：将网络威胁情报和其他上下文信息集成到分析中

oDE.AE-08：当不良事件符合定义的事件标准时，宣布事件

响应 （RS）： 针对检测到的网络安全事件采取措施

事件管理（RS.MA）：对检测到的网络安全事件的响应进行管理

oRS.MA-01： 一旦宣布事件，将与相关第三方协调执行事件响应计划

oRS.MA-02： 对事件报告进行分类和验证

oRS.MA-03： 对事件进行分类和优先级排序

oRS.MA-04： 根据需要升级或升级事件

oRS.MA-05： 应用启动事件恢复的标准

事件分析（RS.AN）： 进行调查以确保有效的响应并支持取证和恢复活动

oRS.AN-03： 进行分析以确定事件期间发生的事情以及事件的根本原因

oRS.AN-06： 记录调查期间执行的操作，并保留记录的完整性和出处

oRS.AN-07： 收集事件数据和元数据，并保留其完整性和来源

oRS.AN-08： 估计和验证事件的规模

事件响应报告和沟通 （RS.CO）： 根据法律、法规或政策的要求，与内部和外部利益相关者协调响应活动

oRS.CO-02：向内部和外部利益相关者通报事件

oRS.CO-03： 与指定的内部和外部利益相关者共享信息

事件缓解 （RS.MI）： 执行活动以防止事件扩展并减轻其影响

oRS.MI-01：事件被控制

oRS.MI-02： 事件被根除

恢复 （RC）： 恢复受网络安全事件影响的资产和运营

事件恢复计划执行（RC.RP）：执行恢复活动以确保受网络安全事件影响的系统和服务的运行可用性

oRC.RP-01： 事件响应计划的恢复部分在从事件响应过程中启动后执行

oRC.RP-02： 选择恢复操作、确定范围、确定优先级并执行恢复操作

oRC.RP-03： 在使用备份和其他恢复资产进行恢复之前，会验证备份和其他恢复资产的完整性

oRC.RP-04： 考虑关键任务职能和网络安全风险管理，以建立事后操作规范

oRC.RP-05： 验证恢复资产的完整性，恢复系统和服务，确认正常运行状态

oRC.RP-06： 根据标准宣布事件恢复结束，并完成与事件相关的文档

事件恢复通信 （RC.CO）： 与内部和外部各方协调恢复活动

oRC.CO-03：将恢复活动和恢复运营能力的进展情况传达给指定的内部和外部利益攸关方

oRC.CO-04： 使用批准的方法和消息传递共享有关事件恢复的公共更新

—END—

原文始发于微信公众号（祺印说信安）：网络安全框架2.0版之CSF核心