网络安全框架2.0版之改善网络安全风险沟通和集成

改善网络安全风险沟通和集成

CSF 的使用将根据组织的独特使命和风险而有所不同。通过了解利益相关者的期望以及风险偏好和容忍度（如 GOVERN 中所述），组织可以优先考虑网络安全活动，以便就网络安全支出和行动做出明智的决策。组织可以选择以一种或多种方式处理风险，包括减轻、转移、避免或接受负面风险，以及实现、分担、增强或接受正面风险，具体取决于潜在影响和可能性。重要的是，组织既可以在内部使用 CSF 来管理其网络安全能力，也可以在外部监督或与第三方沟通。

无论 CSF 的使用方式如何，组织都可以从使用 CSF 作为指导中受益，以帮助其了解、评估、确定优先级和沟通网络安全风险以及管理这些风险的行动。选定的成果可用于关注和实施战略决策，以改善网络安全态势并保持任务基本职能的连续性，同时考虑优先事项和可用资源。

改善风险管理沟通

CSF 为改善有关网络安全期望、规划和资源的沟通提供了基础。CSF 促进了专注于组织优先事项和战略方向的高管与管理可能影响这些优先事项实现的特定网络安全风险的经理之间的双向信息流（如图 5 的上半部分所示）。CSF 还支持管理人员与实施和操作技术的从业人员之间的类似流程（如图 5 的下半部分所示）。图的左侧表示从业者与经理和高管分享他们的最新情况、见解和关注点的重要性。

图 5.使用 CSF 改善风险管理沟通

准备创建和使用组织配置文件涉及从高管那里收集有关组织优先级、资源和风险方向的信息。然后，经理与从业人员合作，沟通业务需求并创建风险知情的组织概况。管理人员和从业人员将采取行动，以弥合当前概况和目标概况之间查明的任何差距，并将为系统一级的计划提供关键投入。当目标状态在整个组织内实现时（包括通过在系统级别应用的控制和监控），更新的结果可以通过风险登记册和进度报告共享。作为持续评估的一部分，管理人员可以获得洞察力，以便进行调整，从而进一步减少潜在危害并增加潜在收益。

GOVERN职能支持组织与高管的风险沟通。高管们的讨论涉及战略，特别是与网络安全相关的不确定性如何影响组织目标的实现。这些治理讨论支持关于风险管理策略（包括网络安全供应链风险）的对话和协议;角色、责任和权限;政策;和监督。当高管根据这些需求确定网络安全优先事项和目标时，他们会传达对风险偏好、问责制和资源的期望。高管还负责将网络安全风险管理与 ERM 计划和较低级别的风险管理计划相结合（参见 Sec. 5.2）。图 5 上半部分反映的沟通  可以包括对 ERM 和较低级别计划的考虑，从而为管理人员和从业人员提供信息。

高管设定的总体网络安全目标由经理告知并级联给 经理。在商业实体中，这些可能适用于业务线或运营部门。对于政府实体，这些可能是部门或分支机构级别的考虑因素。在实施 CSF 时，管理人员将重点关注如何通过共同服务、控制和协作来实现风险目标，如目标概况中所表达的那样，并通过行动计划中跟踪的行动（例如，风险登记册、风险详细信息报告、POA&M）进行改进。

从业人员 专注于实施目标状态和衡量运营风险的变化，以帮助规划、执行和监控特定的网络安全活动。当实施控制以将风险管理在可接受的水平时，从业人员为经理和高管提供他们需要的信息（例如，关键绩效指标、关键风险指标），以了解组织的网络安全态势，做出明智的决策，并相应地维护或调整风险策略。高管还可以将这些网络安全风险数据与整个组织中有关其他类型的风险的信息相结合。随着周期的重复，对期望和优先级的更新包含在更新的组织配置文件中。

 改善与其他风险管理计划的集成

每个组织都面临着多种类型的ICT风险（例如，隐私、供应链、人工智能），并且可能使用特定于每种风险的框架和管理工具。一些组织通过使用企业风险管理，在高层次上整合了信息和通信技术与所有其他风险管理工作，而另一些组织则将工作分开，以确保对每项工作给予足够的重视。就其性质而言，小型组织可能会在企业一级监控风险，而大型公司可能会在企业风险管理中保持单独的风险管理工作。

组织可以采用 ERM 方法来平衡 包括网络安全在内的一系列风险考虑因素，并做出明智的决策。高管们在将治理和风险战略与以前使用 CSF 的结果相结合时，会收到有关当前和计划风险活动的大量信息。CSF 帮助组织将其网络安全和网络安全风险管理术语翻译成高管能够理解的通用风险管理语言。

描述网络安全风险管理与ERM之间相互关系的NIST资源包括：

• NIST 网络安全框架 2.0–EnterpriseRiskManagementQuick-Start Guide

• NIST机构间报告（IR）8286，Integrating Cybersecurity and Enterprise RiskManagement(ERM)

• IR8286A,IdentifyingandEstimatingCybersecurityRiskforEnterpriseRiskManagement

• IR8286B,PrioritizingCybersecurityRiskforEnterpriseRiskManagement

• IR8286C,StagingCybersecurityRisksforEnterpriseRiskManagementandGovernanceOversight

• IR8286D,UsingBusinessImpact AnalysistoInformRiskPrioritizationandResponse

• SP800-221,EnterpriseImpactofInformationandCommunicationsTechnologyRisk:GoverningandManagingICT RiskPrograms WithinanEnterprise RiskPortfolio

• SP800-221A,InformationandCommunicationsTechnology(ICT)RiskOutcomes:IntegratingICT RiskManagementProgramswiththeEnterpriseRiskPortfolio

• 网络安全风险管理和评估：CSF 可以与已建立的网络安全风险管理和评估计划集成，例如SP 800-37, Risk Management Framework for Information Systems and Organizations, 和SP800-30, Guide for Conducting Risk Assessments来自 NIST 风险管理框架 （RMF）。对于使用the NIST RMF and its suite of publications,CSF 可用于补充 RMF 从以下位置选择和优先排序对照的方法 SP 800-53, Security and Privacy Controls for Information Systems andOrganizations.

• 隐私风险：虽然网络安全和隐私是独立的学科，但在某些情况下，它们的目标会重叠，如图 6 所示。

图 6.网络安全与隐私风险关系

网络安全风险管理对于解决与个人数据的机密性、完整性和可用性损失相关的隐私风险至关重要。例如，数据泄露可能导致身份盗用。但是，隐私风险也可能通过与网络安全事件无关的方式产生。

组织处理数据以实现任务或业务目的，这有时会导致 隐私事件 ，个人可能会因数据处理而遇到问题。这些问题可以用多种方式表达，但NIST将其描述为从尊严类型的影响（例如，尴尬或耻辱）到更明显的伤害（例如，歧视，经济损失或身体伤害）。NIST隐私框架 和网络安全框架可以一起使用，以解决网络安全和隐私风险的不同方面。此外，NIST 的 隐私风险评估方法 （PRAM） 有一个用于隐私风险评估的示例问题目录。

供应链风险：组织可以使用CSF来促进网络安全风险监督以及与供应链利益相关者的沟通。所有类型的技术都依赖于一个复杂的、全球分布的、广泛且相互关联的供应链生态系统，这些生态系统具有地理上不同的路线和多层次的外包。该生态系统由公共和私营部门实体（例如，收购方、供应商、开发商、系统集成商、外部系统服务提供商和其他与技术相关的服务提供商）组成，这些实体进行交互以研究、开发、设计、制造、获取、交付、集成、运营、维护、处置以及以其他方式利用或管理技术产品和服务。这些互动受到技术、法律、政策、程序和实践的影响。

鉴于该生态系统中复杂且相互关联的关系，供应链风险管理 （SCRM） 对组织至关重要。网络安全 SCRM（C-SCRM） 是一个系统流程，用于管理整个供应链中的网络安全风险敞口，并制定适当的响应策略、政策、流程和程序。CSF C-SCRM 类别中的子类别 [GV.SC] 在纯粹关注网络安全的结果和关注 C-SCRM 的结果之间建立了联系。SP 800-161r1（修订版 1），系统和组织的 网络安全供应链风险管理实践，提供了有关 C-SCRM 的深入信息。

新兴技术带来的风险：随着新技术和技术的新应用的出现，新的风险变得清晰起来。一个当代的例子是人工智能 （AI），它存在网络安全和隐私风险，以及许多其他类型的风险。NIST人工智能风险管理框架（AIRMF） 旨在帮助解决这些风险。将人工智能风险与其他企业风险（例如财务、网络安全、声誉和隐私）一起处理，将产生更加综合的结果和组织效率。网络安全和隐私风险管理注意事项和方法适用于人工智能系统的设计、开发、部署、评估和使用。AI RMF核心使用函数、类别和子类别来描述AI结果并帮助管理与AI相关的风险。