澳大利亚之网络安全原则

网络安全原则的目的

网络安全原则的目的是为组织如何保护其系统和数据免受网络威胁提供战略指导。这些网络安全原则分为四项关键活动：治理、保护、检测和响应。

• 治理：识别和管理安全风险。
• 保护：实施控制以降低安全风险。
• 检测：检测和理解网络安全事件以识别网络安全事件。
• 响应：响应网络安全事件并从中恢复。

治理原则治理原则是：

• G1：首席信息安全官负责网络安全的领导和监督。

• G2：确定并记录系统、应用程序和数据的身份和价值。

• G3：确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。

• G4：安全风险管理流程嵌入到组织风险管理框架中。

• G5：在系统和应用程序被授权使用之前以及在其整个运行生命周期中持续识别、记录、管理和接受安全风险。

保护原则保护原则是：

• P1：系统和应用程序根据其价值及其机密性、完整性和可用性要求进行设计、部署、维护和退役。

• P2：系统和应用程序由值得信赖的供应商提供和支持。

• P3：系统和应用程序的设计和配置旨在减少其攻击面。

• P4：系统和应用程序以安全且负责任的方式进行管理。

• P5：及时识别并缓解系统和应用程序中的漏洞。

• P6：只有受信任和支持的操作系统、应用程序和计算机代码才能在系统上执行。

• P7：数据在静态和不同系统之间传输时被加密。

• P8：不同系统之间通信的数据是受控和可检查的。

• P9：数据、应用程序和设置均以安全且经过验证的方式定期备份。

• P10：只有经过信任和审查的人员才有权访问系统、应用程序和数据存储库。

• P11：授予人员对其职责所需的系统、应用程序和数据存储库的最低访问权限。

• P12：使用多种方法来识别和验证系统、应用程序和数据存储库的人员。

• P13：为人员提供持续的网络安全意识培训。

• P14：对系统、支持基础设施和设施的物理访问仅限于授权人员。

检测原理检测原理是：

• D1：及时收集和分析事件日志，以检测网络安全事件。

• D2：及时分析网络安全事件，识别网络安全事件。

响应原则响应原则是：

• R1：网络安全事件及时向内部和外部相关机构报告。

• R2：网络安全事件得到及时遏制、消除和恢复。

• R3：在需要时制定业务连续性和灾难恢复计划。

成熟度建模

在实施网络安全原则时，组织可以使用以下成熟度模型来评估单个原则、原则组或整个网络安全原则的实施情况。

成熟度模型的五个级别是：

• 不完整：网络安全原则部分实施或未实施。

• 初始：网络安全原则已得到实施，但实施方式较差或临时。

• 发展：网络安全原则已得到充分实施，但要以项目为基础。

• 管理：网络安全原则被确立为标准业务实践，并在整个组织中得到强有力的实施。

• 优化：为了在整个组织内实施网络安全原则，特意关注优化和持续改进。