功能
治理 (GV) :建立并监控组织的网络安全风险管理策略、期望和政策
类别
组织环境 (GV.OC) :了解围绕组织网络安全风险管理决策的环境 - 使命、利益相关者期望以及法律、监管和合同要求(以前称为 ID.BE)
子类别
GV.OC-01:了解组织使命并为网络安全风险管理提供信息(以前称为 ID.BE-02、ID.BE-03)
实施示例
Ex1:分享组织的使命(例如,通过愿景和使命声明、营销和服务策略),为识别可能阻碍该使命的风险提供基础
子类别
GV.OC-02:确定内部和外部利益相关者,并了解他们对网络安全风险管理的需求和期望
实施示例
Ex1:确定相关的内部利益相关者及其与网络安全相关的期望(例如,管理人员、董事和顾问的绩效和风险期望;员工的文化期望)
Ex2:识别相关外部利益相关者及其与网络安全相关的期望(例如,客户的隐私期望、合作伙伴的业务期望、监管机构的合规期望、社会的道德期望)
子类别
GV.OC-03:了解和管理有关网络安全的法律、监管和合同要求(包括隐私和公民自由义务)(以前称为 ID.GV-03)
实施示例
Ex1:确定跟踪和管理有关个人信息保护的法律和监管要求的流程(例如,健康保险流通和责任法案、加州消费者隐私法案、通用数据保护条例)
Ex2:确定跟踪和管理供应商、客户和合作伙伴信息网络安全管理合同要求的流程
Ex3:使组织的网络安全策略与法律、监管和合同要求保持一致
子类别
GV.OC-04:确定并传达利益相关者依赖或期望从组织获得的关键目标、能力和服务(以前称为 ID.BE-04、ID.BE-05)
实施示例
Ex1:建立标准来确定内部和外部利益相关者认为能力和服务的重要性
Ex2:确定(例如,根据业务影响分析)对于实现任务目标至关重要的资产和业务运营以及此类运营损失(或部分损失)的潜在影响
Ex3:建立并传达弹性目标(例如,恢复时间目标),以在各种操作状态(例如,受到攻击、恢复期间、正常操作)下提供关键功能和服务
子类别
GV.OC-05:确定并传达组织所依赖的结果、能力和服务(以前称为 ID.BE-01、ID.BE-04)
实施示例
Ex1:创建组织对外部资源(例如设施、基于云的托管提供商)的依赖关系及其与组织资产和业务功能的关系的清单
Ex2:识别并记录组织关键功能和服务的潜在故障点的外部依赖关系
类别
风险管理策略(GV.RM):建立、传达并使用组织的优先级、约束、风险承受能力和偏好声明以及假设来支持操作风险决策(以前称为 ID.RM)
子类别
GV.RM-01:风险管理目标由组织利益相关者建立并同意(以前的 ID.RM-01)
实施示例
Ex1:作为年度战略规划的一部分以及发生重大变化时更新近期和长期网络安全风险管理目标
Ex2:建立可衡量的网络安全风险管理目标(例如,管理用户培训的质量,确保工业控制系统有足够的风险保护)
Ex3:高层领导就网络安全目标达成一致,并将其用于衡量和管理风险和绩效
子类别
GV.RM-02:确定、传达和维护风险偏好和风险承受能力声明(以前称为 ID.RM-02、ID.RM-03)
实施示例
Ex1:确定并传达风险偏好声明,传达对组织适当风险水平的期望
Ex2:将风险偏好陈述转化为具体的、可衡量的、可广泛理解的风险承受能力陈述
Ex3:根据已知的风险暴露和剩余风险定期完善组织目标和风险偏好
子类别
GV.RM-03:企业风险管理流程包括网络安全风险管理活动和结果(以前称为 ID.GV-04)
实施示例
Ex1:汇总和管理网络安全风险以及其他企业风险(例如合规性、财务、监管)
Ex2:将网络安全风险经理纳入企业风险管理规划
Ex3:在企业风险管理中建立升级网络安全风险的标准
子类别
GV.RM-04:建立并传达描述适当风险应对选项的战略方向
实施示例
Ex1:指定各种数据类别的网络安全风险接受和避免的标准
Ex2:确定是否购买网络安全保险
Ex3:记录可接受共担责任模型的条件(例如,外包某些网络安全功能、让第三方代表组织执行财务交易、使用基于公共云的服务)
子类别
GV.RM-05:跨组织建立沟通线路以应对网络安全风险,包括来自供应商和其他第三方的风险
实施示例
Ex1:确定如何按商定的时间间隔向高级管理人员、董事和管理层通报组织的网络安全状况
Ex2:确定组织内的所有部门(例如管理层、内部审计员、法律部、采购部、物理安全部和人力资源部)如何就网络安全风险进行相互沟通
Ex3:确定第三方如何与组织就网络安全风险进行沟通
子类别
GV.RM-06:建立并传达计算、记录、分类和优先考虑网络安全风险的标准化方法
实施示例
Ex1:建立使用定量方法进行网络安全风险分析的标准,并指定概率和暴露公式
Ex2:创建并使用模板(例如风险登记册)来记录网络安全风险信息(例如风险描述、暴露、处理和所有权)
Ex3:在企业内适当级别建立风险优先级标准
Ex4:使用一致的风险类别列表来支持集成、汇总和比较网络安全风险
子类别
GV.RM-07:确定战略机遇(即积极风险)并将其纳入组织网络安全风险讨论中
实施示例
Ex1:定义并传达用于识别机会并将其纳入风险讨论的指南和方法(例如,优势、劣势、机会和威胁 [SWOT] 分析)
Ex2:确定延伸目标并记录下来
Ex3:计算、记录并优先考虑积极风险和消极风险
类别
网络安全供应链风险管理 (GV.SC) :网络供应链风险管理流程由组织利益相关者(以前称为 ID.SC)识别、建立、管理、监控和改进
子类别
GV.SC-01:组织利益相关者建立并同意网络安全供应链风险管理计划、战略、目标、政策和流程(以前称为 ID.SC-01)
实施示例
Ex1:建立表达网络安全供应链风险管理计划目标的策略
Ex2:制定网络安全供应链风险管理计划,包括指导计划实施和改进的计划(带有里程碑)、政策和程序,并与组织利益相关者共享政策和程序
Ex3:根据组织利益相关者同意并执行的战略、目标、政策和程序,制定和实施计划流程
Ex4:建立跨组织机制,确保网络安全、IT、法律、人力资源和工程等有助于网络安全供应链风险管理的职能之间的协调一致
子类别
GV.SC-02:在内部和外部建立、沟通和协调供应商、客户和合作伙伴的网络安全角色和责任(以前称为 ID.AM-06)
实施示例
Ex1:确定一个或多个具体角色或职位,负责规划、资源配置和执行网络安全供应链风险管理活动
Ex2:在政策中记录网络安全供应链风险管理的角色和职责
Ex3:创建责任矩阵,记录谁将负责网络安全供应链风险管理活动,以及如何咨询和通知这些团队和个人
Ex4:将网络安全供应链风险管理职责和绩效要求纳入人员描述中,以确保清晰度并提高问责制
Ex5:记录承担网络安全风险管理特定职责的人员的绩效目标,并定期对其进行衡量以展示和提高绩效
Ex6:制定供应商、客户和业务合作伙伴的角色和责任,以解决适用网络安全风险的共同责任,并将其整合到组织政策和适用的第三方协议中
Ex7:内部沟通第三方的网络安全供应链风险管理角色和责任
Ex8:建立组织与其供应商之间的信息共享和报告流程的规则和协议
子类别
GV.SC-03:网络安全供应链风险管理融入网络安全和企业风险管理、风险评估和改进流程(以前称为 ID.SC-02)
实施示例
Ex1:确定与网络安全和企业风险管理的一致和重叠领域
Ex2:建立网络安全风险管理和网络安全供应链风险管理的综合控制集
Ex3:将网络安全供应链风险管理纳入改进流程
Ex4:将供应链中的重大网络安全风险上报给高级管理层,并在企业风险管理层面予以解决
子类别
GV.SC-04:供应商已知并按重要性排列优先级
实施示例
Ex1:根据供应商处理或拥有的数据的敏感性、对组织系统的访问程度以及产品或服务对组织使命的重要性等因素制定供应商关键性标准
Ex2:保留所有供应商的记录,并根据关键性标准对供应商进行优先级排序
子类别
GV.SC-05:建立、优先考虑解决供应链中网络安全风险的要求,并将其纳入与供应商和其他相关第三方的合同和其他类型的协议中(以前称为 ID.SC-03)
实施示例
Ex1:为供应商、产品和服务制定与其关键级别和受到威胁时的潜在影响相称的安全要求
Ex2:包括第三方必须遵循的所有网络安全和供应链要求,以及如何以默认合同语言验证对要求的遵守情况
Ex3:在合同中定义组织与其供应商和次级供应商之间信息共享的规则和协议
Ex4:通过根据合同的重要性和受到威胁时的潜在影响将安全要求纳入合同来管理风险
Ex5:在服务级别协议 (SLA) 中定义安全要求,用于在整个供应商关系生命周期中监控供应商的可接受的安全性能
Ex6:通过合同要求供应商在产品生命周期或服务期限内披露其产品和服务的网络安全特性、功能和漏洞
Ex7:按照合同要求供应商提供并维护关键产品的当前组件库存(例如软件或硬件物料清单)
Ex8:合同要求供应商审查其员工并防范内部威胁
Ex9:按照合同要求供应商通过自我证明、遵守已知标准、认证或检查等方式提供执行可接受的安全实践的证据
Ex10:在合同中明确组织、其供应商以及适用的下层供应商和供应链对于潜在网络安全风险的权利和责任
子类别
GV.SC-06:在建立正式的供应商或其他第三方关系之前,进行规划和尽职调查以降低风险
实施示例
Ex1:对潜在供应商进行彻底的尽职调查,该调查与采购计划一致,并与每个供应商关系的风险、关键性和复杂性水平相称
Ex2:评估潜在供应商的技术和网络安全能力以及风险管理实践的适用性
Ex3:根据业务和适用的网络安全要求进行供应商风险评估,包括较低级别的供应商和关键供应商的供应链
Ex4:在获取和使用之前评估关键产品的真实性、完整性和安全性
子类别
GV.SC-07:在关系过程中识别、记录、优先考虑、评估、响应和监控供应商、其产品和服务以及其他第三方带来的风险(以前称为 ID.SC-02, ID.SC-04)
实施示例
Ex1:根据第三方的声誉及其提供的产品或服务的重要性调整评估格式和频率
Ex2:评估第三方遵守合同网络安全要求的证据,例如自我证明、保证、认证和其他工件
Ex3:使用各种方法和技术(例如检查、审计、测试或其他形式的评估)监控关键供应商,以确保他们在整个供应商关系生命周期中履行安全义务
Ex4:监控关键供应商、服务和产品的风险状况变化,并相应地重新评估供应商的重要性和风险影响
Ex5:针对意外的供应商和供应链相关中断制定计划,以确保业务连续性
子类别
GV.SC-08:相关供应商和其他第三方参与事件规划、响应和恢复活动(以前称为 ID.SC-05)
实施示例
Ex1:定义和使用规则和协议来报告事件响应和恢复活动以及组织与其供应商之间的状态
Ex2:识别并记录组织及其供应商在事件响应方面的角色和责任
Ex3:将关键供应商纳入事件响应演习和模拟
Ex4:定义和协调组织与其关键供应商之间的危机沟通方法和协议
Ex5:与关键供应商开展合作经验教训会议
子类别
GV.SC-09:供应链安全实践已集成到网络安全和企业风险管理计划中,并在整个技术产品和服务生命周期中监控其绩效
实施示例
Ex1:政策和程序要求所有获得的技术产品和服务的来源记录
Ex2:定期向领导者提供风险报告,说明如何证明所采购的组件未被篡改和真实。
Ex3:与网络安全风险经理和运营人员定期沟通,了解仅从经过身份验证和值得信赖的软件提供商获取软件补丁、更新和升级的必要性
Ex4:审查政策以确保其要求经批准的供应商人员对供应商产品进行维护
Ex5:政策和程序要求检查关键硬件的升级是否有未经授权的更改
子类别
GV.SC-10:网络安全供应链风险管理计划包括对签订合作伙伴关系或服务协议后发生的活动的规定
实施示例
Ex1:建立在正常和不利情况下终止关键关系的流程
Ex2:定义并实施组件报废维护支持和报废计划
Ex3:验证供应商对组织资源的访问权限是否在不再需要时立即停用
Ex4:验证包含组织数据的资产是否已及时、受控且安全地归还或妥善处置
Ex5:制定并执行终止或过渡供应商关系的计划,考虑供应链安全风险和弹性
Ex6:减轻因供应商终止而产生的数据和系统的风险
Ex7:管理与供应商终止相关的数据泄露风险
类别
角色、职责和权限 (GV.RR) :建立并传达网络安全角色、职责和权限,以促进问责制、绩效评估和持续改进(以前称为 ID.GV-02)
子类别
GV.RR-01:组织领导层对网络安全风险负责并负责,并培育一种具有风险意识、道德和持续改进的文化
实施示例
Ex1:领导者(例如董事)就他们在制定、实施和评估组织网络安全战略方面的角色和责任达成一致
Ex2:分享领导者对安全和道德文化的期望,特别是当时事提供机会突出网络安全风险管理的积极或消极例子时
Ex3:领导者指示 CISO 维护全面的网络安全风险策略,并至少每年和重大事件后对其进行审查和更新
Ex4:进行审查以确保负责管理网络安全风险的人员之间有足够的权力和协调
子类别
GV.RR-02:建立、传达、理解和执行与网络安全风险管理相关的角色、责任和权限(以前称为 ID.AM-06、ID.GV-02、DE.DP-01)
实施示例
Ex1:记录政策中的风险管理角色和职责
Ex2:记录谁负责网络安全风险管理活动,以及如何咨询和通知这些团队和个人
Ex3:在人员描述中包含网络安全职责和绩效要求
Ex4:记录承担网络安全风险管理职责的人员的绩效目标,并定期衡量绩效以确定需要改进的领域
Ex5:明确阐明运营、风险职能和内部审计职能中的网络安全责任
子类别
GV.RR-03:根据网络安全风险策略、角色和职责以及政策分配足够的资源
实施示例
Ex1:定期进行管理审查,以确保承担网络安全风险管理职责的人员拥有必要的权力
Ex2:根据风险承受能力和应对措施确定资源配置和投资
Ex3:提供足够的人员、流程和技术资源来支持网络安全战略
子类别
GV.RR-04:网络安全包含在人力资源实践中(以前称为 PR.IP-11)
实施示例
Ex1:将网络安全风险管理考虑因素纳入人力资源流程(例如人员筛选、入职、变更通知、离职)
Ex 2:将网络安全知识视为招聘、培训和保留决策中的积极因素
Ex3:在新员工入职担任敏感职位之前进行背景调查
Ex4:定义并强制执行人员了解、遵守和维护与其角色相关的安全策略的义务
类别
政策、流程和程序 (GV.PO) :建立、传达和执行组织网络安全政策、流程和程序(以前称为 ID.GV-01)
子类别
GV.PO-01:根据组织环境、网络安全战略和优先事项制定管理网络安全风险的政策、流程和程序,并进行沟通和执行(以前称为 ID.GV-01)
实施示例
Ex1:创建、传播和维护风险管理政策,其中包含管理意图、期望和方向的声明
Ex2:定期审查政策和程序,以确保它们与风险管理战略目标和优先事项以及网络安全政策的高层方向保持一致
Ex3:需要高级管理层批准政策
Ex4:在整个组织内传达网络安全风险管理政策、程序和流程
Ex5:要求人员在首次受聘时、每年以及每当政策更新时确认收到政策
子类别
GV.PO-02:审查、更新、沟通和执行用于管理网络安全风险的政策、流程和程序,以反映需求、威胁、技术和组织使命的变化(以前称为 ID.GV-01)
实施示例
Ex1:根据网络安全风险管理结果的定期审查更新政策,以确保政策和支持流程充分将风险维持在可接受的水平
Ex2:提供审查组织风险环境变化的时间表(例如,风险或组织使命目标的变化),并传达建议的政策更新
Ex3:更新政策以反映法律和监管要求的变化
Ex4:更新政策以反映技术的变化(例如,人工智能的采用)和业务的变化(例如,收购新业务、新合同要求)
类别
监督 (GV.OV) :组织范围内的网络安全风险管理活动和绩效的结果用于告知、改进和调整风险管理策略
子类别
GV.OV-01:审查网络安全风险管理策略结果,以告知和调整策略和方向
实施示例
Ex1:衡量风险管理策略和风险结果帮助领导者做出决策和实现组织目标的效果
Ex 2:检查是否应调整阻碍运营或创新的网络安全风险策略
子类别
GV.OV-02:审查和调整网络安全风险管理策略,以确保覆盖组织要求和风险
实施示例
Ex1:审查审计结果,以确认现有的网络安全策略是否确保符合内部和外部要求
Ex2:审查网络安全相关角色的绩效监督,以确定是否有必要改变政策
Ex3:根据网络安全事件审查策略
子类别
GV.OV-03:衡量和审查组织网络安全风险管理绩效,以确认和调整战略方向
实施示例
Ex1:审查关键绩效指标(KPI)以确保整个组织的政策和程序实现目标
Ex2:审查关键风险指标(KRI)以识别组织面临的风险,包括可能性和潜在影响
Ex3:收集网络安全风险管理指标并与高层领导沟通
功能
识别(ID):帮助确定组织当前的网络安全风险
类别
资产管理(ID.AM):使组织能够实现业务目的的资产(例如数据、硬件软件、系统、设施、服务、人员)根据其对组织目标和组织风险策略的相对重要性进行识别和管理
子类别
ID.AM-01:维护组织管理的硬件库存
实施示例
Ex1:维护所有类型硬件的库存,包括 IT、物联网、OT 和移动设备
Ex2:持续监控网络以检测新硬件并自动更新库存
子类别
ID.AM-02:维护组织管理的软件、服务和系统的清单
实施示例
Ex1:维护所有类型的软件和服务的库存,包括商业现成的、开源的、自定义应用程序、API 服务以及基于云的应用程序和服务
Ex2:持续监控所有平台,包括容器和虚拟机,以了解软件和服务库存的变化
Ex3:维护组织系统的清单
子类别
ID.AM-03:维护组织授权的网络通信和内部和外部网络数据流的表示(以前的ID.AM-03、DE.AE-01)
实施示例
Ex1:维护组织有线和无线网络内的通信和数据流基线
Ex2:维护组织与第三方之间的通信和数据流基线
Ex3:维护授权系统中通常使用的预期网络端口、协议和服务的文档
子类别
ID.AM-04:维护供应商提供的服务清单
实施示例
Ex1:盘点组织使用的所有外部服务,包括第三方基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)产品;蜜蜂; 和其他外部托管的应用程序服务
Ex2:当要使用新的外部服务时更新清单,以确保对组织对该服务的使用进行充分的网络安全风险管理监控
子类别
ID.AM-05:根据分类、重要性、资源和对任务的影响对资产进行优先级排序
实施示例
Ex1:定义每类资产的优先级标准
Ex2:将优先级标准应用于资产
Ex3:跟踪资产优先级并定期或在组织发生重大变化时更新它们
子类别
ID.AM-06:已掉落(移至 GV.RR-02、GV.SC-02)
子类别
ID.AM-07:维护指定数据类型的数据清单和相应的元数据
实施示例
Ex1:维护指定感兴趣数据类型的列表(例如,个人身份信息、受保护的健康信息、财务帐号、组织知识产权)
Ex2:持续发现和分析临时数据以识别指定数据类型的新实例
Ex3:通过标签或标签将数据分类分配给指定的数据类型
Ex4:跟踪指定数据类型的每个实例的出处、数据所有者和地理位置
子类别
ID.AM-08:系统、硬件、软件和服务在其整个生命周期内进行管理(以前称为 PR.DS-03、PR.IP-02、PR.MA-01、PR.MA-02)
实施示例
Ex1:在系统、硬件、软件和服务的整个生命周期中整合网络安全考虑因素
Ex2:将网络安全考虑因素纳入产品生命周期
Ex3:识别技术的非官方用途来实现任务目标(即影子 IT)
Ex4:识别不必要地增加组织攻击面的冗余系统、硬件、软件和服务
Ex5:在生产中部署之前正确配置和保护系统、硬件、软件和服务
Ex6:当系统、硬件、软件和服务在组织内移动或转移时更新库存
类别
商业环境 (ID.BE) :已删除(移至 GV.OC)
子类别
ID.BE-01:已掉落(移至 GV.OC-05)
子类别
ID.BE-02:已掉落(移至 GV.OC-01)
子类别
ID.BE-03:已掉落(移至 GV.OC-01)
子类别
ID.BE-04:已掉落(移至 GV.OC-04、GV.OC-05)
子类别
ID.BE-05:已掉落(移至 GV.OC-04)
类别
治理(ID.GV):已删除(移至 GV)
子类别
ID.GV-01:已删除(移至 GV.PO)
子类别
ID.GV-02:已删除(移至 GV.RR-02)
子类别
ID.GV-03:已掉落(移至 GV.OC-03)
子类别
ID.GV-04:已删除(移至 GV.RM-03)
类别
风险评估 (ID.RA) :组织了解组织、资产和个人面临的网络安全风险。
子类别
ID.RA-01:识别、验证和记录资产中的漏洞(以前称为 ID.RA-01、PR.IP-12、DE.CM-08)
实施示例
Ex1:使用漏洞管理技术来识别未修补和配置错误的软件
Ex2:评估网络和系统架构是否存在影响网络安全的设计和实施弱点
Ex3:审查、分析或测试组织开发的软件,以识别设计、编码和默认配置漏洞
Ex4:评估容纳关键计算资产的设施的物理漏洞和弹性问题
Ex5:监控网络威胁情报来源以获取有关产品和服务中新漏洞的信息
子类别
ID.RA-02:从信息共享论坛和来源接收网络威胁情报
实施示例
Ex1:配置具有检测或响应功能的网络安全工具和技术,以安全地获取网络威胁情报源
Ex2:接收并审查信誉良好的第三方关于当前威胁行为者及其策略、技术和程序 (TTP) 的建议
Ex3:监控网络威胁情报来源,以获取有关新兴技术可能存在的漏洞类型的信息
子类别
ID.RA-03:识别并记录组织的内部和外部威胁
实施示例
Ex1:使用网络威胁情报来保持对可能针对组织的威胁行为者类型以及他们可能使用的 TTP 的认识
Ex2:执行威胁搜寻以寻找环境中威胁行为者的迹象
Ex3:实施识别内部威胁行为者的流程
子类别
ID.RA-04:识别并记录利用漏洞的威胁的潜在影响和可能性
实施示例
Ex1:企业领导者和网络安全风险管理从业者共同评估风险场景的可能性和影响,并将其记录在风险登记册中
Ex2:列举未经授权访问组织的通信、系统以及这些系统中或由这些系统处理的数据的潜在业务影响
Ex3:考虑级联故障对系统的潜在影响
子类别
ID.RA-05:威胁、漏洞、可能性和影响用于确定风险并告知风险优先级
实施示例
Ex1:开发威胁模型以更好地了解数据风险并确定适当的风险应对措施
Ex2:根据估计的可能性和影响确定网络安全资源分配和投资的优先顺序
子类别
ID.RA-06:从可用选项中选择风险应对措施,确定优先级、计划、跟踪和沟通(以前称为 ID.RA-06、RS.MI-03)
实施示例
Ex1:应用漏洞管理计划的标准来决定是否接受、转移、减轻或避免风险
Ex2:应用漏洞管理计划的标准来选择补偿控制措施以降低风险
Ex3:跟踪风险应对实施的进度(例如,行动计划和里程碑[POA&M]、风险登记册)
Ex4:使用风险评估结果为风险应对决策和行动提供信息
Ex5:按优先顺序向受影响的利益相关者传达计划的风险应对措施
子类别
ID.RA-07:管理变更和例外情况,评估风险影响,记录和跟踪(以前是 PR.IP-03 的一部分)
实施示例
Ex1:实施并遵循正式文件记录、审查、测试和批准提议的变更和请求的例外的程序
Ex2:记录进行或不进行每项拟议变更的可能风险,并提供回滚变更的指导
Ex3:记录与每个请求的例外相关的风险以及应对这些风险的计划
Ex4:定期审查根据计划的未来行动或里程碑接受的风险
子类别
ID.RA-08:建立接收、分析和响应漏洞披露的流程(以前称为 RS.AN-05)
实施示例
Ex1:按照合同中定义的规则和协议在组织与其供应商之间进行漏洞信息共享
Ex2:分配职责并验证供应商、客户、合作伙伴和政府网络安全组织披露的网络安全威胁、漏洞或事件披露的处理、分析影响和响应程序的执行情况
子类别
ID.RA-09:在获取和使用之前评估硬件和软件的真实性和完整性(以前称为 PR.DS-08)
实施示例
Ex1:在获取和使用关键技术产品和服务之前评估其真实性和网络安全
类别
风险管理策略 (ID.RM) :已删除(移至 GV.RM)
子类别
ID.RM-01:已掉落(移至 GV.RM-01)
子类别
ID.RM-02:已删除(移至 GV.RM-02)
子类别
ID.RM-03:已掉落(移至 GV.RM-02)
类别
供应链风险管理 (ID.SC) :已删除(移至 GV.SC)
子类别
ID.SC-01:已删除(移至 GV.SC-01)
子类别
ID.SC-02:已删除(移至 GV.SC-03、GV.SC-07)
子类别
ID.SC-03:已掉落(移至 GV.SC-05)
子类别
ID.SC-04:已掉落(移至 GV.SC-07)
子类别
ID.SC-05:已删除(移至 GV.SC-08、ID.IM-02)
类别
改进 (ID.IM) :在所有框架职能中确定组织网络安全风险管理流程、程序和活动的改进
子类别
ID.IM-01:应用持续评估来识别改进
实施示例
Ex1:对关键服务进行自我评估,考虑当前威胁和 TTP
Ex2:投资第三方评估或独立审计组织网络安全计划的有效性,以确定需要改进的领域
Ex3:通过自动化方式不断评估对选定网络安全要求的遵守情况
子类别
ID.IM-02:进行安全测试和演习,包括与供应商和相关第三方协调进行的测试和演习,以找出改进之处(以前的 ID.SC-05、PR.IP-10、DE.DP-03)
实施示例
Ex1:根据事件响应评估的结果确定未来事件响应活动的改进(例如,桌面练习和模拟、测试、内部审查、独立审计)
Ex2:根据与关键服务提供商和产品供应商协调进行的演习,确定未来业务连续性、灾难恢复和事件响应活动的改进
Ex3:酌情让内部利益相关者(例如高级管理人员、法律部门、人力资源部门)参与安全测试和演习
Ex4:执行渗透测试,以确定改善选定高风险系统安全状况的机会
Ex5:制定应急计划,以应对发现产品或服务并非源自签约供应商或合作伙伴或在接收前已被更改的情况并从中恢复
Ex6:使用安全工具和服务收集和分析性能指标,为网络安全计划的改进提供信息
子类别
ID.IM-03:在执行操作流程、程序和活动期间吸取的经验教训用于确定改进(以前称为 PR.IP-07、PR.IP-08、DE.DP-05、RS.IM-01、RS .IM-02、RC.IM-01、RC.IM-02)
实施示例
Ex 1:与供应商开展合作经验教训会议
Ex2:每年审查网络安全政策、流程和程序,以吸取经验教训
Ex3:使用指标来评估一段时间内的运营网络安全绩效
子类别
ID.IM-04:传达、维护和改进影响运营的网络安全计划(以前称为 PR.IP-09)
实施示例
Ex1:建立应急计划(例如事件响应、业务连续性、灾难恢复),以响应可能干扰运营、泄露机密信息或以其他方式危及组织使命和生存能力的不良事件并从中恢复
Ex2:包括联系和沟通信息、处理常见场景的流程以及所有应急计划中的优先级、升级和升级标准
Ex3:创建漏洞管理计划来识别和评估所有类型的漏洞,并确定优先级、测试和实施风险响应
Ex4:向负责执行网络安全计划的人员和受影响的各方传达网络安全计划(包括更新)
Ex5:每年或在发现需要重大改进时审查和更新所有网络安全计划
功能
保护(PR):使用保障措施来预防或减少网络安全风险
类别
身份管理、身份验证和访问控制 (PR.AA) :对物理和逻辑资产的访问仅限于授权用户、服务和硬件,并根据未经授权访问的评估风险进行管理(以前称为 PR.AC)
子类别
PR.AA-01:授权用户、服务和硬件的身份和凭证由组织管理(以前称为 PR.AC-01)
实施示例
Ex1:在需要时获得系统或数据所有者的许可,向员工、承包商和其他人发起新访问权或额外访问权的请求,并跟踪、审查和满足请求
Ex2:颁发、管理和撤销加密证书和身份令牌、加密密钥(即密钥管理)和其他凭证
Ex3:从不可变的硬件特征中为每个设备选择唯一的标识符或安全地配置给设备的标识符
Ex4:使用标识符对授权硬件进行物理标记,以用于库存和维修目的
子类别
PR.AA-02:根据交互上下文验证身份并绑定到凭证(以前称为 PR.AC-06)
实施示例
Ex1:使用政府颁发的身份凭证(例如护照、签证、驾驶执照)在注册时验证个人声称的身份
Ex2:仅向个人颁发凭证(即不共享凭证)
子类别
PR.AA-03:用户、服务和硬件经过身份验证(以前称为 PR.AC-03、PR.AC-07)
实施示例
Ex1:需要多重身份验证
Ex2:强制执行密码、PIN 和类似身份验证器最低强度的策略
Ex3:根据风险定期重新验证用户、服务和硬件(例如,在零信任架构中)
子类别
PR.AA-04:身份断言受到保护、传送和验证
实施示例
Ex1:保护用于通过单点登录系统传达身份验证和用户信息的身份断言
Ex2:保护用于在联合系统之间传递身份验证和用户信息的身份断言
Ex3:在所有情况下实施基于标准的身份断言方法,并遵循身份生成(例如,数据模型、元数据)、保护(例如,数字签名、加密)和验证(例如,签名验证)的所有指南断言
子类别
PR.AA-05:访问权限、权利和授权在策略中定义、管理、执行和审查,并纳入最小权限和职责分离的原则(以前称为 PR.AC-01、PR.AC-03 , PR.AC-04)
实施示例
Ex1:定期审查逻辑和物理访问权限,每当有人改变角色或离开组织时,立即撤销不再需要的权限
Ex2:在授权决策时考虑请求者和所请求资源的属性(例如,地理位置、日期/时间、请求者端点的网络健康状况)
Ex3:将访问和权限限制在必要的最低限度(例如,零信任架构)
Ex4:定期审查与关键业务职能相关的权限,以确认职责的适当分离
子类别
PR.AA-06:根据风险对资产的物理访问进行管理、监控和强制执行(以前称为 PR.AC-02、PR.PT-04)
实施示例
Ex1:使用保安人员、安全摄像头、上锁的入口、警报系统和其他物理控制装置来监控设施并限制访问
Ex2:对包含高风险资产的区域采用额外的物理安全控制
Ex3:在包含关键业务资产的区域内护送客人、供应商和其他第三方
类别
身份管理、身份验证和访问控制 (PR.AC) :已删除(移至 PR.AA)
子类别
PR.AC-01:已删除(移至 PR.AA-01、PR.AA-05)
子类别
PR.AC-02:已删除(移至 PR.AA-06)
子类别
PR.AC-03:已删除(移至 PR.AA-03、PR.AA-05、PR.IR-01)
子类别
PR.AC-04:已删除(移至 PR.AA-05)
子类别
PR.AC-05:已删除(移至 PR.IR-01)
子类别
PR.AC-06:已删除(移至 PR.AA-02)
子类别
PR.AC-07:已删除(移至 PR.AA-03)
类别
意识和培训(PR.AT):为组织的人员提供网络安全意识和培训,以便他们能够执行与网络安全相关的任务
子类别
PR.AT-01:向用户提供意识和培训,使他们具备执行一般任务并考虑到安全风险的知识和技能(以前称为 PR.AT-01、PR.AT-03、RS.CO-01)
实施示例
Ex1:向员工、承包商、合作伙伴、供应商和组织非公共资源的所有其他用户提供基本的网络安全意识和培训
Ex2:培训用户识别社会工程尝试和其他常见攻击,报告攻击和可疑活动,遵守可接受的使用策略,并执行基本的网络卫生任务(例如,修补软件、选择密码、保护凭证)
Ex3:向个人用户和整个组织解释违反网络安全政策的后果
Ex4:定期评估或测试用户对基本网络安全实践的理解
Ex5:要求每年复习以加强现有实践并引入新实践
子类别
PR.AT-02:向担任专业角色的个人提供意识和培训,使他们具备在考虑安全风险的情况下执行相关任务的知识和技能(以前称为 PR.AT-02、PR.AT-03、PR.AT-04 ,PR.AT-05)
实施示例
Ex1:确定组织内需要额外网络安全培训的专业角色,例如物理和网络安全人员、财务人员、高级领导以及有权访问关键业务数据的任何人
Ex2:向所有担任专业角色的人员(包括承包商、合作伙伴、供应商和其他第三方)提供基于角色的网络安全意识和培训
Ex3:定期评估或测试用户对其专业角色的网络安全实践的理解
Ex4:要求每年复习以加强现有实践并引入新实践
子类别
PR.AT-03:已删除(移至 PR.AT-01、PR.AT-02)
子类别
PR.AT-04:已掉落(移至 PR.AT-02)
子类别
PR.AT-05:已掉落(移至 PR.AT-02)
类别
数据安全(PR.DS):根据组织的风险策略对数据进行管理,以保护信息的机密性、完整性和可用性
子类别
PR.DS-01:静态数据的机密性、完整性和可用性受到保护(以前称为 PR.DS-01、PR-DS.05、PR.DS-06、PR.PT-02)
实施示例
Ex1:使用加密、数字签名和加密哈希来保护文件、数据库、虚拟机磁盘映像、容器映像和其他资源中存储的数据的机密性和完整性
示例2:使用全盘加密来保护存储在用户端点上的数据
Ex3:通过验证签名确认软件的完整性
Ex4:限制可移动媒体的使用以防止数据泄露
Ex5:包含未加密敏感信息的物理安全可移动介质,例如上锁的办公室或文件柜内
子类别
PR.DS-02:保护传输中数据的机密性、完整性和可用性(以前称为 PR.DS-02、PR.DS-05)
实施示例
Ex1:使用加密、数字签名和加密哈希来保护网络通信的机密性和完整性
Ex2:根据数据分类自动加密或阻止包含敏感数据的出站电子邮件和其他通信
Ex3:阻止从组织系统和网络访问个人电子邮件、文件共享、文件存储服务以及其他个人通信应用程序和服务
Ex4:防止在开发、测试和其他非生产环境中重复使用生产环境中的敏感数据(例如客户记录)
子类别
PR.DS-03:已丢弃(移至 ID.AM-08)
子类别
PR.DS-04:已删除(移至 PR.IR-04)
子类别
PR.DS-05:已删除(移至 PR.DS-01、PR-DS-02、PR.DS-10)
子类别
PR.DS-06:已删除(移至 PR.DS-01、DE.CM-09)
子类别
PR.DS-07:已删除(移至 PR.IR-01)
子类别
PR.DS-08:已删除(移至 ID.RA-09、DE.CM-09)
子类别
PR.DS-09:数据在其整个生命周期内进行管理,包括销毁(以前称为 PR.IP-06)
实施示例
Ex1:根据组织的数据保留政策,使用规定的销毁方法安全地销毁存储的数据
Ex2:当硬件退役、退役、重新分配或送去维修或更换时,安全地清理数据存储
Ex3:提供销毁纸张、存储介质和其他物理形式的数据存储的方法
子类别
PR.DS-10:保护使用中数据的机密性、完整性和可用性(以前称为 PR.DS-05)
实施示例
Ex1:一旦不再需要必须保密的数据(例如,从处理器和内存中),将其删除
Ex2:保护正在使用的数据不被同一平台的其他用户和进程访问
子类别
PR.DS-11:创建、保护、维护和测试数据备份(以前称为 PR.IP-04)
实施示例
Ex1:近乎实时地持续备份关键数据,并按照商定的时间表频繁备份其他数据
Ex2:至少每年测试一次所有类型数据源的备份和恢复
Ex3:离线和异地安全地存储一些备份,以便事件或灾难不会损坏它们
Ex4:对数据备份存储实施地理位置限制
类别
信息保护流程和程序 (PR.IP) :已删除(移至其他类别和职能)
子类别
PR.IP-01:已删除(移至 PR.PS-01)
子类别
PR.IP-02:已删除(移至 ID.AM-08)
子类别
PR.IP-03:已删除(移至 PR.PS-01、ID.RA-07)
子类别
PR.IP-04:已删除(移至 PR.DS-11)
子类别
PR.IP-05:已删除(移至 PR.IR-02)
子类别
PR.IP-06:已删除(移至 PR.DS-09)
子类别
PR.IP-07:已删除(移至 ID.IM-03)
子类别
PR.IP-08:已删除(移至 ID.IM-03)
子类别
PR.IP-09:已删除(移至 ID.IM-04)
子类别
PR.IP-10:已删除(移至 ID.IM-02)
子类别
PR.IP-11:已删除(移至 GV.RR-04)
子类别
PR.IP-12:已删除(移至 ID.RA-01、PR.PS-02)
类别
维护(PR.MA):已删除(移至 ID.AM-08)
子类别
PR.MA-01:已删除(移至 ID.AM-08、PR.PS-03)
子类别
PR.MA-02:已删除(移至 ID.AM-08、PR.PS-02)
类别
防护技术 (PR.PT) :已删除(移至其他防护类别)
子类别
PR.PT-01:已删除(移至 PR.PS-04)
子类别
PR.PT-02:已删除(移至 PR.DS-01、PR.PS-01)
子类别
PR.PT-03:已删除(移至 PR.PS-01)
子类别
PR.PT-04:已删除(移至 PR.AA-07、PR.IR-01)
子类别
PR.PT-05:已删除(移至 PR.IR-04)
类别
平台安全(PR.PS):物理和虚拟平台的硬件、软件(例如固件、操作系统、应用程序)和服务按照组织的风险策略进行管理,以保护其机密性、完整性和可用性
子类别
PR.PS-01:应用配置管理实践(以前称为 PR.IP-01、PR.IP-03、PR.PT-02、PR.PT-03)
实施示例
Ex1:建立、测试、部署和维护强化基线,以执行组织的网络安全策略并仅提供基本功能(即最少功能原则)
Ex2:在安装或升级软件时查看可能影响网络安全的所有默认配置设置
子类别
PR.PS-02:根据风险对软件进行维护、替换和删除(以前称为 PR.IP-12、PR.MA-02)
实施示例
Ex1:在漏洞管理计划规定的时间内执行例行和紧急修补
Ex2:更新容器镜像,并部署新的容器实例来替换而不是更新现有实例
Ex3:用受支持、维护的版本替换终止生命周期的软件和服务版本
Ex4:卸载并删除造成不当风险的未经授权的软件和服务
Ex5:卸载并删除攻击者可能滥用的任何不必要的软件组件(例如操作系统实用程序)
Ex6:定义并实施软件和服务生命周期终止维护支持和报废计划
子类别
PR.PS-03:根据风险对硬件进行维护、更换和移除(以前称为 PR.MA-01)
实施示例
Ex1:当硬件缺乏所需的安全功能或无法支持具有所需安全功能的软件时更换硬件
Ex2:定义并实施硬件报废维护支持和报废计划
Ex3:以安全、负责和可审核的方式执行硬件处置
子类别
PR.PS-04:生成日志记录并可用于持续监控(以前称为 PR.PT-01)
实施示例
Ex1:配置所有操作系统、应用程序和服务(包括基于云的服务)以生成日志记录
Ex2:配置日志生成器以与组织的日志基础设施系统和服务安全地共享其日志
Ex3:配置日志生成器来记录零信任架构所需的数据
子类别
PR.PS-05:防止安装和执行未经授权的软件
实施示例
Ex1:当风险需要时,将软件执行限制为仅允许的产品或拒绝执行禁止的和未经授权的软件
Ex2:安装前验证新软件的来源和软件的完整性
Ex3:配置平台仅使用经批准的 DNS 服务,阻止对已知恶意域的访问
Ex4:配置平台以仅允许安装组织批准的软件
子类别
PR.PS-06:集成安全软件开发实践,并在整个软件开发生命周期中监控其性能
实施示例
Ex1:保护组织开发的软件的所有组件免遭篡改和未经授权的访问
Ex2:保护组织生产的所有软件,使其版本中的漏洞最小化
Ex3:维护生产环境中使用的软件,并在不再需要时安全地处置软件
类别
技术基础设施弹性 (PR.IR) :安全架构通过组织的风险策略进行管理,以保护资产机密性、完整性、可用性以及组织弹性
子类别
PR.IR-01:保护网络和环境免受未经授权的逻辑访问和使用(以前称为 PR.AC-03、PR.AC-05、PR.DS-07、PR.PT-04)
实施示例
Ex1:根据信任边界和平台类型(例如,IT、物联网、OT、移动、访客)对组织网络和基于云的平台进行逻辑分段,并仅允许分段之间进行所需的通信
Ex2:从逻辑上将组织网络与外部网络分开,只允许必要的通信从外部网络进入组织网络
Ex3:实施零信任架构,将对每个资源的网络访问限制在必要的最低限度
Ex4:在允许端点访问和使用生产资源之前检查端点的网络健康状况
子类别
PR.IR-02:保护组织的技术资产免受环境威胁(以前称为 PR.IP-05)
实施示例
Ex1:保护组织设备免受已知环境威胁,例如洪水、火灾、风以及过热和过湿
Ex2:在代表组织操作系统的服务提供商的要求中包括免受环境威胁的保护和提供足够的操作基础设施的规定
子类别
PR.IR-03:实施机制以实现正常和不利情况下的弹性要求(以前的 PR.PT-05)
实施示例
Ex1:避免系统和基础设施中的单点故障
Ex2:使用负载平衡来增加容量并提高可靠性
Ex3:使用冗余存储和电源等高可用性组件来提高系统可靠性
子类别
PR.IR-04:足够的资源容量以确保维持可用性(以前的 PR.DS-04)
实施示例
Ex1:监控存储、电源、计算、网络带宽和其他资源的使用情况
Ex2:预测未来需求,并相应地扩展资源
功能
检测(DE):查找并分析可能的网络安全攻击和危害
类别
持续监控 (DE.CM) :监控资产以发现异常情况、妥协指标和其他潜在不良事件
子类别
DE.CM-01:监控网络和网络服务以发现潜在的不良事件(以前称为DE.CM-01、DE.CM-04、DE.CM-05、DE.CM-07)
实施示例
Ex1:监控 DNS、BGP 和其他网络服务的不良事件
Ex2:监控有线和无线网络中来自未经授权端点的连接
Ex3:监控未经授权或恶意无线网络的设施
Ex4:将实际网络流量与基线进行比较以检测偏差
Ex5:监控网络通信以识别安全态势的变化以实现零信任目的
子类别
DE.CM-02:监测物理环境以发现潜在的不良事件
实施示例
Ex1:监视来自物理访问控制系统(例如,徽章阅读器)的日志,以查找异常访问模式(例如,偏离规范)和失败的访问尝试
Ex2:审查和监控物理访问记录(例如,访客登记、签到表)
Ex3:监控物理访问控制(例如门锁、插销、铰链销)是否有篡改迹象
Ex4:使用警报系统、摄像头和保安监控物理环境
子类别
DE.CM-03:监控人员活动和技术使用,以发现潜在的不良事件(以前称为 DE.CM-03、DE.CM-07)
实施示例
Ex1:使用行为分析软件检测异常用户活动以减轻内部威胁
Ex2:监视逻辑访问控制系统的日志以查找异常访问模式和失败的访问尝试
Ex3:持续监控欺骗技术,包括用户帐户的任何使用情况
子类别
DE.CM-04:掉落(移至DE.CM-01、DE.CM-09)
子类别
DE.CM-05:掉落(移至DE.CM-01、DE.CM-09)
子类别
DE.CM-06:监控外部服务提供商的活动和服务以发现潜在的不良事件(以前称为 DE.CM-06、DE.CM-07)
实施示例
Ex1:监控外部提供商在组织系统上执行的远程管理和维护活动
Ex2:监控基于云的服务、互联网服务提供商和其他服务提供商是否偏离预期行为
子类别
DE.CM-07:掉落(移至DE.CM-01、DE.CM-03、DE.CM-06、DE.CM-09)
子类别
DE.CM-08:已掉落(移至 ID.RA-01)
子类别
DE.CM-09:监视计算硬件和软件、运行时环境及其数据,以发现潜在的不良事件(以前称为 PR.DS-06、PR.DS-08、DE.CM-04、DE.CM-05、 DE.CM-07)
实施示例
Ex1:监控电子邮件、网络、文件共享、协作服务和其他常见攻击媒介,以检测恶意软件、网络钓鱼、数据泄露和渗漏以及其他不良事件
Ex2:监视身份验证尝试,以识别针对凭据的攻击和未经授权的凭据重用
Ex3:监控软件配置是否偏离安全基线
Ex4:使用端点上存在的技术来检测网络健康问题(例如,缺少补丁、恶意软件感染、未经授权的软件),并在授权访问之前将端点重定向到修复环境
类别
不良事件分析 (DE.AE) :分析异常、妥协指标和其他潜在不良事件,以描述事件特征并检测网络安全事件(以前称为 DE.AE、DE.DP-02)
子类别
DE.AE-01:已掉落(移至 ID.AM-03)
子类别
DE.AE-02:分析潜在不良事件以更好地了解相关活动
实施示例
Ex1:使用安全信息和事件管理(SIEM)或其他工具持续监控日志事件以发现已知的恶意和可疑活动
Ex2:在日志分析工具中利用最新的网络威胁情报来提高检测准确性并描述威胁行为者、他们的方法和妥协指标
Ex3:定期对无法通过自动化充分监控的技术的日志事件进行手动审查
Ex4:使用日志分析工具生成有关其发现的报告
子类别
DE.AE-03:信息与多个来源相关
实施示例
Ex1:不断地将其他来源产生的日志数据传输到相对较少数量的日志服务器
Ex2:使用事件关联技术(例如SIEM)收集多个来源捕获的信息
Ex3:利用网络威胁情报帮助关联日志源之间的事件
子类别
DE.AE-04:确定不良事件的估计影响和范围
实施示例
Ex1:使用 SIEM 或其他工具来估计影响和范围,并审查和完善估计
Ex2:一个人创建自己对影响和范围的估计
子类别
DE.AE-05:已删除(移至 DE.AE-08)
子类别
DE.AE-06:向授权人员和工具提供有关不良事件的信息(以前称为 DE.DP-04)
实施示例
Ex1:使用网络安全软件生成警报并将其提供给安全运营中心(SOC)、事件响应者和事件响应工具
Ex2:事件响应人员和其他授权人员可以随时访问日志分析结果
Ex3:当发生某些类型的警报时,在组织的票务系统中自动创建并分配票证
Ex4:当技术人员发现妥协迹象时,在组织的票务系统中手动创建并分配票证
子类别
DE.AE-07:网络威胁情报和其他上下文信息被集成到分析中
实施示例
Ex1:安全地向检测技术、流程和人员提供网络威胁情报
Ex2:安全地提供从资产库存到检测技术、流程和人员的信息
Ex3:快速获取并分析来自供应商、供应商和第三方安全咨询的组织技术的漏洞披露
子类别
DE.AE-08:当不良事件符合定义的事件标准时,宣布事件(以前称为 DE.AE-05)
实施示例
Ex1:将事件标准应用于已知和假设的活动特征,以确定是否应宣布事件
Ex2:应用事件标准时考虑已知的误报
类别
检测进程 (DE.DP) :已删除(移至其他类别和功能)
子类别
DE.DP-01:已掉落(移至 GV.RR-02)
子类别
DE.DP-02:已掉落(移至 DE.AE)
子类别
DE.DP-03:已掉落(移至 ID.IM-02)
子类别
DE.DP-04:已掉落(移至 DE.AE-06)
子类别
DE.DP-05:已掉落(移至 ID.IM-03)
功能
响应 (RS) :针对检测到的网络安全事件采取行动
类别
响应计划 (RS.RP) :已删除(移至 RS.MA)
子类别
RS.RP-01:已删除(移至RS.MA-01)
类别
事件管理 (RS.MA) :管理对检测到的网络安全事件的响应(以前称为 RS.RP)
子类别
RS.MA-01:一旦与相关第三方协调宣布事件,就执行事件响应计划(以前的RS.RP-01、RS.CO-04)
实施示例
Ex1:检测技术自动报告已确认的事件
Ex2:向组织的事件响应外包商请求事件响应协助
Ex3:为每个事件指定一个事件负责人
子类别
RS.MA-02:对事件报告进行分类和验证(以前称为 RS.AN-01、RS.AN-02)
实施示例
Ex1:初步审查事件报告,以确认其与网络安全相关并需要进行事件响应活动
Ex2:应用标准来估计事件的严重性
子类别
RS.MA-03:对事件进行分类并确定优先级(以前称为 RS.AN-04、RS.AN-02)
实施示例
Ex1:根据事件类型进一步审查和分类事件(例如,数据泄露、勒索软件、DDoS、帐户泄露)
Ex2:根据事件的范围、可能的影响和时间紧迫的性质确定事件的优先级
Ex3:通过平衡从事件中快速恢复的需要与观察攻击者或进行更彻底的调查的需要来选择针对活动事件的事件响应策略
子类别
RS.MA-04:事件根据需要升级或提升(以前称为 RS.AN-02、RS.CO-04)
实施示例
Ex1:跟踪并验证所有正在进行的事件的状态
Ex2:与指定的内部和外部利益相关者协调事件升级或升级
子类别
RS.MA-05:应用启动事件恢复的标准
实施示例
Ex1:将事件恢复标准应用于事件的已知和假定特征,以确定是否应启动事件恢复流程
Ex2:考虑事件恢复活动可能发生的运营中断
类别
事件分析 (RS.AN) :进行调查以确保有效响应并支持取证和恢复活动
子类别
RS.AN-01:已删除(移至 RS.MA-02)
子类别
RS.AN-02:已删除(移至 RS.MA-02、RS.MA-03、RS.MA-04)
子类别
RS.AN-03:进行分析以确定事件期间发生的情况以及事件的根本原因
实施示例
Ex1:确定事件期间发生的事件的顺序以及每个事件涉及哪些资产和资源
Ex2:尝试确定哪些漏洞、威胁和威胁行为者直接或间接参与了事件
Ex3:分析事件以找出潜在的、系统性的根本原因
Ex4:检查任何网络欺骗技术以获取有关攻击者行为的其他信息
子类别
RS.AN-04:已删除(移至 RS.MA-03)
子类别
RS.AN-05:已删除(移至 ID.RA-08)
子类别
RS.AN-06:记录调查期间执行的操作,并保留记录的完整性和来源(以前是 RS.AN-03 的一部分)
实施示例
Ex1:要求每个事件响应者和执行事件响应任务的其他人(例如系统管理员、网络安全工程师)记录他们的操作并使记录不可变
Ex2:要求事件负责人详细记录事件,并负责维护文件的完整性以及所报告的所有信息的来源
子类别
RS.AN-07:收集事件数据和元数据,并保留其完整性和来源
实施示例
Ex1:根据证据保存和监管链程序收集、保存和保护所有相关事件数据和元数据(例如数据源、收集日期/时间)的完整性
子类别
RS.AN-08:估计并验证事件的严重程度
实施示例
Ex1:审查事件的其他潜在目标,以寻找妥协的指标和持续的证据
Ex2:在目标上自动运行工具以寻找妥协指标和持久性证据
类别
事件响应报告和沟通 (RS.CO) :根据法律、法规或政策的要求与内部和外部利益相关者协调响应活动
子类别
RS.CO-01:已删除(移至 PR.AT-01)
子类别
RS.CO-02:向内部和外部利益相关者通报事件
实施示例
Ex1:发现数据泄露事件后遵循组织的泄露通知程序,包括通知受影响的客户
Ex2:根据合同要求将事件通知业务合作伙伴和客户
Ex3:根据事件响应计划中的标准和管理层批准,将事件通知执法机构和监管机构
子类别
RS.CO-03:与指定的内部和外部利益相关者共享信息(以前称为 RS.CO-03、RS.CO-05)
实施示例
Ex1:根据响应计划和信息共享协议安全地共享信息
Ex2:与信息共享和分析中心 (ISAC) 自愿共享有关攻击者观察到的 TTP 的信息,并删除所有敏感数据
Ex3:发生恶意内部活动时通知 HR
Ex4:定期向高层领导通报重大事件的进展情况
Ex5:遵循组织与其供应商之间共享事件信息的合同中定义的规则和协议
Ex6:协调组织与其关键供应商之间的危机沟通方法
子类别
RS.CO-04:已删除(移至 RS.MA-01、RS.MA-04)
子类别
RS.CO-05:已删除(移至 RS.CO-03)
类别
事件缓解 (RS.MI) :执行活动以防止事件扩大并减轻其影响
子类别
RS.MI-01:事件已得到控制
实施示例
Ex1:网络安全技术(例如,防病毒软件)和其他技术(例如,操作系统、网络基础设施设备)的网络安全功能自动执行遏制行动
Ex2:允许事件响应者手动选择并执行遏制操作
Ex3:允许第三方(例如互联网服务提供商、托管安全服务提供商)代表组织执行遏制行动
Ex4:自动将受损端点转移到修复虚拟局域网 (VLAN)
子类别
RS.MI-02:事件被根除
实施示例
Ex1:网络安全技术和其他技术(例如操作系统、网络基础设施设备)的网络安全功能自动执行根除操作
Ex2:允许事件响应者手动选择并执行根除操作
Ex3:允许第三方(例如托管安全服务提供商)代表组织执行根除操作
子类别
RS.MI-03:已删除(移至 ID.RA-06)
类别
改进 (RS.IM) :已删除(移至 ID.IM)
子类别
RS.IM-01:已删除(移至 ID.IM-03)
子类别
RS.IM-02:已删除(移至 ID.IM-03)
功能
恢复(RC):恢复受网络安全事件影响的资产和运营
类别
事件恢复计划执行(RC.RP):执行恢复活动以确保受网络安全事件影响的系统和服务的运行可用性
子类别
RC.RP-01:事件响应计划的恢复部分在事件响应流程启动后立即执行
实施示例
Ex1:在事件响应过程期间或之后开始恢复程序
Ex2:让所有负有恢复责任的个人了解恢复计划以及实施计划各个方面所需的授权
子类别
RC.RP-02:确定、确定范围、确定优先级并执行恢复操作
实施示例
Ex1:根据事件响应计划中定义的标准和可用资源选择恢复操作
Ex2:根据组织需求和资源的重新评估更改计划的恢复行动
子类别
RC.RP-03:在使用备份和其他恢复资产进行恢复之前验证其完整性
实施示例
Ex1:使用前检查恢复资产是否存在泄露、文件损坏和其他完整性问题的迹象
子类别
RC.RP-04:考虑关键任务功能和网络安全风险管理来建立事件后操作规范
实施示例
Ex1:使用业务影响和系统分类记录(包括服务交付目标)来验证基本服务是否按适当的顺序恢复
Ex2:与系统所有者合作,确认系统成功恢复并恢复正常运行
Ex3:监控恢复系统的性能以验证恢复的充分性
子类别
RC.RP-05:验证恢复资产的完整性,恢复系统和服务,确认正常运行状态
实施示例
Ex1:在生产使用之前检查恢复的资产是否存在受损迹象并修复事件的根本原因
Ex2:在将恢复的系统上线之前验证所采取的恢复操作的正确性和充分性
子类别
RC.RP-06:应用确定事件恢复结束的标准,并完成事件相关文档
实施示例
Ex1:准备一份事后报告,记录事件本身、采取的响应和恢复行动以及吸取的教训
Ex2:一旦满足标准,就宣布事件恢复结束
类别
事件恢复沟通 (RC.CO) :与内部和外部各方协调恢复活动
子类别
RC.CO-01:已删除(移至 RC.CO-04)
子类别
RC.CO-02:已删除(移至 RC.CO-04)
子类别
RC.CO-03:将恢复活动和恢复运营能力的进展传达给指定的内部和外部利益相关者
实施示例
Ex1:根据响应计划和信息共享协议,安全地共享恢复信息,包括恢复进度
Ex2:定期向高层领导通报重大事件的恢复状况和恢复进度
Ex3:遵循组织与其供应商之间共享事件信息的合同中定义的规则和协议
Ex4:协调组织与其关键供应商之间的危机沟通
子类别
RC.CO-04:使用批准的方法和消息传递正确共享有关事件恢复的公共更新(以前的 RC.CO-01、RC.CO-02)
实施示例
Ex1:遵循组织的违规通知程序从数据泄露事件中恢复
Ex2:解释为从事件中恢复并防止再次发生而采取的步骤
类别
改进 (RC.IM) :已删除(移至 ID.IM)
子类别
RC.IM-01:已删除(移至 ID.IM-03)
子类别
RC.IM-02:已删除(移至 ID.IM-03)
——整理自NIST官网!
,
