NIST网络安全框架.pdf

美国商务部国家标准与技术研究院（NIST）发布《提升关键基础设施网络安全的框架》，该框架由框架核心、框架实施层和框架概况三大基本要素组成。框架核心提供了一套关键基础设施行业通用的网络安全活动、预期结果和适用参考。框架核心提出了行业标准、指南和实践，以便组织机构从管理层到执行层的层级沟通网络安全活动和结果。框架核心包含功能、类别、 子类别和信息参考4个要素，以及识别、保护、检测、响应和恢复5个功能。
框架实施层为组织机构提供相关机制，供其了解网络安全风险管理方法的特征，并提供网络安全风险审视方法和管理风险的流程，可帮助组织机构确定优先级并实现网络安全目标。实施层指的是组织机构安全风险管理实践的程度，衡量标准包括风险与威胁意识、可重复和自适应等要素。实施层通过四个层级范围描述组织机构的实践程度，各层级（从部分的层级1到自适应的层级4）反映了从非正式、被动响应到自适应的表现。该框架指出，在确定实施层级的过程中，组织机构应考虑当前的风险管理实践、威胁环境、法律法规要求、业务/任务目标和限制条件。
　　框架概况根据组织机构的业务需求、风险承受能力、资源等要素，对功能、类别和子类别进行调整，帮助各组织机构建立降低网络安全风险的路线图，确保既能兼顾整体与部门目标、考虑法律法规要求和行业最佳实践，又能反映风险管理的轻重缓急。“概况”可被定义为在特定实施场景下对核心框架的类别和子类别进行调整。借助概况，组织机构可对比“当前概况”和“目标概况”，以此识别提升网络安全态势的机会。要制定出框架“概况”，组织机构可查看所有的类别和子类别，并基于业务或任务需求以及风险评估，以此确定最重要的事项。组织机构可按需添加类别和子类别解决风险。“当前概况”可用来审视“目标概况”需考虑的优先级和进度衡量，同时考虑包括成本效益和创新在内的其它业务需求。组织机构可利用概况进行自我评估，并有助于在组织机构内部和组织机构之间进行风险沟通。