概述
本学习模块深入了解网络安全框架的五个功能:识别、保护、检测、响应和恢复。此处提供的信息建立在“框架组件”模块中介绍的材料之上。本模块探讨框架内功能的价值,以及每个功能中包含的内容。
功能介绍
框架核心中包含的五个功能是:
- 识别(I)
- 保护(P)
- 探测(D)
- 回应(R)
- 恢复(R)
功能是框架中包含的最高抽象级别,充当框架核心的骨干,所有其他元素都围绕着其进行组织。
之所以选择这五个功能,是因为它们代表了成功和整体网络安全计划的五个主要支柱。帮助组织轻松地在高水平上表达其对网络安全风险的管理,并促成风险管理决策。
识别
识别功能有助于培养组织对管理系统、人员、资产、数据和能力的网络安全风险的理解。了解业务环境、支持关键功能的资源以及相关的网络安全风险,使组织能够根据其风险管理战略和业务需求集中精力并确定其工作的优先级。
此功能中的结果类别示例包括:
- 识别组织内的物理和软件资产,以建立资产管理计划的基础
- 识别组织支持的商业环境,包括组织在供应链中的角色,以及组织在关键基础设施领域的地位
- 确定组织内建立的网络安全政策以定义治理计划,并确定有关组织网络安全能力的法律和监管要求
- 识别资产漏洞、对内部和外部组织资源的威胁以及风险响应活动,作为组织风险评估的基础
- 确定组织的风险管理策略,包括建立风险容忍度
- 确定供应链风险管理战略,包括优先级、约束、风险容忍度和用于支持与管理供应链风险相关的风险决策的假设
保护
保护功能概述了适当的保障措施,以确保关键基础设施服务的交付。保护功能支持限制或遏制潜在网络安全事件影响的能力。
此功能中的结果类别示例包括:
- 保护组织内的身份管理和访问控制,包括物理和远程访问
- 通过意识和培训(包括基于角色和特权用户的培训)赋予组织内的员工权力
- 建立与组织风险策略一致的数据安全保护,以保护信息的机密性、完整性和可用性
- 实施信息保护流程和程序以维护和管理信息系统和资产的保护
- 通过维护(包括远程维护)活动保护组织资源
- 管理保护技术以确保系统和资产的安全性和弹性与组织政策、程序和协议一致
探测
检测功能定义了适当的活动来识别网络安全事件的发生。检测功能可以及时发现网络安全事件。
此功能中的结果类别示例包括:
- 确保检测到异常和事件,并了解其潜在影响
- 实施安全持续监控功能以监控网络安全事件并验证包括网络和物理活动在内的保护措施的有效性
- 维护检测流程以提供对异常事件的感知
响应
响应功能包括针对检测到的网络安全事件采取行动的适当活动。响应功能支持控制潜在网络安全事件影响的能力。
此功能中的结果类别示例包括:
- 确保在事件期间和之后执行响应计划流程
- 在事件期间和之后管理与利益相关者、执法部门、外部利益相关者的适当沟通
- 进行分析以确保有效响应和支持恢复活动,包括取证分析和确定事件的影响
- 执行缓解活动以防止事件扩大并解决事件
- 组织通过结合从当前和以前的检测/响应活动中吸取的经验来实施改进
恢复
恢复功能确定适当的活动,以维护弹性计划并恢复因网络安全事件而受损的任何能力或服务。恢复功能支持及时恢复到正常操作,以减少网络安全事件的影响。
此功能中的结果类别示例包括:
- 确保组织实施恢复计划流程和程序,以恢复受网络安全事件影响的系统和/或资产
- 根据经验教训和对现有战略的审查实施改进
- 在网络安全事件恢复期间和之后协调内部和外部通信
