[标准]美国NIST《网络安全框架》中文版
美国的国家和经济安全依赖于可靠的关键基础设施功能。网络安全威胁利用关键基础设施系统日益增加的复杂性和连通性,把国家的安全,经济,公众安全和公共健康置于风险境地。类似的财务和声誉风险,网络安全风险将影响到公司的底线。它可以驱动多达费用及影响收入。它可能会损害组织的创新能力以及增加和维持客户的能力。
为了更好地处理这些风险,总统于2013年2月12日,颁布13636号行政命令:“改善关键基础设施的网络安全”,其中规定“它是美国在提高安保,安全性,商业机密,隐私和公民自由的同时,增强国家关键基础的安全性和可靠性,并维持一个鼓励高效、创新和经济繁荣的网络环境的政策“ 在颁布这项政策时,行政命令需要一个自愿的基于风险的网络安全的发展框架——一系列的工业标准和最佳实践来帮助组织管理网络安全风险项。这个框架通过政府和私营部门的合作创建,基于业务需要、以低成本方式使用通用语言来处理和管理网络安全风险,而无需对企业使用额外的管控要求。该框架着重于使用业务驱动因素,以指导网络安全的活动,并考虑网络安全风险,组织风险管理程序的一部分。该框架由三部分组成:核心框架,该框架配置文件和框架实施层级。该框架的核心是一套网络安全的活动,成果,和翔实的参考资料是通用的重要基础设施行业,为发展个人组织档案的详细指导。通过使用配置文件中,该框架将帮助组织调整其网络安全的活动,其业务需求,风险承受能力和资源。各层提供一个机制,组织查看和了解他们的方法来管理网络安全风险的特性。
该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。虽然流程和现有的需求会有所不同,该框架能够帮助组织整合的隐私和公民自由的全面网络安全计划的一部分。
该框架使组织 – 无论大小,网络安全风险程度,或网络安全的复杂性 – 原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种途径,以网络安全组装标准,准则和做法,如今正在有效地业。此外,因为它引用了全球公认的标准,网络安全,该框架还可以用于由位于美国以外的组织,可以作为一个典范加强关键基础设施的网络安全国际合作。
该框架是不是一个尺寸适合所有人的方法来管理网络安全风险的关键基础设施。组织将继续有独特的风险 – 不同的威胁,不同的弱点,不同的风险承受能力 – 以及他们如何实施该框架的行为会有所不同。组织可以决定是很重要的关键服务活动,并可以优先考虑投资,以最大限度地度过每一美元的影响。最终,该框架旨在减少和更好地管理网络安全风险。
该框架是一个活的文件,并会继续进行更新和改善,产业提供了执行的反馈。在架构上付诸实践,经验教训将被整合到未来版本。这将确保它满足关键基础设施的业主和运营商的需求在新的威胁,风险和解决方案,一个充满活力和挑战性的环境。
使用这种自愿框架是下一步要提高我们国家的关键基础设施的网络安全 – 为个别组织的指导,同时增加了国家的关键基础设施作为一个整体的网络安全态势。
