2023年7月13日发(作者：)

美国NIST《⽹络安全框架》中⽂版（⽔平有限，翻译粗糙，仅供参考）为改善关键基础设施⽹络安全框架Version 1.0国家标准与技术研究所February12, 2014TableofContentsExecutiveSummary (1)1.0 Framework Introduction (3)2.0 FrameworkBasics (7)3.0 HowtoUsetheFramework (13)AppendixA:FrameworkCore (18)AppendixB:Glossary (37)AppendixC:Acronyms (39)ListofFiguresFigure1:FrameworkCoreStructure (7)Figure2:NotionalInformationandDecisionFlowswithinanOrganization (12)ListofTablesTable1:FunctionandCategoryUniqueIdentifiers (19)Table2:FrameworkCore (20)执⾏摘要美国的国家安全和经济安全取决于关键基础设施的可靠运作的。⽹络安全威胁攻击⽇益复杂和关键基础设施系统的连接，把国家的安全，经济，风险公众安全和健康。类似的财务和声誉风险，⽹络安全风险影响到公司的底线。它可以驱动多达费⽤及影响收⼊。它可能会损害⼀个组织的创新，以获得并保持客户的能⼒。为了更好地解决这些风险，总统于2013年2⽉12⽇，其中规定“[I] t是美国的政策，加强国家的安全和弹性颁布⾏政命令13636，”改善关键基础设施的⽹络安全。“关键基础设施和维护，⿎励⾼效，创新，和经济繁荣，同时促进安全，保安，商业机密，隐私和公民⾃由。“在制定这项政策的⽹络环境，执⾏命令为⾃愿风险的发展需要基于⽹络安全框架 - ⼀套⾏业标准和最佳实践，帮助企业管理⽹络安全风险。由此产⽣的框架，通过政府和私营部门之间的合作创建的，使⽤共同的语⾔，⽆需放置额外的监管要求，对企业在根据业务需要具有成本效益的⽅式处理和管理⽹络安全风险。该框架着重于使⽤业务驱动因素，以指导⽹络安全的活动，并考虑⽹络安全风险，组织风险管理程序的⼀部分。该框架由三部分组成：核⼼框架，该框架配置⽂件和框架实施层级。该框架的核⼼是⼀套⽹络安全的活动，成果，和翔实的参考资料是通⽤的重要基础设施⾏业，为发展个⼈组织档案的详细指导。通过使⽤配置⽂件中，该框架将帮助组织调整其⽹络安全的活动，其业务需求，风险承受能⼒和资源。各层提供⼀个机制，组织查看和了解他们的⽅法来管理⽹络安全风险的特性。该⾏政命令还要求该框架包括⼀个⽅法来保护个⼈隐私和公民⾃由时，重要的基础设施组织开展⽹络安全的活动。虽然流程和现有的需求会有所不同，该框架能够帮助组织整合的隐私和公民⾃由的全⾯⽹络安全计划的⼀部分。该框架使组织 - ⽆论⼤⼩，⽹络安全风险程度，或⽹络安全的复杂性 - 原则和风险管理的最佳实践应⽤到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种途径，以⽹络安全组装标准，准则和做法，如今正在有效地业。此外，因为它引⽤了全球公认的标准，⽹络安全，该框架还可以⽤于由位于美国以外的组织，可以作为⼀个典范加强关键基础设施的⽹络安全国际合作。该框架是不是⼀个尺⼨适合所有⼈的⽅法来管理⽹络安全风险的关键基础设施。组织将继续有独特的风险 - 不同的威胁，不同的弱点，不同的风险承受能⼒ - 以及他们如何实施该框架的⾏为会有所不同。组织可以决定是很重要的关键服务活动，并可以优先考虑投资，以最⼤限度地度过每⼀美元的影响。最终，该框架旨在减少和更好地管理⽹络安全风险。该框架是⼀个活的⽂件，并会继续进⾏更新和改善，产业提供了执⾏的反馈。在架构上付诸实践，经验教训将被整合到未来版本。这将确保它满⾜关键基础设施的业主和运营商的需求在新的威胁，风险和解决⽅案，⼀个充满活⼒和挑战性的环境。使⽤这种⾃愿框架是下⼀步要提⾼我们国家的关键基础设施的⽹络安全 - 为个别组织的指导，同时增加了国家的关键基础设施作为⼀个整体的⽹络安全态势。1.0 框架简介美国的国家安全和经济安全取决于关键基础设施的可靠运作的。为了加强这⼀基础设施的恢复⼒，奥巴马总统2⽉12⽇颁布⾏政命令13636 （ EO ），“改善关键基础设施的⽹络安全，”，对于⾃愿⽹络安全框架（“框架”），它提供了“优先，灵活，可重复，基于绩效的，和成本效益的⽅法”直接管理这些流程，信息和系统⽹络安全风险的发展这⼀⾏政命令要求参与关键基础设施服务的提供。该框架，与业界合作开发，提供指导，在管理⽹络安全风险的⼀个组织。关键基础设施是在EO定义为“系统和资产，不论是物理或虚拟的，所以⾄关重要的美国的⽆⾏为能⼒或破坏这些制度和资产将会对安全，国家经济安全，国家公共健康或使⼈衰弱的影响安全，或该等事项的任何组合。“由于来⾃外部和内部的威胁越来越⼤的压⼒，负责关键基础设施的组织需要有⼀个⼀致的，迭代的⽅法来识别，评估和管理⽹络安全风险。这种做法是必要的，⽆论⼀个组织的规模，威胁曝光或⽹络安全的复杂的今天。在关键基础设施的社区，包括公共和私营业主和运营商，以及其他实体在确保国家的基础设施的作⽤。每个关键基础设施部门的执⾏委员是由信息技术⽀持的功能（ IT）和⼯业控制系统（ ICS ） .2这依赖于技术，通信和IT和ICS的互联互通已发⽣变化，扩⼤了潜在的漏洞和潜在的增长对风险的操作。例如， ICS和ICS的操作产⽣的数据越来越多地⽤于提供关键的服务和⽀持业务决策，⼀个⽹络安全事件对组织业务的潜在影响，资产，健康和个⼈安全和环境，应考虑。要管理⽹络安全风险，该组织的业务驱动因素和具体到它的使⽤IT和ICS安全考虑清楚的认识是必要的。因为每个组织的风险是独⼀⽆⼆的，随着其使⽤的IT和ICS的，⽤于实现由框架所描述的结果的⼯具和⽅法会有所不同。认识到隐私和公民⾃由的保护，提⾼公众的信任所扮演的⾓⾊，执⾏命令要求该框架包括⼀个⽅法来保护个⼈隐私和公民⾃由时，重要的基础设施组织开展⽹络安全的活动。许多组织已经有了解决隐私和公民⾃由的过程。该⽅法的⽬的是补充这些过程，并提供指导，以促进隐私风险管理与组织的⽅法，⽹络安全风险管理是⼀致的。集成的隐私和⽹络安全可以通过增加客户的信⼼，让更多的标准化的信息共享，并在法律制度简化操作获益的组织。1 ExecutiveOrderno.13636,ImprovingCriticalInfrastructureCybersecurity,DCPD-201300091,February12,2013. /doc/ /fdsys/pkg/FR-2013-02-19/pdf/2TheDHSCriticalInfrastructureprogramprovidesalisti:///doc/ /critical-infrastructure-sectors为确保可扩展性，使技术创新，架构是技术中⽴的。该框架依赖于各种现有的标准，准则和措施，使关键基础设施供应商，实现弹性。依靠这些全球性的标准，指南和开发，管理，及⾏业更新的做法，可实现的成果框架的⼯具和⽅法将规模跨越国界，承认⽹络安全风险的全球性，并发展与技术的进步和业务要求。利⽤现有的和新兴的标准，使规模经济和推动有效的产品，服务和实践，满⾜确定市场需求的发展。市场竞争也促进了这些技术和做法，实现了利益相关者，这些⾏业很多好处更快的传播。从这些标准，准则和惯例建⽴，框架提供了常⽤的分类和机制组织：1 ）形容⾃⼰⽬前⽹络安全的姿势;2 ）描述⾃⼰的⽬标状态，⽹络安全;3 ）确定并优先⽤于连续和重复的过程的范围内改善的机会;4 ）评估向⽬标状态的进展;5 ）沟通有关⽹络安全风险的内部和外部利益相关者之间。该框架的补充，⽽不会取代，⼀个组织的风险管理流程和⽹络安全⽅案。该组织可以利⽤其现有流程，并充分利⽤该框架来寻找机会，加强和沟通的⽹络安全风险的管理，同时与⾏业惯例调整。可替换地，不具有现有的⽹络安全⽅案的组织可以使⽤框架作为基准，建⽴1 。正如框架不是特定⾏业，标准，准则和惯例的通⽤分类法，它也提供了不特定国家。在美国以外的机构也可以使⽤框架来加强⾃⾝的⽹络安全的努⼒，以及该框架可以促进发展的共同语⾔对关键基础设施的⽹络安全国际合作。1.1在视图框架⼯作该框架是⼀个基于风险的⽅法来管理⽹络安全风险，并且由三部分组成：核⼼框架，该框架的实施层级和架构配置⽂件。每个框架组件强化业务驱动和⽹络安全的活动之间的联系。下⾯这些部件进⾏说明。该框架的核⼼是⼀套⽹络安全的活动，期望的结果，⽽且是通⽤的关键基础设施部门适⽤的参考。核⼼呈现的⽅式，允许对⽹络安全的活动的沟通和跨组织的成果从⾏政级别来实施/运营层⾯的⾏业标准，准则和惯例。该框架的核⼼是由五个并发和连续函数，确定，保护，检测，响应，恢复的。当⼀起考虑，这些功能提供了⽹络安全风险的⼀个组织的管理⽣命周期的⼀个⾼层次的，战略的眼光。该框架的核⼼，然后确定相关主要类别和⼦类别的每个功能，并以实例参考性⽂献，如现有标准，指南，并为每个⼦⽬录的做法符合他们。框架实施层级（“层”）提供上下⽂对⼀个组织如何观看⽹络安全风险，并在适当的程序来管理风险。层描述的程度，⼀个组织的⽹络安全风险管理实践中表现出的框架（如，风险和威胁感知，可重复和⾃适应）所定义的特征。这些层在⼀定范围内表征⼀个组织的做法，从部分（第1层），以⾃适应（第4层）。这些层级反映⾮正式的，⽆响应的进程来是敏捷和风险告知的⽅法。在第⼀级选择过程中，组织应考虑其⽬前的风险管理措施，威胁环境，法律和监管规定，业务/任务⽬标和组织约束。⼀个框架配置⽂件（“档案”）代表需要⼀个组织已经从框架类别和⼦类别选择的基于业务的成果。配置⽂件可以被定性为标准，准则和惯例的对齐⽅式Framework核⼼在⼀个特定的实施⽅案。配置⽂件可⽤于通过⽐较“当前”个⼈资料以确定改进⽹络安全姿势的机会（在“按原样”状态）与“⽬标”个⼈资料（在“是”的状态）。要开发⼀个配置⽂件，⼀个组织可以查看所有类别和⼦类别，并根据业务驱动因素和风险评估，确定哪些是最重要的，他们可以根据需要来满⾜组织的风险增加类别和⼦类别。当前配置⽂件可以被⽤来⽀持优先级和向着⽬标配置⽂件进度测量，⽽在其他的业务需求，包括成本效益和创新保理。配置⽂件可以被⽤来进⾏⾃我评估，并在组织内部或组织之间的沟通。1.2风险管理换货和⽹络安全⼯作框架风险管理是识别，评估和应对风险的持续过程。管理风险，企业应该明⽩，将会发⽣⼀个事件的可能性和由此产⽣的影响。有了这些信息，企业可以决定可接受的风险⽔平提供服务，并可以表达这是他们的风险承受能⼒。随着风险承受能⼒有所了解，企业可以优先考虑⽹络安全的活动，使企业能够做出关于⽹络安全⽀出明智的决定。风险管理计划的实施提供了组织量化和沟通调整其⽹络安全计划的能⼒。组织可以选择处理以不同的⽅式，包括减轻风险，转移风险，从⽽避免了风险，或接受的风险，这取决于对关键服务的递送的潜在影响的风险。该框架使⽤的风险管理流程，使组织有关⽹络安全通知和优先决定。它⽀持经常性的风险评估和业务驱动的验证，以帮助企业选择⽬标国家⽹络安全的活动，反映了期望的结果。因此，该框架使企业能够动态地选择和⽹络安全风险管理为IT和ICS的环境中直接改善的能⼒该框架是⾃适应，提供⼀个灵活的，基于风险的实现，它可以与⽹络安全风险管理过程的⼀系列⼴泛使⽤。⽹络安全风险管理流程的例⼦包括国际标准化组织（ ISO ）31000:20093 ， ISO / IEC 27005:20114 ，国家标准与技术研究所（ NIST）的特别出版物（SP ）800-395 ，以及电⼒界别分组⽹络安全风险管理流程（ RMP） guideline6 。1.3⽂档概述本⽂档的其余部分包含以下章节和附录：第2节描述了框架的组成部分：框架核⼼的层级，以及配置⽂件。第3节介绍了该框架可以使⽤的例⼦。附录A给出了核⼼框架以表格格式：的功能，类别，⼦类别，并参考性⽂献。附录B中包含选定的术语表。附录C列出本⽂件中⽤到的缩写词。3 InternationalOrganizationforStandardization,Riskmanagement–Principlesandguidelines,ISO31000:2009,:///doc/ /iso/home/standards/4InternationalOrganizationforStandardization/InternationalElectrotechnicalCommission,Informationtechnology–Securitytechniques–Informationsecurityriskmanagement,ISO/IEC27005:2011,:///doc/ /iso/catalogue_detail?csnumber=567425JointTaskForceTransformationInitiative,ManagingInformationSecurityRisk:Organization,Mission,andInformationSystemView,NISTSpecialPublication800-39,:///doc/ /publications/nistpubs/800-39/mentofEnergy,ElectricitySubsectorCybersecurityRiskManagementProcess,DO E/OE-0003,:///doc//sites/prod/files/Cybersecurity%20Risk%20Management%20Process%20Guidelin e%20-%20Final%20-%20May%2.0 基本框架该框架提供了⼀种共同语⾔的理解，管理，以及内部和外部表达⽹络安全风险。它可以⽤来帮助识别和优先降低⽹络安全风险的⾏动，这是调整政策，业务和技术⽅法来管理这种风险的⼯具。它可⽤于在整个组织管理的⽹络安全风险，或者它可以集中在⼀个组织内的输送关键服务。不同类型的实体 - 包括部门的协调机构，协会和组织 - 可以使⽤框架为不同的⽬的，包括建⽴共同的配置⽂件中。2.1框架的核⼼该框架核⼼提供了⼀组活动，以实现特定的⽹络安全成果，并指导参考实例来实现这些成果。核⼼是不是要执⾏的操作清单。它提出了确定⾏业管理⽹络安全风险的有益⽹络安全的关键成果。核⼼包括四个要素：功能，类别，⼦类别，并参考性⽂献，如图1所⽰：Figure1:FrameworkCoreStructure该框架的核⼼元素结合在⼀起的⼯作⽅式如下：功能组织基本的⽹络安全活动的最⾼⽔平。这些功能是识别，保护，检测，响应和恢复。他们帮助⼀个组织中表达的⽹络安全风险及其通过组织信息化管理，使风险管理决策，应对威胁，并从以往的活动学习提⾼。该功能还配合现有⽅法的事件管理和帮助表⽰投资的⽹络安全带来的影响。例如，在规划和演习的投资⽀持及时响应和恢复⾏动，导致对服务的交付减少的影响。分类是⼀个功能的细分到⽹络安全的成果紧密联系在⼀起的纲领性需求和特定活动的团体。类别的例⼦包括“资产管理”，“访问控制”和“检测过程。”⼦类别进⼀步划分⼀个类别为技术和/或管理活动的具体成果。他们提供了⼀个结果集，虽然并不详尽，帮助⽀持实现在每个类别的成果。⼦类别的例⼦包括：“外部信息系统进⾏编⽬”，“数据的静⽌是被保护的”，和“从检测系统通知进⾏了研究。”参考性⽂献的标准，准则和关键基础设施部门，说明的⽅法，以实现与各⼦类别相关的结果之间的共同做法的具体章节。在核⼼框架提出的参考性⽂献是说明性的，并⾮详尽⽆遗。他们是基于跨部门的指导框架开发process.7过程中最经常被引⽤的五个框架核⼼功能定义如下。这些功能不是为了形成⼀个串⾏路径，或导致静态理想的最终状态。相反，该函数可以同时和连续地进⾏，以形成解决了动态⽹络安全风险的操作培养。见附录A的完整框架核⼼上市。识别 - 开发组织的理解来管理⽹络安全风险的系统，资产，数据和功能。在识别功能的活动是基本有效使⽤框架。了解业务环境，⽀持关键职能的资源，以及相关的⽹络安全风险，使组织能够集中和优先努⼒，凭借其风险管理策略和业务需求保持⼀致。此功能在结果分类的例⼦包括：资产管理，商业环境，治理，风险评估，以及风险管理策略。保护 - 制定并实施相应的保障措施，以确保提供重要的基础设施服务。保护功能⽀持限制或含有潜在的⽹络安全事件的影响的能⼒。此功能在结果分类的例⼦包括：访问控制，意识和培训，数据安全，信息保护流程和程序;维护;和保护技术。检测 - 制定并实施适当的活动，以识别⽹络安全事件的发⽣。该检测功能能够及时发现⽹络安全事件。此功能在结果分类的例⼦包括：异常和事件;安全连续监测，以及检测过程。响应 - 制定并实施适当的活动，以采取有关检测到的⽹络安全事件的⾏动。7NISTdevelopedaCompendiumofinformativereferencesgatheredfromtheRequestforInformation(RFI)input,CybersecurityFrameworkworkshops,pendiumincludesstandards,guidelines,pendiumisnotintendedtobeanexhaustivelist,pendiumandothersupportingmaterialcanbefo undat/doc/ /cyberframework/.该响应函数⽀持包含⼀个潜在的⽹络安全事件的影响的能⼒。此功能在结果分类的例⼦包括：响应计划;通讯，分析，减灾;和改进。恢复 - 制定并实施适当的活动，以保持计划的弹性和还原是由于⽹络安全事件受损的任何功能或服务。该恢复功能⽀持及时恢复到正常的操作，以减少从⽹络安全事件的影响。此功能在结果分类的例⼦包括：恢复规划;改进;和通信。2.2框架实现层级该框架的实施层级（“层”）提供上下⽂对⼀个组织如何观看⽹络安全风险，并在适当的程序来管理风险。该层级的范围从部分（第1层），以⾃适应（第4层），并描述了严谨和复杂的程度增加⽹络安全的风险管理做法，其⽹络安全风险管理是由业务需求了解并集成到⼀个组织的整体风险程度管理实践。风险管理的考虑因素包括⽹络安全的许多⽅⾯，包括其隐私和公民⾃由⽅⾯的考虑都融⼊的⽹络安全风险和潜在的风险应对组织的管理程度。第⼀级选择过程中考虑企业当前的风险管理做法，威胁环境，法律和监管规定，业务/任务⽬标和组织约束。组织应确定所需的第⼀级，以确保所选择的级别是否符合组织的⽬标，是贯彻落实可⾏的，并降低⽹络安全风险的重要资产和资源，以接受该组织的⽔平。组织应考虑利⽤来⾃联邦政府部门和机构，信息共享和分析中⼼（ ISACS ），现有的成熟度模型，或其他来源获得的，以帮助确定⾃⼰想要的层外部指导。虽然组织认定为⼀级（部分）⿎励将考虑转向⽅法2或更⼤，层级并不代表成熟度级别。发展到更⾼层级的⿎励时，这样的改变会降低⽹络安全风险，并符合成本效益。成功实施该框架是基于成就组织的⽬标配置⽂件（S ），⽽不是在⼀线的决⼼所描述的结果时。该层定义如下：第1级：部分风险管理程序 - 组织⽹络安全风险管理实践没有正式的，⽽且风险是在⼀个特设有时⽆的⽅式进⾏管理。⽹络安全的活动的优先顺序，不得直接告知组织风险的⽬标，威胁环境，或业务/任务需求。集成的风险管理计划 - ⽬前的⽹络安全风险在组织层⾯认识有限和整个组织的⽅法来管理⽹络安全风险尚未确定。组织实施对不规则，逐案基础上，由于丰富的经验，或从外部来源获得的信息⽹络安全风险管理。该组织可能没有流程，使⽹络安全信息可在组织内共享。?外部参与 - ⼀个组织可能没有到位的过程中参与的协调或协作与其他实体。第2层：风险知情风险管理流程 - 风险管理实践均经管理层批准，但可能不被确⽴为组织范围的策略。⽹络安全的活动的优先顺序是直接告知组织风险的⽬标，威胁环境，或业务/任务需求。集成的风险管理计划 - ⽬前的⽹络安全风险在组织⽔平，但全组织的⽅法来管理⽹络安全风险尚未建⽴的意识。风险告知，管理层批准的过程和程序都定义和实现，以及⼯作⼈员有⾜够的资源来履⾏其⽹络安全的职责。⽹络安全信息上⾮正式地在组织内共享。外部参与 - 组织知道它在更⼤的⽣态系统的作⽤，但还没有正式确定了其功能，对外交流和共享信息。第3层：可重复风险管理程序 - 该组织的风险管理做法被正式批准，并表⽰为政策。组织⽹络安全的做法是定期更新的基础上的风险管理程序的应⽤，以改变业务/任务要求和不断变化的威胁和技术的景观。集成的风险管理计划 - 有⼀个组织范围内的⽅法来管理⽹络安全风险。是风险告知政策，流程和程序中定义，实现为⽬的，并审查。⼀致的⽅法已到位，有效地改变应对风险。⼈员具备的知识和技能，以履⾏其指定的⾓⾊和责任。外部参与 - 组织了解其依赖关系和合作伙伴，并从这些合作伙伴，使协作和组织内部基于风险的管理决策响应事件接收信息。第4级：⾃适应风险管理流程 - 基于经验教训，并从以往和当前⽹络安全的活动所产⽣的预测指标，该组织适应其⽹络安全的做法。通过不断完善结合先进的⽹络安全技术和实践的过程中，组织积极适应不断变化的⽹络安全景观和响应不断变化，并及时复杂的安全威胁。集成的风险管理计划 - 有⼀个组织范围内的⽅法来管理使⽤风险告知政策，流程和程序，以解决潜在的⽹络安全事件的⽹络安全风险。⽹络安全风险管理是组织⽂化的⼀部分，从以前的活动，通过其他渠道共享信息，并在他们的系统和⽹络活动的意识不断的认识演进。?外部参与 - 组织管理风险，并积极分享信息与合作伙伴，以确保准确，及时的信息的分发和消费的⼀个⽹络安全事件发⽣之前，以改善⽹络安全。2.3框架简介该框架配置⽂件（“档案”）是函数，类别和⼦类别的业务需求，风险承受能⼒，以及资源组织的对齐⽅式。⼀个侧影使组织能够建⽴⼀个路线图，降低⽹络安全风险，是很好⽤的组织和部门的⽬标⼀致，认为法律/法规要求和⾏业最佳实践，并体现了风险管理的优先事项。鉴于许多组织的复杂性，他们可以选择有多个配置⽂件，特别组件，并认识他们的个⼈需求保持⼀致。框架配置⽂件可以⽤来形容当前的状态或特定的⽹络安全活动所需的⽬标状态。当前配置⽂件的指⽰，⽬前正在取得的⽹络安全成果。⽬标资料表明以实现所需的⽹络安全风险管理⽬标所需要的结果。配置⽂件⽀持业务/任务需求，并有助于风险的内部和组织之间的沟通。此框架⽂件没有规定个⼈资料模板，允许在实施的灵活性。配置⽂件（例如，当前配置和⽬标配置⽂件）的⽐较可发现差距加以解决，以满⾜⽹络安全的风险管理⽬标。⼀项⾏动计划，以解决这些差距可以促进上述路线图。减缓差距的优先次序是由组织的业务需求和风险管理流程驱动的。这种基于风险的⽅法使组织能够衡量资源估算（如⼈员，资⾦）来实现具有成本效益的，优先的⽅式⽹络安全的⽬标。2.4协调框架的实施图2描述的信息，并决定组织内部的共同流量为以下⼏个层次：执⾏业务/流程实施/运营⾏政级别通信的任务优先级，可利⽤的资源，以及整体风险承受能⼒到业务/流程层⾯。业务/流程层⾯使⽤信息作为输⼊到风险管理过程，然后与合作的实施/运营级通信业务需求，并创建⼀个配置⽂件。实施/运营级通信的个⼈资料实施进展情况向业务/流程层⾯。业务/流程层⾯使⽤这些信息来进⾏影响评估。业务/流程层⾯的管理报告，影响评估的结果，以⾏政级别来通知该组织的整体风险管理程序，并实施/操作对业务的影响的认识⽔平。Figure2:NotionalInformationandDecisionFlowswithinanOrganization3.0如何使⽤框架⼀个组织可以使⽤该框架作为其系统的过程的⼀个关键部分进⾏识别，评估和管理⽹络安全风险。该框架的⽬的不是要取代现有的流程，组织可以使⽤其当前进程和覆盖其上的框架，以确定差距，其⽬前的⽹络安全风险的⽅法，并制定路线图的改进。利⽤该框架作为⼀个⽹络安全的风险管理⼯具，⼀个组织可以判断是最重要的，关键的服务提供活动和优先⽀出，以最⼤限度地提⾼投资的影响。该框架的⽬的是补充现有业务和⽹络安全业务。它可以作为⼀个新的⽹络安全⽅案或机制以改善现有程序的基础。该框架提供了⼀种表达⽹络安全要求与业务合作伙伴和客户的⼀种⼿段，可以帮助确定⼀个组织的⽹络安全实践的差距。它还提供了⼀个⼀般设置注意事项和流程考虑在⽹络安全程序的上下⽂隐私和公民⾃由问题。以下各节介绍不同的⽅法，使组织可以使⽤该框架。3.1基本审查⽹络安全实践该框架可⽤于与本框架的核⼼概括⽐较组织当前⽹络安全的活动。通过创建⼀个当前的配置⽂件，组织可以检查它们所实现的核⼼类别和⼦类别描述的结果，与五⾼层次的功能⼀致的程度：识别，保护，检测，响应和恢复。⼀个组织可能会发现它已经达到理想的结果，因此，⽹络安全管理与已知的风险相称。相反，⼀个组织可以判定它有机会（或需要）提⾼。该组织可以利⽤这些信息来制定⼀项⾏动计划，以加强现有的⽹络安全实践，并降低⽹络安全风险。⼀个组织也可能会发现，它是过度投资达到⼀定的成果。该组织可以使⽤此信息来重新确定优先次序资源，加强⽹络安全的其他⾏为。虽然他们并不能取代风险管理程序，这五个⾼⽔平的功能将会对⾼级管理⼈员和其他⼈提供了⼀个简洁的⽅式来提炼的⽹络安全风险的基本概念，使他们能够评估如何识别风险的管理，以及如何组织他们的书库在⾼达针对现有⽹络安全标准，准则和惯例的⾼⽔平。该框架还可以帮助企业回答的基本问题，包括“是怎样的呢？”然后，他们可以在⼀个更明智的⽅式来加强其⽹络安全的做法认为有必要在何时何地移动。3.2建⽴或完善⼀个⽹络安全计划下⾯的步骤说明如何组织可以使⽤该框架来创建⼀个新的⽹络安全程序或改进现有的程序。应重复这些步骤，要不断提⾼⽹络安全。第1步：优先和范围。该组织确定其业务/任务⽬标和⾼层次的组织优先事项。有了这些信息，组织公司对于⽹络安全的实现战略决策，并确定系统和⽀持选定的业务线或过程资产的范围。该框架可适应以⽀持组织内的不同业务线或过程，也可以有不同的业务需求和相关的风险承受能⼒。第2步：东⽅。⼀旦⽹络安全⽅案的范围已确定为业务线或过程，组织确定了相关制度和资产，监管要求和整体风险的⽅法。然后，组织识别威胁，⽽且，这些系统和资产脆弱性。第3步：创建⼀个当前配置⽂件。该组织通过指⽰其分类，并从框架核⼼⼦⽬录成果，⽬前正在实现开发⼀个当前配置⽂件。第4步：进⾏风险评估。这项评估可能由该组织的整体风险管理过程中或以前的风险评估活动的指导。该组织分析经营环境，以识别⼀个⽹络安全事件的可能性和该事件可能对组织的影响。重要的是，组织争取把新的风险和威胁和漏洞数据，以便充分理解的可能性和⽹络安全事件的影响。第5步：创建⽬标配置⽂件。该组织创建⽬标配置⽂件，侧重于框架类别和⼦类别描述了组织的期望的⽹络安全成果的评估。组织也可以开发⾃⼰的额外的类别和⼦类别占到独特的组织风险。创建⽬标配置⽂件时，该组织也可考虑影响和外部利益相关者的要求，如部门实体，客户和业务合作伙伴。第6步：确定，分析和优先差距。该组织⽐较了当前配置和⽬标配置⽂件，以确定差距。接着，它会创建⼀个优先⾏动计划，以解决这些差距的借鉴使命的驱动程序，成本/效益分析，以及对风险的理解，以达到在⽬标配置⽂件的结果。该组织然后确定需要解决的差距的资源。以这种⽅式使⽤配置⽂件使组织能够做出有关⽹络安全的活动明智的决定，⽀持风险管理，使组织能够进⾏具有成本效益的，有针对性的改进。步骤7 ：实施⾏动计划。该组织决定要采取的措施的问候的间隙，如果有的话，在先前步骤中确定的。然后它会监视对⽬标配置⽂件⽬前⽹络安全的做法。为进⼀步指导，框架识别有关类别和⼦类别的例⼦参考性⽂献，但组织应确定哪些标准，准则和做法，包括那些特定⾏业，最适合他们的需要。根据需要不断评估和改进其⽹络安全的组织可能会重复这些步骤。例如，组织可能会发现，东⽅步骤更加频繁重复提⾼风险评估的质量。此外，组织可以通过迭代更新到当前的配置⽂件监测进展情况，随后⽐较当前配置⽂件到⽬标配置⽂件。组织也可以利⽤这个过程来⾃⼰理想的框架实现层调整其⽹络安全计划。3.3通信⽹络安全需求与利益相关者该框架提供了⼀个共同的语⾔进⾏沟通负责必不可少的关键基础设施服务的提供相互依存的利益相关者的要求。实例包括：⼀个组织可能利⽤⽬标配置⽂件来表达⽹络安全风险管理要求，外部服务提供商（例如，⼀个云提供商它所导出的数据）。⼀个组织可以通过当前的配置⽂件表⽰其⽹络安全状态报告结果或与收购的要求进⾏⽐较。⼀个重要的基础设施所有者/经营者，在确定对其中的基础设施依赖外部合作伙伴，可以使⽤⽬标配置⽂件来传达所需的类别和⼦类别。⼀个重要的基础设施部门可以设⽴⼀个⽬标配置⽂件，可以使⽤它的成分中作为⼀个初始基线资料，以建⽴⾃⼰的定制⽬标配置⽂件。3.4确定新的机遇或修订的规范性参考⽂献该框架可⽤于识别新的或修订的标准，准则或惯例在附加参考性⽂献，将有助于企业满⾜新的需求机会。实现给定的⼦类别，或开发新的⼦类别的组织，可能会发现，有⼀些参考性⽂献，如果有的话，对于相关的活动。为了满⾜这⼀需求，该组织可能会与技术带头⼈和/或标准组织起草，制定，协调标准，准则或惯例进⾏合作。3.5⽅法来保护隐私和公民⾃由本节介绍了所要求的⾏政命令来解决个⼈隐私和公民⾃由的影响，可能导致⽹络安全业务的⼀种⽅法。这种⽅法的⽬的是因为隐私和公民⾃由的影响可能会有所不同部门或随着时间的推移和组织可以解决这些⽅⾯的考虑和流程，⼀系列的技术实现⼀般设置注意事项和流程。然⽽，在⼀个⽹络安全⽅案并⾮所有的活动，可能这些因素引起。符合第3.4节，技术保密标准，准则和其他最佳做法可能需要开发⽀持改进的技术实现。当个⼈信息的使⽤，收集，处理，保存，或与⼀个组织的⽹络安全活动有关的披露可能出现的隐私和公民⾃由问题。那熊隐私或公民⾃由⽅⾯的考虑活动的⼀些例⼦可能包括：⽹络安全的活动，导致过度采集或过度保留的个⼈信息;披露⽆关的⽹络安全活动的个⼈信息或使⽤，这导致拒绝⽹络安全减灾活动服务或其他类似的潜在的不利影响，包括活动，如某些类型的事件检测或监测可能影响⾔论或结社的⾃由。政府的政府和代理商有直接的责任，以保护⽹络安全的活动所产⽣的公民⾃由。参考下⽂的⽅法，政府或拥有或经营的关键基础设施，政府的代理⼈应该有⼀个过程，以⽀持遵守适⽤的隐私法律，法规和宪法要求⽹络安全的活动。为了解决隐私问题，企业可以考虑怎么样，⽽该等措施是适当的，他们的⽹络安全程序可能包含隐私原则，例如：尽量减少数据的收集，披露和保留相关的⽹络安全事件的个⼈信息资料的;使⽤限制对专门针对⽹络安全的活动收集的任何信息⽹络安全的活动外，对某些⽹络安全的活动的透明度;个⼈同意和补救措施的使⽤在⽹络安全活动的个⼈信息⽽产⽣的不利影响;数据质量，完整性和安全性，以及问责制和审计。随着组织评估框架核⼼附录A中，下列过程和活动可被视为⼀种⼿段，以解决上⾯提到的隐私和公民⾃由的含义：的⽹络安全风险治理⽹络安全的风险的⼀个组织的评估和潜在的风险应对措施考虑其⽹络安全计划的隐私问题个⼈与⽹络安全相关的隐私责任报告适当的管理和相应培训过程是否到位，以⽀持遵守适⽤的隐私法律，法规和宪法规定的⽹络安全活动过程是否到位，以评估实施上述组织措施和控制途径识别和授权的个⼈访问组织资产和系统采取措施以识别和解决访问控制措施的隐私问题的范围内，它们涉及个⼈信息的收集，披露，使⽤或意识和培训措施