专家解读 | NIST网络安全框架(3):层级配置

最新推荐文章于 2024-12-17 14:55:56 发布
最新推荐文章于 2024-12-17 14:55:56 发布
阅读量1.3k 收藏 11
点赞数 25
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Enlink_Young/article/details/139586964
版权

e4e78790c1e815c108944a295bde9251.jpeg

NIST CSF在核心部分提供了六个类别的关键功能和子功能,并围绕CSF的使用提供了层级(Tier)和配置(Profile)两种工具,使不同组织和用户更方便有效地使用CSF,本文将深入探讨CSF层级和配置的主要内容,及其使用方法。 关键字:网络安全框架;CSF层级;CSF配置

CSF层级


在组织的系统性风险治理过程中,CSF框架可以用于识别、评估和管理网络安全风险。结合现有的管理流程,组织可以利用CSF分析确定当前网络安全风险管理方法中存在的差距,并制定改进路线图。 CSF通过“(实施)层级”为利益相关者提供了组织网络安全计划的相关背景信息。NIST 明确指出,CSF层级并非成熟度模型,而是一种指导性的方法,用于阐明网络安全风险管理和企业运营风险管理之间的关系,简而言之,层级提供了一条清晰的路径,将网络安全风险纳入企业的整体组织风险中,同时作为评估当前网络安全风险管理实践的基准,帮助组织制定改善其网络安全状况的计划。 1.层级定义 由于不同组织具有不同的风险、不同的风险承受能力以及不同的威胁和漏洞,因此他们对CSF的实施方式也会存在区别。例如,大型企业可能已经实施了CSF核心中的大部分安全措施,而小型组织可能因为只拥有较少的数据泄露途径,其数据安全流程可能仅处于起步阶段。 为了满足不同组织的不同安全要求,实施层以等级式的描述方式,将企业网络安全风险管理实践映射至CSF框架,用来描述企业实践与NIST CSF的一致程度。 

452e25d03967a359ca0ecf18b3fa39d3.jpeg

最低0.47元/天 解锁文章
NIST网络安全框架体系应用
weixin_48579910的博客
06-27 1347
NIST网络安全框架通过识别、保护、检测、响应和恢复五个核心功能,为组织提供了全面的网络安全管理指导。通过实施这些核心功能,组织可以有效地管理和降低网络安全风险,保护关键资产和业务的安全与连续性。结合具体应用场景,实施针对性的安全措施,确保组织在面对网络安全威胁时具备足够的抵御能力。
构建网络安全的坚实基石:深入解析NIST与ISO 27001框架
2401_85341950的博客
08-03 1313
网络安全框架是一套指南和最佳实践,用于帮助组织评估、设计、实施和维护其网络安全策略。这些框架通常包括识别、保护、检测、响应和恢复五个核心功能。
NIST网络安全框架.pdf
03-10
美国商务部国家标准与技术研究院(NIST)发布《提升关键基础设施网络安全框架》,该框架框架核心、框架实施层和框架概况三大基本要素组成。框架核心提供了一套关键基础设施行业通用的网络安全活动、预期结果和适用参考。框架核心提出了行业标准、指南和实践,以便组织机构从管理层到执行层的层级沟通网络安全活动和结果。框架核心包含功能、类别、 子类别和信息参考4个要素,以及识别、保护、检测、响应和恢复5个功能。 框架实施层为组织机构提供相关机制,供其了解网络安全风险管理方法的特征,并提供网络安全风险审视方法和管理风险的流程,可帮助组织机构确定优先级并实现网络安全目标。实施层指的是组织机构安全风险管理实践的程度,衡量标准包括风险与威胁意识、可重复和自适应等要素。实施层通过四个层级范围描述组织机构的实践程度,各层级(从部分的层级1到自适应的层级4)反映了从非正式、被动响应到自适应的表现。该框架指出,在确定实施层级的过程中,组织机构应考虑当前的风险管理实践、威胁环境、法律法规要求、业务/任务目标和限制条件。   框架概况根据组织机构的业务需求、风险承受能力、资源等要素,对功能、类别和子类别进行调整,帮助各组织机构建立降低网络安全风险的路线图,确保既能兼顾整体与部门目标、考虑法律法规要求和行业最佳实践,又能反映风险管理的轻重缓急。“概况”可被定义为在特定实施场景下对核心框架的类别和子类别进行调整。借助概况,组织机构可对比“当前概况”和“目标概况”,以此识别提升网络安全态势的机会。要制定出框架“概况”,组织机构可查看所有的类别和子类别,并基于业务或任务需求以及风险评估,以此确定最重要的事项。组织机构可按需添加类别和子类别解决风险。“当前概况”可用来审视“目标概况”需考虑的优先级和进度衡量,同时考虑包括成本效益和创新在内的其它业务需求。组织机构可利用概况进行自我评估,并有助于在组织机构内部和组织机构之间进行风险沟通。
NIST网络安全框架五步走
u014389734的博客
12-05 2443
NIST CSF 的内容都是公开的,谁都可以查阅,此处不再赘述。这里要讨论的,是可以帮助公司企业根据自身情况现实应用 NIST CSF 的五个步骤。根据公司需要调整美国国家标准与技术研究所(NIST)的安全路线图的可操作建议。 美国国家标准与技术研究所网络安全框架( NIST CSF )第一版于2014年发布,旨在帮助各类组织机构加强自身网络安全防御,最近更新到了1.1版。该框架是在奥巴马总...
美国NIST网络安全框架
01-28
美国NIST网络安全框架》cybersecurity-framework-021214
NIST 网络安全框架导读
云上笛暮
10-12 2380
三年前,我发布了一项总统政策指令,以加强和维护安全且有弹性的关键基础设施。今天,我们将继续实现这一愿景,即政府和私营部门如何共同努力,以降低风险并提高我们基础设施的稳定性和安全性。由于我们的世界相互联系从未如此紧密,我们知道保持我们的关键基础设施正常运转需要与国际合作伙伴合作。这就是为什么我们正在努力通过与世界各地的合作伙伴共享信息来促进全球关键基础设施的安全性和弹性。 总统公告 - 2016 年关键基础设施安全和弹性月 巴拉克奥巴...
网络安全框架NIST框架介绍
SteveRocket's-Blog
05-04 1505
NIST框架是美国国家标准与技术研究院(NIST)提出的一种信息安全管理框架,旨在帮助组织建立和维护有效的信息安全管理系统。该框架包括五个核心组件:识别、保护、检测、响应和恢复。本文将对NIST框架进行详细的介绍和分析。
专家解读 | NIST网络安全框架(1):框架概览
Enlink_Young的博客
05-06 1461
当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。
美国NIST关键基础设施网络安全框架中文解读
"美国NIST(国家标准与技术研究所)发布的《网络安全框架》中文版文档,旨在改善关键基础设施的网络安全,应对日益复杂的网络威胁。这份文档是2014年2月12日发布的版本1.0,包含了框架的核心、配置文件和实施层级,...
如何根据NIST网络安全框架的核心功能领域,有效建立组织的风险管理策略?
11-09
NIST网络安全框架的核心功能领域包括识别、保护、检测、响应和恢复,这些领域提供了组织管理网络安全风险的一系列指导。首先,组织需要进行全面的资产识别,包括硬件、软件、数据及人员等所有重要组件。在保护方面,...
美国NIST网络安全框架》中英文版
08-09
美国NIST网络安全框架》cybersecurity-framework-021214中英文版
cobit框架_实施NIST网络安全框架
weixin_39867594的博客
11-28 420
实施NIST网络安全框架前沿阵地将于11月更新译文版,敬请关注。2013年,美国总统奥巴马发布行政命令(EO)13636,以改善关键基础设施的网络安全性。EO呼吁制定一项自愿的基于风险的网络安全框架(Cybersecurity Framework,即CSF),该框架具有“优先级、灵活性、可重复性、基于性能和成本效益”。CSF是通过小型和大型组织的国际伙伴关系发展起来的,包括国家关键基础设...
美国“工信部“2024年发布了网络安全框架CSF 2.0,相比1.0有哪些变化,又给我们带来了哪些启示?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-15 3038
NIST网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。治理是指建立和监控组织的信息安全风险管理战略、期望和政策。治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。
NIST将对网络安全框架进行重大更新
smellycat000的专栏
02-27 1183
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国国家标准与技术研究院 (NIST) 正在计划对网络安全框架 (CSF) 进行重大更新。这是五年来首次对该框架进行更新。CSF 在2014年首次发布,并在2018年更新至版本1.1,为管理网络安全风险提供了一系列指南和最佳实践。该框架的目的是更具灵活性和适应性而非规范性,广泛应用于全球组织机构和政府机构,协助他们创建网络安全计划并衡量其成熟度。...
网络安全框架和云安全参考架构介绍
qq_25409421的博客
03-16 2813
在云计算网络安全落地之前,调研市面上的网络安全框架和云安全参考架构,特别是国内等保2.0中关于云计算的架构内容,是极为重要的一件事件,关系着云计算安全能否落地的问题。在本文中,网络安全框架主要介绍由美国国家安全局组织专家编写的IATF框架和美国国家标准技术研究院 (NIST)编写的NIST框架。云安全参考架构内容,主要介绍了NIST建立的云计算参考架构内容、CSA云参考模型、IBM基于SOA的云通用安全架构以及国内等保2.0云安全防护技术框架等的相关内容。跟着我一起来看看吧,让我们一起快乐的学习,哈哈哈
网络安全人士必知的35个安全框架及模型
weixin_51725318的博客
11-04 1435
网络安全人士必知的35个安全框架及模型
[翻译]NIST CSF、ISO 27001/2、NIST 800-53与SCF安全框架比较
weixin_41158690的博客
08-02 2901
几种主流的安全框架概述与比较,以及适用企业说明。
网络安全人士必知的CSF 2.0安全框架
最新发布
2302_76672693的博客
12-17 1393
网络安全人士必知的CSF 2.0安全框架
这才是CSDN最系统的网络安全学习路线(建议收藏)
2401_84466229的博客
07-01 1705
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值