澳大利亚：网络安全原则

网络安全原则的目的

网络安全原则的目的是就组织如何保护其系统和数据免受网络威胁提供战略指导。这些网络安全原则分为四个关键活动：治理、保护、检测和响应。

• 治理：识别和管理安全风险。

• 保护：实施控制措施以降低安全风险。

• 检测：检测和了解网络安全事件以识别网络安全事件。

• 响应：响应网络安全事件并从中恢复。

治理原则

治理原则是：

• G1：首席信息安全官负责领导和监督网络安全。

• G2：确定并记录系统、应用程序和数据的身份和价值。

• G3：确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。

• G4：安全风险管理流程嵌入到组织风险管理框架中。

• G5：在系统和应用程序被授权使用之前，安全风险被识别、记录、管理和接受，并在其整个运行生命周期内持续存在。

保护原则

保护原则是：

• P1：系统和应用程序根据其价值及其机密性、完整性和可用性要求进行设计、部署、维护和停用。

• P2：系统和应用程序由值得信赖的供应商交付和支持。

• P3：系统和应用程序配置为减少其攻击面。

• P4：系统和应用程序以安全和负责任的方式进行管理。

• P5：及时识别和缓解系统和应用程序中的安全漏洞。

• P6：只有受信任和支持的操作系统、应用程序和计算机代码才能在系统上执行。

• P7：数据在不同系统之间静态和传输过程中进行加密。

• P8：不同系统之间通信的数据是受控和可检查的。

• P9：数据、应用程序和配置设置以安全且经过验证的方式定期备份。

• P10：只有受信任和经过审查的人员才能访问系统、应用程序和数据存储库。

• P11：人员被授予对其职责所需的系统、应用程序和数据存储库的最低访问权限。

• P12：多种方法用于识别和验证系统、应用程序和数据存储库的人员。

• P13：为人员提供持续的网络安全意识培训。

• P14：对系统、支持基础设施和设施的物理访问仅限于授权人员。

检测原理

检测原理是：

• D1：及时收集和分析事件日志，以检测网络安全事件。

• D2：及时分析网络安全事件，以识别网络安全事件。

响应原则

响应原则是：

• R1：网络安全事件及时向相关机构报告内部和外部。

• R2：网络安全事件得到及时遏制、消除和恢复。

• R3：在需要时制定业务连续性和灾难恢复计划。

成熟度建模

在实施网络安全原则时，组织可以使用以下成熟度模型来评估单个原则、原则组或整个网络安全原则的实施情况。成熟度模型中的五个级别是：

• 不完全的：网络安全原则部分实施或未实施。

• 初始级：网络安全原则得以实施，但以糟糕或临时的方式实施。

• 充分发展：网络安全原则得到充分实施，但以项目为基础。

• 量化管理：网络安全原则被确立为标准业务实践，并在整个组织中得到有力实施。

• 持续优化：在整个组织中实施网络安全原则时，有意识地关注优化和持续改进。

后记：本文为澳大利亚官方今年九月份更新版，翻译过程中难免存在失误，请君多包涵。本文仅供大家作为他山之石，权做参考。