NIST 网络安全框架（CSF）2.0

写在前面：能否在日常工作中，参考CSF的内容呢？答案当然是可以，但具体如何和实际工作整合，我还没有想好。以前做咨询时，也曾经使用过CSF IPDRR 方法，但客户总体上接受度不大，或者说咨询是咨询，设计是设计，实施是实施，这个活给谁干，就使用谁的方法。因为我们日常设计网络安全体系，最常用的还是“分域分级防护”，或者“深度防御”策略，重点还是强调不同安全技术的组合，很多框架只是写出来参考，并没有真正把其设计思想融合到方案中，也很少从特别高的层面来思考网络安全。

这次CSF 2.0，增加了很多治理的内容，现在看这个框架，就觉得很有感触。就像NIST 所说的那样，框架的意义就是给你一个整体概念，尽量覆盖大多数组织的要求，然后各自根据自己的要求再进行裁剪。有了一个“标杆”，接下来做就容易多了。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

最近看到的一些资料，都在强调“安全就是业务”，所以也要按照业务的要求来管理和评估安全，甚至度量安全，考核安全。这也是增加“治理”部分的原因之一。而且我们现在也明白，安全除了技术之外，还有管理制度、监管合规、安全意识、业务连续性、供应链安全等。从这个角度来看，CSF 2.0就非常有意义了。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

摘要

        NIST网络安全框架(CSF) 2.0为业界、政府机构和其他组织管理网络安全风险提供指南。它提供了一个高水平的网络安全成果分类方法，任何组织都可以使用-无论其规模、部门、或成熟度-以便更好地理解、评估、排序和沟通其网络安全工作。本框架没有说明如何实现结果。而是通过在线资源在实践和控制方面提供了额外指导，可用来实现这些目标。本文档描述了CSF框架本身、各个部分、以及它可以被使用的一些方法。

关键字

        网络安全；网络安全框架(CSF)；网络安全风险治理；网络安全风险管理；企业风险管理；概况；层级。

受众

        负责开发和领导网络安全项目的个人是本框架的主要读者。其他参与风险管理的人也可以使用-包括高管、董事会、收购专家、技术专家、风险经理、律师、人力资源专家、网络安全和风险管理审计员-指导他们和网络安全相关的决策。此外，本框架有助于制定和影响政策的机构(如协会、专业组织、监管机构)制定和沟通网络安全风险管理的优先级。

补充内容

        NIST将继续打造和增加额外的资源，以帮助组织实施框架，包括快速入门指南和社区概况。所有资源都可在NIST CSF网站上（https://www.nist.gov/cyberframework）公开获得。NIST CSF网站的其他参考资源的建议可以通过cyberframework@nist.gov与NIST沟通。

读者须知

        除非另有说明，否则本出版物中引用、参考或摘录的文档不完全属于本出版物。

        在2.0版本之前，网络安全框架被称为“改进关键基础设施网络安全框架。”这个说法不适用于CSF 2.0。

致谢

        CSF是美国和世界各地的业界、学术界和政府多年合作的成果。NIST感谢并认可所有对修订版框架有贡献的人。可以从NIST CSF网站上找到关于框架开发过程的信息。在CSF的使用中吸取的教训可以通过cyberframework@nist.gov随时与NIST分享。

前言

        网络安全框架(CSF) 2.0设计宗旨是帮助各种规模和行业的组织-包括业界，政府，学术界和非营利组织-管理和减少他们的网络安全风险。无论其网络安全项目的成熟度和技术复杂度如何，它都大有裨益。而且，框架并没有采取一刀切的做法。每个组织都有通用的和特有的风险、以及不同的风险爱好和容忍度、特定的任务、以及实现这些任务的目标。各自情况有异，所以实施框架的方式也互不相同。

        理想情况下，框架将用于解决网络安全风险以及其他企业风险，包括财务、隐私、供应链、声誉、技术、或者是物理特性。

        CSF描述了期望被广泛受众理解的成果，包括高管、管理者和一线人员，无论他们的网络安全专业知识如何。由于这些成果和行业、国家及技术无关，因此它们提供解决其特有风险、技术和任务所需的灵活性。成果直接对应到可用的安全控制列表，适于立即降低网络安全风险。

        虽然没有规定，但CSF帮助其用户学习和选择特定的成果。关于如何取得具体成果的建议参考在线资源套件，包括一系列快速入门指南，以补充CSF。此外，各种工具提供了可下载的格式，以帮助组织选择自动化他们的一些流程。快速入门指南提出了使用CSF的入门方法，邀请读者更深入地探索CSF和相关资源。可以在NIST CSF网站获得这些补充资源，应该被视为“CSF资料包”，以帮助管理和降低风险。不管具体如何应用，CSF提示其用户在环境中考虑他们的网络安全态势和背景，然后调整CSF以满足他们的特定需求。

        在之前版本的基础上，CSF 2.0包含了新功能，突出_治理_和_供应链_的重要性。特别注意快速入门指南，以确保CSF适于较小的组织以及较大的组织。NIST现在提供了_实施示例_和_信息参考_，这些都是在线可用并定期更新。创建当前和目标状态的_组织概况，_会有助组织比较他们现在所处的位置和他们想要或需要达到的目标，允许它们可以更快地实施和评估安全控制。

        网络安全风险在不断扩大，管理这些风险必须是一个持续的过程。不管一个组织是刚刚开始面对网络安全的挑战，或者具有资源丰富、已经从事多年的网络安全团队，都是如此。CSF被设计成对任何类型、期望长期提供适当指导的组织都有价值。

1. 1. 网络安全框架(CSF)概述

        本文档是NIST网络安全框架(CSF)的2.0版本。它包括以下组成部分：

• **CSF核心（CSF Core）。**简而概之，这是一个高水平的网络安全成果分类方法，可以帮助任何组织管理其网络安全风险。CSF核心是一个由功能、类别和子类别组成的分层结构，详细描述了每个部分产出成果。这些成果可以被广泛的受众所理解，包括高管、经理和一线人员，无论他们的网络安全专业知识如何。由于这些成果和行业、国家和技术无关，因此它们给组织提供了灵活性、能够解决其特有的风险、技术和任务。

• **CSF组织概况（CSF Organizational Profiles ）。**一种机制，根据CSF 核心的成果，描述组织当前和/或目标网络的安全态势。

• **CSF层级（CSF Tiers）。**可应用于CSF组织概况，以描述组织的网络安全风险治理和管理实践的严谨性。层级可以还提供背景，表明组织如何看待网络安全风险和管理这些风险的已有流程。

        本文档描述了一个组织可以期望实现的理想结果。它不规定成果，也不规定如何实现。NIST CSF网站描述组织如何实现这些成果，并提供了一套在线资源补充CSF。这些资源对实践和控制提供额外指导，可用于实现成果，旨在帮助组织理解、采纳和使用CSF。它们包括：

• 信息参考，基于当前全球标准、指南、框架、法规、政策等指出现有每个成果的指南来源

• 实施示例，说明实现每个成果的可用方法

• 快速入门指南，为使用CSF及其在线资源提供可操作的指导，包括从以前的CSF版本过渡到2.0版本

• 社区概况****和组织概况模板，帮助组织将CSF纳入实践，并确定管理网络安全风险的优先事项

        组织可以使用CSF核心、概况和层级以及补充资源来理解、评估、排序和沟通网络安全风险。

• **理解和评估：**描述整个组织或局部组织当前或目标网络安全态势，确定差距，并评估解决这些差距的进展情况。

• **优先排序：**识别、安排和优先排序管理网络安全风险的行动，与组织的使命、法律和法规要求以及风险管理和治理期望保持一致。

• **沟通：**关于网络安全风险、能力、需求和期望，为组织内部和外部的沟通提供一种通用语言。

        CSF的设计宗旨希望适用于各种规模和不同部门的组织，包括业界、政府、学术界和非营利组织，不管他们网络安全项目的成熟度如何。CSF是一种基础资源，可以自愿采用或通过政府的政策和强制。CSF的分类和参考标准、指南和实践并非针对具体国家，以前版本的CSF已经被许多政府和其他组织成功地应用，包括美国本土以及美国以外的地区。

        CSF应与其他资源(如框架、标准、指南、领先实践)结合，以更好地管理网络安全风险，并在企业层面，提醒全面管理信息和通信技术(ICT)风险。CSF是一个灵活的框架，为各种规模组织提供定制。组织将继续面临其特有的风险—包括不同的威胁和脆弱性-风险容忍度，以及特有的任务目标和要求。因此，组织管理风险的方法及其实施CSF会有所不同。

        本文档的其余部分结构如下：

• 第2节解释了CSF核心的基础知识：功能、类别和子类别。

• 第3节定义了CSF 概况（Profiles）和层级（Tiers）的概念。

• 第4部分概述了CSF在线套件的组件：信息参考、实施示例和快速入门指南。

• 第5部分讨论了组织如何将CSF与其他风险管理计划相结合。

• 附录A 是CSF核心。

• 附录B 包含CSF层级的概念说明。

• 附录C 是CSF术语的词汇表。

2. 介绍CSF 核心（Core）

        附录A是CSF 核心（Core）—一组根据功能排列的网络安全成果，然后是类别，最后是子类别，如下图所示。这些成果不是要执行的操作清单；为实现成果而采取的具体行动将因组织和用户案例而不同，负责这些操作的个人也是如此。此外，核心中的功能、类别和子类别的排序及内容、并不意味着实现他们的重要性。核心的结构旨在与负责组织内实施风险管理的人员产生最大共鸣。

        CSF的核心功能— 治理、识别、保护、检测、响应和恢复— 保证网络安全成果达到最高水平。

• 治理(GOVERN，GV)— 建立、沟通和监控组织的网络安全风险管理战略、期望和政策。治理功能提供成果，提醒组织可以做什么来完成和优化其他五项功能在组织使命和利益相关者期望的背景下所产出的成果。治理活动对于将网络安全纳入组织更广泛的企业风险管理(ERM)策略中至关重要。治理解决对组织背景的理解；网络安全战略的建立与网络安全供应链风险管理；角色、职责和权限；政策；以及监督网络安全战略。

• 识别(IDENTIFY，ID) — 了解组织当前的网络安全风险。了解组织的资产(如：数据、硬件、软件、系统、设施、服务、人员)、供应商和相关的网络安全风险，使组织排序它的工作就，和组织风险管理战略保持一致，及在治理条件下需要识别任务。此功能还包括识别组织支持网络安全风险管理的方针、计划、过程、步骤和实践的改进机会，在所有六项功能中提供通知功能。

• 保护（PROTECT ，PR)— 在用__的__管理组织网络安全风险的保障措施。一旦资产和风险被识别并确定了优先级，保护功能就支持确保这些资产安全的能力，以防止或降低网络安全事件不利影响的可能性，同时提高利用机会的可能性和影响。此功能涵盖的成果包括身份管理、认证和访问控制；意识和培训；数据安全；平台安全(即保护硬件、软件及物理设备和虚拟平台的服务)；以及技术基础设施的韧性。

• 检测（DETECT ，DE) — 发现并分析可能的网络安全攻击和入侵。检测能够及时发现和分析异常、入侵指标和其他潜在的可能表明网络安全攻击正在发生的不利事件。此功能支持成功的事件响应以及恢复活动。

• 响应(RRESPONSE，RS) — 针对检测到的网络安全事件采取措施。响应支持遏制网络安全事件影响的能力。此功能的成果涵盖事件管理、分析、缓解、报告和沟通。

• 恢复（RECOVER ，RC)— 恢复受网络安全事件影响的资产和运营。恢复支持及时回归正常操作，减少网络安全事件的影响，并在恢复过程中进行适当的沟通。

‍

 虽然许多网络安全风险管理活动的重点是防止负面事件从发生，他们也可以支持利用积极的机会。降低网络安全风险的活动可能会以其他方式使组织受益，像增加收入(例如，首先向商业托管提供商提供多余的设施空间，用于托管他们自己和其他组织的数据中心，然后将一个主要的财务系统从组织内部的数据中心交给托管提供商，以减少网络安全风险)。

        图2将CSF功能显示为一个圆盘，因为所有的功能都相互关联。例如，组织将根据识别功能对资产进行分类，根据保护功能采取措施加以保护那些资产，根据治理和识别，在计划和测试方面投资，根据检测功能，及时检测意外事件，根据响应和恢复功能，启用针对网络安全事件的事件响应和恢复功能。治理处于圆盘的中心，因为它告诉组织如何执行其他五项功能。

        这些功能应该同时生效。支持治理、识别、保护、和检测的操作都应该持续进行，以及支持响应和恢复的操作应该随时准备好，并在网络安全事件发生时启动。在网络安全事件相关的事件中，每个功能都必不可少。治理、识别和保护的成果帮助预防事件和做好准备，同时治理、检测、响应和恢复的成果帮助发现和管理事件。

        每个功能都以概括其内容的动词命名。每个功能分为类别，它们是相关的网络安全成果，共同构成该功能。子类别进一步将每个类别划分为更具体的技术成果和管理活动。子类别并没有详尽无遗，但它们详细描述支持每个类别的成果。

        功能、类别和子类别应用于组织使用的所有ICT技术，包括信息技术(IT)、物联网(IoT)和运营技术(OT)。他们也应用于所有类型的技术环境，包括云、移动和人工智能系统。CSF核心是前瞻性的，希冀适用于未来在技术和环境方面的变化。

3. 介绍CSF 概况和层级

        本节定义了CSF 概况（Profiles）和层级（Tiers）的概念。

3.1 CSF概况（Profiles）‍

        CSF组织概况指根据核心（Core）的成果，描述了组织当前和/或目标网络态势。组织概况通过考虑组织的目标、利息相关者的期望、威胁图景和要求，来理解、定制、评估、优先排序并沟通核心成果。然后一个组织可以调整其行动优先级，以实现特定的成果并向利益相关者提供信息。

        每个组织概况包括以下一项或两项：

1. 当前概况指定组织当前正在实现(或试图实现)的核心（Core）成果，并描述每个成果实现的方式或程度。

2. 目标概况指定组织已经选择的期望成果，并为实现其网络安全风险管理目标设定优先级。目标概况考虑组织网络安全态势的预期变化，例如新的需求、新技术采用和威胁情报趋势。

社区概况（Community Profile）是CSF成果的基线，用来创建和发布解决许多组织之间的共同兴趣和目标。社区概况是通常为特定的部门、子部门、技术、威胁类型或其他用途而开发。组织可以使用社区概况作为其自己的目标概况的基础。社区概况的例子可以在NIST CSF网站上找到。

        图3所示的步骤和接下来的总结说明一种方法，组织能够使用组织概括来帮助告知其网络安全的持续改进。

1. **确定组织概况的范围。**记录高水平的事实和假设，概况将以此为基础来定义其范围。一个组织可以根据需要有很多组织概况，每个都有不同的范围。例如，一个概况是针对整个组织还是仅限于组织的财务系统，或打击涉及那些财务系统勒索软件威胁和处理勒索软件事件。

2. **收集准备组织概况所需的信息。**收集信息的例子可能包括组织政策、风险管理优先级和资源、企业风险概况、业务影响分析(BIA)库、组织所遵循的网络安全需求和标准、实践和工具(例如：步骤和保障措施)，以及工作角色。

3. 生成组织概况文件。根据选定的CSF成果，决定概况应包括的信息类型，并记录所需信息。考虑当前概况的风险含义，为目标概况提供信息和优先级。此外，考虑使用社区概况作为目标概况的基础。

4. **分析当前概况和目标概况之间的差距，并制定行动计划。**进行差距分析，以确定和分析当前和目标概况，并制定优先行动计划(例如，风险登记，风险详细报告，行动计划和里程碑)来解决这些差距。

5 **实施行动计划，更新组织概况。**利用操作计划解决差距，并将组织向目标概况推进。一个操作计划可能有一个总体截止日期或正在进行中。

        考虑到持续改进的重要性，组织可以根据需要经常重复这些步骤。

        组织概况还有其他用途。例如，可以使用当前概况记录和沟通组织的网络安全能力和已知机会，改进外部利益相关者，如业务伙伴或预期客户。此外，目标概况可以帮助表达组织的网络安全风险管理要求和对供应商、合作伙伴和其他第三方要求的期望，作为各方要实现的目标。

3.2 CSF层级（Tiers）

        组织可以选择使用层级来通知其当前和目标概况。_层级_描述组织网络安全风险治理和管理实践的严谨性，它们为组织如何看待网络安全风险和管理这些网络安全风险的当前进程提供了背景。层级如图4所示，并于附录B中在概念上加以说明，将组织管理网络安全风险的实践对应为部分的(第1层)、风险告知(第2层)、可重复(第3层)和自适应(第4层)。层级描述从非正式的、临时的响应方法到敏捷的、风险告知的、持续改善的进展过程。选择层级有助于为组织如何管理网络安全风险设置总体基调。

        层级应该补充组织的网络安全风险管理方法，而不是替代它。例如，组织可以使用层级来内部沟通，作为组织范围内管理网络风险方法的基准。管理网络安全风险的方法。当风险较大或要求较高，或成本效益分析表明可行性和降低网络安全负面风险具有产出，鼓励采用更高等级的层级。

        NIST CSF网站提供了更多关于使用概况和层级的信息。它包括NIST网站的组织概况模板和社区概况参考库，采用各种机器可读和人类可用格式。

4. 补充CSF的在线资源介绍

        NIST和其他组织已经制作了一套在线资源，帮助组织理解、采纳和使用CSF。因为本文档不经常更新以保证稳定性，而额外的资源可以比本文档更频繁更新，并提供机器可读的格式。本节提供三种类型在线资源的概述：信息参考，实施示例，和快速入门指南。

        _信息参考_是表明核心（Core）和各种标准、指南、法规和其他内容之间的对应关系。_信息参考_帮助告知组织如何实现核心（Core）的成果。信息参考_可以是关于某个部门或特定于某种技术。它们可能由NIST或其他组织制作。一些_信息参考_的范围比子类别更窄。例如，来自SP 800-53（信息系统和组织的安全及隐私控制）的某个控制项，可能是实现在一个子类别中描述成果的许多参考文献之一。其他_信息参考_可能是更高级别的，例如来自处理部分子类别的策略需求。当使用CSF时，组织可以识别大多数相关_信息参考。

        _实现示例_提供了简洁的、面向行动步骤的概念示例，以提供帮助实现子类别的成果。用来表达例子的动词包括分享、记录、开发、执行、监控、分析、评估和练习。这些例子不是组织为达到某一成果而可能采取的所有行动清单；它们也不代表解决网络安全风险所需行动的基线。

        _快速入门指南(QSGs)_是关于特定CSF相关主题的简短文档，通常是为特定受众量身定制。快速入门指南可以帮助组织实施CSF，因为他们将CSF的特定部分提炼成组织在改善其网络安全态势和相关风险管理的道路上，具有可操作性的“第一步”。指南按照自己的时间安排进行修订，并根据需要添加新的指南。

        关于CSF 2.0的_信息参考_的建议可以随时与NIST（olir@nist.gov）分享。对NIST CSF网站上其他参考资源的建议，包括其他快速入门指南内容，请发送邮件至cyberframework@nist.gov。

5. 改进网络安全风险沟通与整合

        CSF的使用将根据组织的特有使命和风险而有所不同。理解利益相关者期望和风险偏好及风险容忍度（在_治理_中做了总结），组织可以排序网络安全活动，关于网络安全支出和行动以做出明智的决策。一个组织可以选择一种或多种方式处理风险，包括缓解，转移，避免或接受负面风险以及认识、分享、增强或接受积极风险——取决于潜在的影响和可能性。重要的是，组织可以在内部使用CSF来管理其内部业务网络安全能力及从外部监督与第三方的沟通。

        无论CSF的使用情况如何，一个组织都可以从使用CSF作为指南中受益，帮助其理解、评估、排序和沟通网络安全风险和管理这些风险的行动。选定的成果可用于重点关注和实施战略决策，改善网络安全态势和维持关键任务连续性，同时考虑到优先事项和现有资源。

5.1 改进风险管理沟通

        CSF根据网络安全期望、计划和资源，为改进有关网络安全所期望的沟通提供了基础。CSF促进高管和管理者之间的双向信息流，前者专注于组织优先级和战略方向，后者管理可能影响企业实现这些优先事项的特定网络安全风险(参见图5的上半部)。CSF也支持管理者和一线人员类似信息流，后者实施和操作技术(参见图5下半部)。图的左侧表示一线人员从业者向管理者和高管分享他们更新、见解和担心的重要性。

        准备创建和使用组织概况，涉及收集有关组织的优先级、资源和来自高管的风险指导等方面的信息。管理者然后与一线人员合作，沟通业务需求并创建风险告知的组织概述。消除当前和目标概述之间所确定的任何差距的工作，将由管理人员和一线人员执行，并对系统级的计划提供关键的输入。随着在整个组织中实现目标状态—包括系统级的控制和监视-在风险登记册和进度报告中共享更新结果。作为持续评估的一部分，管理者获得洞察力，做出调整，进一步减少可能危害，增加潜在收益。

        _治理_功能支持与高管进行组织风险沟通。高管的讨论涉及战略，特别是与网络安全相关的不确定性，可能影响组织目标的实现。这些治理方面的讨论支持对话和达成关于风险管理策略(包括网络安全供应链风险)；角色、职责、权限；政策；监督的共识。随着高管基于这些需求建立网络安全优先级和目标，他们传达了关于风险偏好，责任和资源的期望。高管还负责将网络安全风险管理与ERM和较低级别风险管理程序相结合， (见5.2节)。图5上半部分所反映的沟通可以包括对ERM和较低级别的项目的考虑，然后，通知管理者和一线人员。

        高管设定的总体网络安全目标传递给管理者，并由其负责通知。在商业实体中，这些可能适用于业务线或运营部门。对于政府机构，这些可能是部门或分支部门考虑。当实施CSF后，管理者将重点关注如何通过共同服务、控制和协作实现风险目标，就如目标概况中所表达的那样，并通过在行动计划中跟踪操作来改进(例如，风险登记册、风险详细报告、行动计划和里程碑)。

        一线人员关注于实现目标状态和度量操作风险中的变更以帮助计划、执行和监控特定的网络安全活动。当实施控制在可接受的水平上管理风险，一线人员提供管理者和高管所需信息(例如，关键绩效指标、关键风险指标)以了解组织的网络安全态势，做出明智的决策，并相应地维护或者调整风险策略。高管们还可以将这些网络安全风险数据以及来自整个组织的其他类型风险的信息结合起来。随着这整个循环的重复，更新后的期望和优先级包含在最新的组织概况中。

5.2 改善与其他风险管理计划的整合

        每个组织都面临着许多类型的ICT风险(例如，隐私，供应链，人工智能)，并可能使用特定于每个风险的框架和管理工具。一些组织通过使用ERM（企业风险管理）将信息通信技术和所有其他风险管理工作在高水平上集成到一起，而其他人则将之分开，以确保对每个工作都给予足够的关注。从本质上讲，小型组织可能在企业层面监控风险，而大公司可以将单独的风险管理工作集成到ERM中。

        组织可以采用ERM方法来平衡风险组合，包括网络安全，并做出明智的决定。高管集成了治理和风险战略及以前使用CSF的结果，作为当前的和计划中的风险活动的重要输入。CSF帮助组织把他们的网络安全和网络安全风险管理术语翻译成高管能够理解的通用风险管理语言。

        描述网络安全风险管理和ERM之间相互关系的NIST资源包括：

• NIST网络安全框架2.0 -企业风险管理快速入门指南

• NIST机构间报告(IR) 8286，整合网络安全和企业风险管理(ERM)

• IR 8286A，企业风险管理中的网络安全风险识别和评估

• IR 8286B，企业风险管理优先考虑网络安全风险

• IR 8286C，面向企业风险管理和治理监督的网络强调安全风险

• IR 8286D，使用业务影响分析来通知风险优先级和响应

• SP 800-221，信息和通信技术风险对企业的影响：在企业风险组合中治理和管理ICT风险计划

• SP 800-221A，信息和通信技术(ICT)风险成果：将ICT风险管理计划与企业风险组合相结合

       组织可能还会发现CSF有利于集成网络安全风险管理与个别ICT风险管理计划，例如：

• **网络安全风险管理和评估：**CSF可以集成到已有的网络安全风险管理和评估程序中，如SP 800-37，信息系统和组织的风险管理框架；SP 800-30, 使用NIST 风险管理框架（RMF）执行风险评估指南。对于使用NIST 风险管理框架（RMF）及其整套出版物的组织，CSF可用于补充RMF的方法，选择和优先排序来自SP 800-53（信息系统和组织的安全和隐私控制）的控制。

• **隐私风险：**虽然网络安全和隐私是独立的学科，但它们的目标在某些情况下交叉，如图6所示。

        网络安全风险管理对于解决和个人数据保密性、完整性和可用性丧失相关的隐私风险至关重要。例如数据泄露可能导致身份盗用。然而，隐私风险也可能意味着这与网络安全事件无关。

        组织处理数据以实现任务或业务目标，这可以有时会引起隐私事件，个人可能会遇到数据处理导致的问题。这些问题可以用不同的方式来表达，但是NIST将其描述为尊严型影响(例如，尴尬或污名化)到更有形的伤害(如歧视、经济损失或身体伤害)。NIST隐私框架和网络安全框架可以一起使用解决网络安全和隐私风险的不同方面。此外，NIST的_隐私风险评估方法(PRAM)_有一个示例问题的目录，可用于隐私风险评估。

• **供应链风险：**组织可以使用CSF来促进网络安全风险监督以及与供应链上利益相关者的沟通。所有类型的技术依赖一个复杂的、全球分布的、广泛的、相互联系的供应链生态系统，具有地理上不同路径和多级外包。这生态系统由公共和私营部门实体(如收购者、供应商、开发人员、系统集成商、外部系统服务提供商等与技术相关的服务提供商)相互作用、研究、开发、设计、制造、获取、交付、集成、操作、维护、处置以及其他使用或管理技术产品和服务。这些技术、法律、政策、步骤和实践影响并塑造了这些相互作用。

       考虑到这个生态系统中复杂且相互关联的关系，供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理 (C-SCRM)是一种系统化方法，在整个供应过程中管理网络安全风险暴露，并制定适当的应对战略、政策、流程和步骤。CSF C-SCRM分类中的子分类[GV.SC]提供单纯关注网络安全和关注网络安全供应链风险之间的联系。SP 800-161r1(修订版1)，_系统和组织网络安全供应链风险管理实践_提供了关于网络安全供应链风险管理（C-SCRM）的深度信息。

• **新兴技术带来的风险：**随着新技术和新应用变得可行，新的风险也浮出水面。一个当代的例子是人工智能(AI)，它具有网络安全和隐私风险，以及其他许多类型的风险。_NIST人工智能风险管理框架(AIRMF)_是为了帮助处理这些风险而开发的。将人工智能风险与其他企业风险一起看待(例如，财务、网络安全、声誉和隐私)将产生更多综合结果和组织效率。网络安全和隐私风险管理的思考和方法适用于人工智能系统设计、开发、部署、评估和使用。AI 风险管理框架核心使用功能、类别和子类别描述人工智能的成果，并帮助管理与人工智能相关的风险。

附录 A CSF 核心（Core）‍‍‍‍‍

        本附录描述了CSF核心（Core）的功能、分类和子类。表1列出CSF 2.0核心功能和类别名称和唯一的字母标识符。功能、类别和子类别不是按字母顺序排列的；它旨在引起那些在组织内负责风险管理的人最大共鸣。

表1. CSF 2.0核心功能和类别名称和标识符

功能

分类

分类标识符

子类标识符及说明

治理

Govern（GV）：已建立、沟通和监控组织的网络安全风险管理战略、期望和方针

组织背景

（Organizational Context）：

环境—任务、利益相关者期望、依赖，以及法律、法规和合同要求，理解围绕组织的网络安全风险管理决策

GV. OC

GV.OC-01: 了解组织任务并告知网络安全风险管理

GV.OC-02: 了解内部和外部利益相关者，了解并考虑网络安全风险管理方面的需求和期望

GV.OC-03: 了解和考虑关于网络安全的法律、法规和合同要求，包括隐私和公民自由义务

GV.OC-04: 了解和沟通外部利益相关者依赖或期望从组织得到的关键目标、能力和服务

GV.OC-05: 了解和沟通组织所依赖的成果、能力和服务

风险管理战略

（Risk Management Strategy）：

建立、沟通组织的优先事项、约束、风险

容忍度和风险偏好和假设，并且用于支持操作风险决策

GV.RM

GV.RM-01: 建立风险管理目标，并得到利益相关者同意

GV.RM-02: 建立、沟通和维护风险偏好和风险容忍度声明

GV.RM-03: 网络安全风险管理活动和成果包括在企业风险管理过程中

GV.RM-04: 建立并沟通描述适当风险响应选项的战略方向

GV.RM-05: 针对网络安全风险，包括来自供应商和其他第三方的风险，在整个组织内建立沟通渠道

GV.RM-06: 建立和沟通用于计算、记录、分类和排序网络安全风险的标准化方法

GV.RM-07: 描述战略机会(即积极风险)并包括在组织网络安全风险讨论中

角色、责任和权限

（Roles, Responsibilities, and Authorities）：

建立和沟通网络安全角色、职责和权限，以促进问责制、绩效评估和持续改进

GV. RR

GV.RR-01: 组织领导对网络安全负责，推进具有风险意识、道德和持续改进的企业文化

GV.RR-02: 建立、沟通、了解和执行与网络安全风险管理相关的角色、职责和权限

GV.RR-03: 分配与网络安全风险战略、角色、职责和政策相称的充足资源

GV.RR-04: 网络安全包括在人力资源实践中

策略

（Policy）：

建立、沟通和执行组织网络安全政策

GV.PO

GV.PO-01:基于组织背景、网络安全战略和优先级建立网络安全风险管理政策，并进行沟通和执行

GV.PO-02: 审查、更新、沟通和执行管理网络安全风险的政策，以反映需求、威胁、技术和组织任务的变化

监督

（Oversight）：

组织范围内的网络安全风险管理活动和绩效的结果用于通知、改进和调整风险管理策略

GV. OV

GV.OV-01: 审查网络安全风险管理战略成果，以通知和调整战略和方向

GV.OV-02: 审查并调整网络安全风险管理策略

确保覆盖组织需求和风险

GV.OV-03: 评估和审查组织网络安全风险管理绩效，以进行必要的调整

网络安全供应链风险管理

（Cybersecurity Supply Chain Risk Management）：

由组织利益相关者识别、建立、管理、监控和改进网络供应链风险管理流程

GV.SC

GV.SC-01: 组织利益相关者建立并同意网络安全供应链风险管理计划、战略、目标、策略和流程

GV.SC-02: 在内部和外部建立、沟通和协调供应商、客户和合作伙伴的网络安全角色和责任

GV.SC-03: 网络安全供应链风险管理集成到网络安全和企业风险管理、风险评估和改进过程中

GV.SC-04: 供应商是已知的，并根据重要性排序

GV.SC-05: 建立解决供应链网络安全风险的要求，对其进行优先排序，并将其整合到与供应商和其他相关第三方的合同和其他类型的协议中

GV.SC-06: 在与供应商或其他第三方建立正式关系之前进行计划和尽职调查以降低风险

GV.SC-07: 在整个关系过程中，了解、记录、优先排序、评估、响应和监控供应商、其产品和服务以及其他第三方构成的风险

GV.SC-08: 在事件计划、响应和恢复活动中包括相关供应商和其他第三方

GV.SC-09: 供应链安全实践集成到网络安全和企业风险管理计划中，在技术产品和服务的生命周期中监控其绩效

GV.SC-10: 网络安全供应链风险管理计划包括伙伴关系或服务协议签订后发生活动的规定

识别

IDENTIFY (ID)：了解组织当前的网络安全风险

资产管理

Asset Management）:

能够使组织实现业务目标的资产(如数据、硬件、软件、系统、设施、服务、人员)，应按照其对组织目标和组织风险策略的相对重要性进行识别和管理

ID.AM

ID.AM-01: 维护由组织管理的硬件清单

ID.AM-02: 维护由组织管理的软件、服务和系统清单

ID.AM-03: 展示组织授权的网络通信，并维护内部和外部网络数据流

ID.AM-04: 维护供应商提供的服务清单

ID.AM-05:基于分类、重要性、资源和对任务的影响对资产优先级排序

ID.AM-07: 维护指定数据类型的数据清单和相应元数据

ID.AM-08:在整个生命周期中管理系统、硬件、软件、服务和数据

风险评估

（Risk Assessment）：

了解组织、资产和个人面临的网络安全风险

ID.RA

ID.RA-01:识别、验证和记录资产中的漏洞

ID.RA-02: 从信息共享论坛和来源接收网络威胁情报

ID.RA-03: 识别和记录组织的内部和外部威胁

ID.RA-04: 识别和记录威胁利用漏洞的潜在影响和可能性

ID.RA-05: 威胁、漏洞、可能性和影响被用来理解固有风险和告知风险响应优先级

ID.RA-06:选择、排序、计划、跟踪和沟通风险响应

ID.RA-07: 管理变更和异常，评估、记录和跟踪风险影响

ID.RA-08: 建立接收、分析和响应漏洞披露的流程

ID.RA-09: 在收购和使用之前，评估硬件和软件的真实性和完整性

ID.RA-10:在采购前评估关键供应商

改进

（Improvement）：

改进组织网络安全风险管理流程，所有CSF功能中识别步骤和活动

ID.IM

ID.IM-01: 从评估中识别改进

ID.IM-02: 从安全测试和练习中识别改进，包括与供应商和相关第三方进行协调

ID.IM-03: 从操作过程、步骤和活动的执行中识别改进

ID.IM-04: 建立、沟通、维护和改进影响运营的事件响应计划和其他网络安全计划

保护

PROTECT（PR）：使用安全措施管理组织的网络安全风险

身份管理、认证和访问控制（Identity Management, Authentication, and Access Control）：

访问物理和逻辑资产仅限于已授权的用户、服务和硬件，与未授权访问的评估风险相称

PR. AA

PR.AA-01: 组织管理授权用户、服务和硬件的身份及凭证

PR.AA-02: 基于交互的上下文对身份进行验证并绑定到凭证

PR.AA-03: 对用户、服务和硬件进行认证

PR.AA-04:保护、传递和验证身份断言（Identity assertions）

PR.AA-05: 在策略中定义访问许可、权利和授权;管理、强制和审查、结合最小特权原则和职责分离

PR.AA-06: 对资产的物理访问进行与风险相称的管理、监控和强制执行

意识和培训

（Awareness and Training）：

为组织人员提供网络安全意识和培训，以便他们能够执行与网络安全相关的任务

PR.AT

PR.AT-01: 向员工提供意识和培训，以使他们具备执行一般任务的知识和技能，并有网络安全风险的意识

PR.AT-02: 为从事特定角色的个人提供意识和培训，他们拥有执行相关任务的知识和技能，并有网络安全风险的意识

数据安全

（Data Security）：

数据的管理与组织的风险策略一致，以保护信息的机密性、完整性和可用性

PR.DS

PR.DS-01: 静态数据的机密性、完整性和可用性受到保护

PR.DS-02: 传输数据的机密性、完整性和可用性受到保护

PR.DS-10: 使用中的数据的机密性、完整性和可用性受到保护

PR.DS-11: 创建、保护、维护和测试数据备份

平台安全

（Platform Security）：

物理和虚拟平台的硬件、软件(例如，固件、操作系统、应用程序)和服务均符合组织的风险战略，保护其机密性、完整性和可用性

PR.PS

PR.PS-01: 建立和应用配置管理实践

PR.PS-02: 软件的维护、替换和删除与风险相称

PR.PS-03: 硬件的维护、更换和移除与风险相称

PR.PS-04: 生成日志记录并使其可用于持续监控

PR.PS-05: 防止安装和执行未经授权的软件

PR.PS-06: 集成安全软件开发实践，在整个软件开发生命周期监控性能

技术基础设施韧性

（Technology Infrastructure Resilience）：

安全体系结构与组织的风险战略一起管理，以保护资产机密性、完整性和可用性，以及组织的韧性

PR.IR

PR.IR-01: 保护网络和环境免受未经授权的逻辑访问和使用

PR.IR-02: 组织的技术资产受到保护，免受环境威胁

PR.IR-03: 正常情况和不利的情况下，实施机制以达到韧性要求

PR.IR-04: 有足够的资源容量以确保可用性

检测 

DETECT(DE）：发现并分析可能的网络安全攻击和入侵

持续监控

（Continuous Monitoring）：

对资产进行监控，以发现异常情况、入侵指标和其他潜在的不良事件

DE.CM

DE.CM-01: 监控网络和网络服务以发现潜在的不良事件

DE.CM-02: 监测物理环境以发现潜在的不良事件

DE.CM-03: 监控人员活动和技术使用，以发现潜在的不良事件

DE.CM-06: 监控外部服务提供者的活动和服务，以发现潜在的不良事件

DE.CM-09: 监控计算硬件和软件、运行环境及其数据发现潜在的不良事件

不良事件分析

（Adverse Event Analysis）：

分析异常，入侵指标协和其他潜在的不良事件，以描述事件并检测网络安全事件

DE.AE

DE.AE-02: 分析潜在的不良事件，以更好地了解相关的活动

DE.AE-03: 关联多个来源的信息

DE.AE-04: 了解不良事件的估计影响和范围

DE.AE-06: 向授权的工作人员和工具提供有关不良事件的信息

DE.AE-07: 网络威胁情报和其他上下文信息集成到事件分析中

DE.AE-08: 当不良事件符合定义的事件标准时，宣布事件

响应 

RESPOND (RS)：针对检测到的网络安全事件采取行动

事件管理

（Incident Management）：

对于检测到的网络安全事件，管理响应活动

RS.MA

RS.MA-01: 一旦事件被宣布，执行与第三方相关事件响应计划

RS.MA-02:分类和验证事件报告

RS.MA-03: 事件分类和排定优先级

RS.MA-04: 根据需要将事件升级

RS.MA-05: 应用启动事件恢复的标准

事件分析

（Incident Analysis）：

执行调查，以确保有效的响应，支持取证和恢复活动

RS.AN

RS.AN-03: 执行分析以确定事件期间发生了什么以及事件的根本原因

RS.AN-06: 记录调查过程中所采取的行动，保存并调查记录完整性和来源

RS.AN-07: 收集事件数据和元数据，并保存其完整性和来源

RS.AN-08: 对事件的规模进行估计和验证

事件响应报告和沟通‍‍

（Incident Response Reporting and Communication）：

根据法律、法规或政策的要求，与内部和外部利益相关者协调响应活动

RS.CO

RS.CO-02:将事件通知内部和外部的利益相关者

RS.CO-03:信息共享给指定的内部和外部利益相关者

事件缓解

（Incident Mitigation）：

执行活动以防止事件扩大及减轻其影响

RS.MI

RS.MI-01: 遏制事件

RS.MI-02: 根除事件

恢复

RECOVER(RC)**：**恢复网络安全事件中受影响的资产和运维

执行事件恢复计划

（Incident Recovery Plan Execution）：

执行恢复活动，保证网络安全事件受影响的系统和服务可用

RC.RP

RC.RP-01: 一旦事件响应流程启动，执行事件响应计划的恢复部分

RC.RP-02: 选择、界定范围、制定优先级、执行恢复行动

RC.RP-03:验证备份和其他恢复资产的完整性，再开始恢复

RC.RP-04: 考虑关键任务职能和网络安全风险管理，以建立事件后操作规范

RC.RP-05: 验证恢复资产的完整性，恢复系统和业务，确认正常运行状态

RC.RP-06: 根据标准，宣布事件恢复结束，并完成与事件相关的文档

事件恢复沟通

（Incident Recovery Communication）：

协调内部和外部各方恢复行动

RC.CO

RC.CO-03: 指定的内部和外部利益相关者之间，沟通恢复活动及恢复运营能力的进展

RC.CO-04: 使用批准的方法和发布方式，公开事件恢复的进展

附录B  CSF 层级

        表2包含了第3节中讨论的CSF层级的概念说明。层级描述组织网络安全风险治理实践(治理)和网络安全风险管理实践(识别、保护、检测、响应和恢复)的严谨性。

表2. CSF层级的概念说明

层级

网络安全风险治理

网络安全风险管理

第一层：部分的

组织网络安全风险策略的应用以临时方式进行管理。

优先级是临时的，而不是正式基于目标或威胁环境。

组织层面对网络安全风险的认识有限。

组织以不定期的、具体情况具体分析的方式实施网络安全风险管理。

组织可能没有使网络安全信息在组织内部共享的流程。

组织通常不知道与其供应商以及其获取和使用的产品及服务相关的网络安全风险。

第二层：风险告知

风险管理实践是由管理层批准的，但未建立组织范围的策略。

网络安全活动和保护需求的优先级直接来自于组织风险目标、威胁环境或业务/任务需求。

在组织层面有网络安全风险的意识，但组织范围内管理网络安全风险的方法尚未建立。

在组织目标和项目中考虑网络安全可能会出现在组织的某些层面，但不是所有层面。对组织和外部资产进行网络风险评估，但通常不会重复或有规律发生。

网络安全信息在组织内部以非正式的方式共享。

组织意识到与其供应商以及其获取和使用的产品和服务相关的网络安全风险，但它没有采取一致或正式的行动应对这些风险。

第三层：可重复

组织的风险管理实践被正式批准并体现为策略。

定义，预期实施，并进行审查风险告知的政策、过程和步骤。

根据风险管理流程对业务/任务需求、威胁和技术环境变化的应用，定期更新组织网络安全实践

有一个组织范围的方法来管理网络安全风险。网络安全信息通常在整个组织内共享。

采用一致的方法对风险变化作出有效响应。人员具备履行其指定角色和职责所需的知识和技能。

组织始终准确地监控资产的网络安全风险。高级网络安全主管和非网络安全主管定期就网络安全风险进行沟通。高管层确保网络安全在组织的所有业务中都得到考虑。

组织的风险战略是由与其供应商以及其获取和使用的产品和服务相关的网络安全风险提供信息。人员通过诸如书面协议来沟通基线需求、治理结构(例如，风险委员会)以及政策实施和监控等机制，正式地对这些风险采取行动。这些行动按照预期实施，并得到持续的监测和审查。

第四层：自适应

有一个组织范围的方法来管理网络安全风险，使用风险告知的策略、流程和步骤来解决潜在的网络安全事件。网络安全风险与组织目标之间的关系在决策时得到了清晰的理解和考虑。高管们在监控网络安全风险的同时，也在监控财务和其他组织风险。组织预算是基于对当前和预测的风险环境和风险容忍度的理解。

业务单位在组织风险容忍度的背景下实现高管愿景并分析系统级风险。

网络安全风险管理是组织文化的一部分。它是从对以前活动的认识和对组织系统和网络上活动的持续认识演变而来的。如何处理和沟通风险方面，组织可以快速有效地解释业务/任务目标的变化。

该组织根据以前和当前的网络安全活动调整其网络安全实践，包括吸取的经验教训和预测指标。通过整合先进网络安全技术和实践的持续改进过程，组织积极适应不断变化的技术环境，并及时有效地应对不断发展的复杂威胁。

组织使用实时或接近实时的信息来了解与其供应商以及其获得和使用的产品和服务相关的网络安全风险，并始终如一地采取行动。

整个组织内部，和授权的第三方之间，网络安全信息在持续共享。

附录C 术语表

CSF分类（CSF Category）

        一组相关的网络安全成果，共同构成CSF功能。

CSF社区概况（CSF Community Profile）

        创建和发布CSF成果的基线，以解决多个组织之间的共同利益和目标。社区概况通常是针对特定部门、子部门、技术、威胁类型或其他用例而开发。组织可以使用社区概况（Community Profile）作为其自己的目标概况（Target Profile）的基础。

CSF核心（CSF Core）

        高级网络安全成果的分类，可以帮助任何组织管理其网络安全风险。它的组成部分是详细描述每个成果的功能、类别和子类别的层次结构。

CSF当前概况（CSF Current Profile）

        组织概况的一部分，指定组织当前正在实现的核心成果(或试图实现)并描述如何或在多大程度上实现每个成果。

CSF功能（CSF Function）

        组织最高级的网络安全成果。CSF有六种功能：治理、识别、保护、检测、响应和恢复。

CSF实施示例（CSF Implementation Example）

        一个简明的、面向行动的、概念性的说明，说明帮助实现CSF核心成果的方法。

CSF信息参考（CSF Informative Reference）

        表明CSF核心成果与现有标准、指南、法规或其他内容之间关系的映射图。

CSF组织概况（CSF Organizational Profile）

        根据CSF核心的成果，描述组织当前和/或目标网络安全态势的机制。

CSF快速入门指南（CSF Quick Start Guide）

        补充资源，就特定的CSF相关主题提供简要的、可操作的指导。

CSF子类（CSF Subcategory）

        构成 CSF 类别的技术和管理网络安全活动的一组更具体的成果。

CSF目标概况（CSF Target Profile）

        组织概况一部分，它指定了组织为实现其网络安全风险管理目标，已选择和排序所期望的核心成果。

CSF层级（CSF Tier）

        描述组织网络安全风险治理和管理实践的严谨性。有四个层级：部分的(第1层)、风险告知(第2层)、可重复(第3层)和自适应(第4层)。

（完）