NIST 引入了“实施层级”,以帮助组织评估和改进其管理网络安全风险的方法。这些层级从“部分”(第 1 层)到“自适应”(第 4 层),为根据组织的特定需求和资源增强网络安全措施提供了明确的途径。
NIST 框架实施层
1. 部分(第 1 级)
在第一层,组织对网络安全风险管理的方法需要正式化,电报粉 而且往往是被动的,而不是主动的。这些流程可能是临时的,并以更协调的方式进行。
组织层面对网络安全风险的认识有限,这意味着组织的防御可能需要充分准备才能应对潜在威胁。这一层级表明需要改进对网络安全风险的理解和管理。
2. 风险知情(第 2 层)
在这种情况下,组织已经实施了一些风险管理流程,但组织可能不会在整个组织内一致地应用这些流程。
组织意识到网络安全风险,但可能没有将理解和处理此风险作为组织范围战略的一部分。组织承认需要网络安全风险管理计划,但缺乏更广阔的视角来全面解决此问题。
3. 可重复(第 3 层)
组织正式批准并持续实施第三层风险管理实践。组织范围内采用一种方法来管理网络安全风险。
组织已标准化其网络安全实践并定期遵循。根据组织业务需求的变化或网络安全领域的变化,风险管理流程会在必要时进行更新。
4. 自适应(第 4 层)
在这个级别,组织处于网络安全风险管理的高级阶段。该组织不仅已经建立了网络安全实践,而且还根据过去的经验教训和正在进行的网络安全活动中得出的预测指标调整其实践。该组织能够动态有效地应对不断变化的网络安全威胁和风险。
NIST 网络安全框架检查表
组织必须遵守 NIST 制定的网络安全框架。本分步指南将帮助组织实现 NIST 合规性。
1. 掌握NIST合规性要求
NIST 网络安全框架 (CSF) 提供了管理和减轻网络安全风险的建议。它包括五个核心功能:识别、保护、检测、响应和恢复。应用安全工程师应该熟悉这些功能及其相关类别和子类别。