日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
NIST網(wǎng)絡(luò)安全框架2.0如何應(yīng)對風險管理

NIST 網(wǎng)絡(luò)安全框架 2.0 (CSF) 正在進入 2024 年實施前的最后階段。在五月結(jié)束的框架決策公開討論期結(jié)束后,現(xiàn)在是時候更多地了解指南變化的預(yù)期了。

NIST 高級技術(shù)政策顧問 Cherilyn Pascoe 在 2023 年 RSA 會議上表示,更新后的 CSF 正在與拜登政府的國家網(wǎng)絡(luò)安全戰(zhàn)略保持一致。這建立了新的 CSF 來制定風險管理策略。

帕斯科說,當用作風險管理資源時,CSF 可以在國家網(wǎng)絡(luò)安全戰(zhàn)略的五個支柱的背景下應(yīng)用。這些支柱是:

  • 保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施
  • 擾亂并消滅威脅行為者
  • 塑造市場力量以推動安全性和彈性
  • 投資一個有彈性的未來
  • 建立國際伙伴關(guān)系以追求共同目標。

CSF 的主要目標之一是允許組織通過識別風險和改進風險管理流程來制定網(wǎng)絡(luò)安全策略。更新后的框架將強調(diào)改進風險管理——這在現(xiàn)代網(wǎng)絡(luò)安全領(lǐng)域至關(guān)重要。

治理職能

原始CSF有五個功能:識別、保護、檢測、響應(yīng)和恢復(fù)。CSF 2.0 將添加第六個功能:治理。

這一功能提高了網(wǎng)絡(luò)安全風險管理在業(yè)務(wù)和合規(guī)結(jié)果中的重要性。治理職能將重點關(guān)注政策和程序以及安全團隊的角色和職責。組織期望的結(jié)果是根據(jù)策略評估風險并確定風險的優(yōu)先級,然后定義團隊成員在解決潛在威脅方面的職責。

治理職能包括主要關(guān)注風險管理的部分。在 CSF 的早期版本中,風險管理涵蓋在不同的職能(識別)下,而現(xiàn)在它更完全地涵蓋在具有自己的子類別的治理職能下。CSF 2.0 的討論草案版本列出了以下指令:

  • GV.RM-01:網(wǎng)絡(luò)安全風險管理目標由組織利益相關(guān)者制定并同意。
  • GV.RM-02:網(wǎng)絡(luò)安全供應(yīng)鏈風險管理策略已制定、組織利益相關(guān)者同意并進行管理。
  • GV.RM-03:風險偏好和風險承受能力聲明是根據(jù)組織的業(yè)務(wù)環(huán)境確定和傳達的。
  • GV.RM-04:網(wǎng)絡(luò)安全風險管理被視為企業(yè)風險管理的一部分。
  • GV.RM-05:建立并傳達描述適當風險應(yīng)對選項的戰(zhàn)略方向,包括網(wǎng)絡(luò)安全風險轉(zhuǎn)移機制(例如保險、外包)、緩解投資和風險接受。
  • GV.RM-06:確定并傳達責任和問責制,以確保風險管理策略和計劃得到資源、實施、評估和維護。
  • GV.RM-07:審查和調(diào)整風險管理策略,以確保覆蓋組織要求和風險。
  • GV.RM-08:
    組織領(lǐng)導(dǎo)者評估和審查網(wǎng)絡(luò)安全風險管理策略和結(jié)果的有效性和充分性。

GV.RM-05 到 08 是 CSF 2.0 的新增內(nèi)容,是為此新功能而創(chuàng)建的。

領(lǐng)導(dǎo)

明確定義的領(lǐng)導(dǎo)角色與治理職能密切相關(guān)。標準 GV.RR-01 在其角色和責任部分指出,“組織領(lǐng)導(dǎo)層對與網(wǎng)絡(luò)安全風險相關(guān)的決策負責,并建立一種具有風險意識、以道德方式行事并促進持續(xù)改進的文化?!?/p>

供應(yīng)鏈

一段時間以來,供應(yīng)鏈及其安全風險成為熱門話題。幾年前,NIST 在 CSF 中添加了有關(guān)供應(yīng)鏈安全的指南。在CSF 2.0中,指南將擴展至涵蓋供應(yīng)鏈風險管理。此前,政府還采取了其他措施來增強供應(yīng)鏈的安全性。盡管 CSF 尚未提供供應(yīng)鏈風險管理的具體參數(shù),但不同的場景可能會提供旨在應(yīng)對威脅的風險和功能的示例。

風險管理層級

CSF 的這些可能的變化和更新將增強四個框架實施層,NIST將其定義為“一個觀察組織風險方法特征的透鏡——組織如何看待網(wǎng)絡(luò)安全風險以及管理該風險的流程” ”。

這些層級涵蓋組織風險管理計劃的四個不同級別:部分、風險知情、可重復(fù)和適應(yīng)性。這些層級衡量組織如何將其圍繞網(wǎng)絡(luò)安全風險的決策整合到整體業(yè)務(wù)風險中。該框架的實施還著眼于公司如何與第三方共享風險信息。

組織對其風險管理過程進行自我管理。他們確定最適合滿足業(yè)務(wù)目標的當前風險治理級別的層級。然而,這些層級不僅僅是網(wǎng)絡(luò)安全成熟度的定義。相反,它們使公司能夠更廣泛地了解其整體網(wǎng)絡(luò)安全風險承受能力。當組織遵循該框架時,它可以構(gòu)建風險概況并制定要努力實現(xiàn)的目標概況。

CSF 2.0將如何繼續(xù)發(fā)展?

更新后的CSF 2.0更加強調(diào)風險管理。通過強調(diào)供應(yīng)鏈風險和安全,它還遵循聯(lián)邦政府其他部門發(fā)布的指導(dǎo)方針。從表面上看,美國的網(wǎng)絡(luò)安全方法似乎終于有了凝聚力,特別是為政府機構(gòu)和私營行業(yè)的網(wǎng)絡(luò)安全風險管理開辟了利基市場。

這并不意味著 CSF 2.0 是完美的。有些風險領(lǐng)域仍然需要關(guān)注,例如遠程工作的治理。風險管理標準并不是為了解決完全遠程或混合勞動力的問題而設(shè)計的。

正如 CSF 2.0 認識到供應(yīng)鏈安全正在給組織帶來更高級別的風險一樣,它也需要加緊應(yīng)對來自人工智能(特別是生成式 AI)的新興威脅。在 CSF 2.0 進程順利進行后,生成式 AI 突然出現(xiàn)?,F(xiàn)在,這是不可能忽視的。

也許現(xiàn)在就人工智能的潛在風險提供明確的指導(dǎo)并提供安全框架為時已晚,但也不能擱置太久。潛在的威脅迫在眉睫,組織很快就會尋找有關(guān)如何管理這項新技術(shù)帶來的風險的指南。


當前題目:NIST網(wǎng)絡(luò)安全框架2.0如何應(yīng)對風險管理
URL地址:http://www.5511xx.com/article/coedpep.html