iT邦幫忙

0

Cyber security -5 Module1-3 Risk and asset security

cisa csf security plan
yennefer 2025-05-24 05:30:25666 瀏覽

  • 分享至 

  • xImage
    •  

安全計劃主要好處

  • Policies定義一致的政策,說明保護的對象及原因。 Define consistent policies that address what’s being protected and why
  • Standards建立一套共享的標準來保護資產。Establish a shared set of standards for protecting assets.
  • Procedures概述清晰的程序,描述如何保護資產及應對威脅。Outline clear procedures that describe how to protect assets and react to threats
    安全的定義
  • 安全與人people、流程processes和技術technology密切相關。
  • 安全是一種文化,涉及所有層級的組織。
    安全計劃的目的
  • 為風險發生時做好準備。
  • 將重點放在人people的因素上,使計劃更有效。

安全資產管理」的正確描述

  • 它有助於識別風險。It helps identify risks.
  • 它揭示安全中的漏洞。. It uncovers gaps in security.

type of risk categories

  • damage,
  • disclosure, or
  • loss of information

Elements of a security plan

Policies, Standards, Procedures

元素 (Element) 定義 (Definition) 例子 (Example)
Policies Set of rules that reduce risk and protect information. Define scope, objectives, and limitations of a security plan.規則集合,減少風險並保護信息 Acceptable Use Policy (AUP) signed by new employees
Standards Tactical references for how to protect assets; serve as points of reference for setting policies. 提供設定政策的參考,關注資產的保護 Password management standards (e.g., NIST SP 800-63B)
Procedures Step-by-step instructions for performing specific security tasks. Ensure consistency and accountability. 執行特定安全任務的逐步指示 How to choose or reset a secure password

The NIST Cybersecurity Framework(CSF) US base

主題 描述
合規性 (Compliance) 遵循內部標準和外部法規的過程;保持信任、聲譽、安全性及數據完整性,避免罰款及訴訟。
法規 (Regulations) 控制方法的規則,設置的目的在於保護人們及其信息。
NIST 網絡安全框架 一套反映關鍵安全法規的框架,包含:
- 核心 (Core):五大功能 (Identify, Protect, Detect, Respond, Recover)。 可視為安全檢查表security checklist.
- 層級 (Tiers):從 Level-1 (被動passive) 到 Level-4 (自適應passive)。目的是顯示組織在安全計劃中有效性和改進的空間。
- 概況 (Profiles):提供安全計劃的當前狀態,像是時間變化的照片。「客製化」的安全目標清單,根據公司當前狀況(現狀輪廓,Current Profile)和理想狀態(目標輪廓,Target Profile)來比對差距
幫助企業知道「現在做到哪裡」與「應該要做到哪裡」
良好的安全實踐 不僅僅是避免罰款和攻擊,還表達了對人及其信息的關心。

Security guidelines in action

NIST CSF

主題 說明
發布時間與目的 2014年首次發布,旨在保護美國的關鍵基礎設施。
開發單位 美國國家標準與技術研究所(NIST),作為無偏見的科學數據與實踐來源負責開發CSF。
框架調整 NIST根據公共與私營部門企業的需求調整CSF,使其更具靈活性。
小型企業考量 框架設計時考慮到小型企業或資源有限的機構,使其更容易採用與實施。
主要目標 幫助不同規模與類型的組織建立或強化自己的網路安全計畫,提升整體安全防護能力。

Components of the CSF

組件 定義 主要功能/級別 目的
Core 一組希望實現的網絡安全成果 Identify, Protect, Detect, Respond, Recover, Govern 定制安全計劃,識別和保護重要資產
Tiers 衡量組織網絡安全計劃成熟度的方式 1 至 4 級,Tier 1 為最低級 評估安全姿態,識別改進領域
Profiles 預製tailored的 NIST CSF 模板,由行業專家團隊開發 各種行業的特定風險量身定制 制定基準,與行業標準比較網絡安全姿態

Core - six functions

Function 中文說明 主要內容與細節
Identify 識別 - 確認組織的資產、資料、系統與人員- 評估業務環境與關鍵資產- 識別網絡安全風險與弱點- 建立風險管理策略
Protect 保護 - 實施安全控制以防範威脅- 執行存取控制與身份驗證- 提供員工安全意識訓練- 保護資料的完整性與可用性- 維護技術與程序的安全性
Detect 檢測 - 持續監控網絡與系統活動- 及時發現安全事件與異常行為- 實施入侵偵測與警報機制- 定期審查與分析日誌
Respond 響應 - 制定並執行事件響應計劃- 報告並管理安全事件- 通知相關人員與主管機關- 分析事件根本原因- 持續改進響應流程
Recover 恢復 - 制定恢復計劃以恢復業務運作- 修復受影響的系統與資產- 改善復原策略以防止再發- 與利害關係人溝通恢復進度
Govern 管理 - 建立網絡安全治理架構- 制定政策、程序與標準- 明確分工與責任- 高層領導參與決策與監督- 評估法規遵循與企業目標一致性

Implementing the CSF

實施CSF的挑戰:

  • 細節程度高,實施難度大。high level of detail
  • 現有安全計劃可能使框架的用途不明。
  • 新興企業需要建立安全計劃的起始點。

CISA Cybersecurity and Infrastructure Security Agency的建議 :

  • Create a current profile 創建當前的安全運作概況,列出具體需求。
  • Perform a risk assessment 進行風險評估,識別符合業務和法規標準的運作。
  • Analyze and prioritize existing gaps分析並優先處理安全運作中的漏洞。
  • Implement 實施行動計劃以達成組織的目標。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
iThome鐵人賽
參賽組數
403
團體組數
13
累計文章數
2925
最後報名日
9/15
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 17th鐵人賽 windows php c# windows server linux css react
熱門問題
熱門回答
熱門文章
IT邦幫忙