公益翻译小组荣誉出品 c . 5 美国《网络安全框架 1.1》中译本 b u h t i g m o 译校者：李芊晔、刘洪森、葛迎、曾希雯、李双喜、李烨茗、赵彤彤、 袁俊、刘玲麟、洪玮、洪振宇 2020 年 03 月 29 日 版权专有，未经书面授权，禁止商业性使用，禁止演绎 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 译校者简介及工作分工 【组长】 李芊晔 车企 IT 合规 负责翻译、组织翻译、校对及排版工作 【翻译】（按先后顺序排列） 刘洪森，某科技公司安全专家（封面至表格目录，原报告第 1 至 7 页） m o 葛迎，互联网公司法律顾问（第 1.0 至 1.2 节，原报告第 8 至 11 页） 曾希雯，深信服安全咨询顾问（第 1.3 至 2.2 节序言，原报告第 12 至 15 页） c . 5 李双喜，信也科技高级安全经理（第 2.2 节“层级”定义至 2.4 节，原报告第 16 至 19 页） 李烨茗，国际知名律所（知识产权部）律师助理（第 3.0 至 3.3 节，原报告第 20 至 23 页） 赵彤彤，某科技公司信息安全与隐私高级工程师（第 3.3 至 4.0 节，原报告第 24 至 27 页） b u 袁俊，对外经贸大学法学研究生（附录 A 至表 2 子类别“风险管理”，原报告第 28 至 33 页） 刘玲麟，资深法务经理（表 2 子类别“风险管理”至“意识和培训”，原报告第 34 至 38 页） h t i g 洪玮，外资企业信息安全经理（亚太区）（表 2 子类别“数据安全”至“保护性技术”，原报 告第 39 至 43 页） 李芊晔，车企 IT 合规（表 2 子类别“保护性技术”至“缓解”，原报告第 44 至 49 页） 洪振宇，外资信评机构信息安全及数据保护总监（表 2 子类别“缓解”至完，原报告第 50 至 55 页） 【校对】 所有翻译人员均参与了第一轮校对 李芊晔、袁俊、李双喜、李烨茗参与第二轮分组校对 李芊晔负责第三轮全文校对 本出版物可从该网站免费获取：https://doi.org/10.6028/NIST.CSWP.04162018 2 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 改善关键基础设施 网络安全框架 版本 1.1 m o c . 5 美国国家标准与技术研究院 b u 2018 年 04 月 16 日 h t i g 本出版物可从该网站免费获取：https://doi.org/10.6028/NIST.CSWP.04162018 3 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 修校寄语 本网络安全框架 1.1 版本是对 2014 年 2 月所发布 1.0 版本的修正、说明和增进，同 时考量了对 1.1 版本两个草案的反馈意见。 1.1 版本适用于首次使用和当前已在使用该框架的用户。当前用户应能以影响最小 化或无中断的方式进行 1.1 版本的实施；与 1.0 版本的兼容始终是本版本的一个明 确目标。 下表总结了 1.0 版本和 1.1 版本间的不同之处。 m o 表 NTR-1–框架 1.0 及 1.1 版本变更汇总 c . 5 更新 阐明了像“符合性”这 种可能对框架的不同利 益相关方寓意不同、且 易造成疑惑的术语/概 念。 更新描述 新增了关于该框架作为构建、及表达组织自身网络安全 合规性要求的通用框架和语言的实用性描述。但是，组 织使用框架的方式多种多样，这意味着“框架符合性” 这样的短语可能会造成疑惑。 添加了有关自评估的新 章节 新增了第 4.0 节“基于框架的网络安全风险自评估” （Self-Assessing Cybersecurity Risk with the Framework），以解释组织如何使用该框架来理解并评 估其网络安全风险，包括测量的使用。 极大地扩展解读了使用 框架来达成网络供应链 风险管理的目的 扩展的第 3.3 节“与利益相关方沟通网络安全要求” （ Communicating Cybersecurity Requirements with Stakeholders）有助于用户更好地理解网络供应链风险 管理（SCRM），而新的第 3.4 节“采购决策” （Buying Decisions）则强调了通过该框架理解与商业现 货产品和服务相关的风险。另外，网络供应链风险管理 标准被添加到框架实施层级。最后，在框架核心中增加 了一个包含多个子类别的“供应链风险管理”类别。 改进了定义以更好地解 释“验证”、“授权” 和“身份验证”三大概 念 对访问控制类别中描述进行了修正，以便更好地说明 “验证”、“授权”和“身份验证”等几个概念。这 包括为“验证”和“身份验证”各添加了一个子类 别。此外，该类别已更名为“身份管理和访问控制” （PR.AC），以便更好地体现类别及其子类别的范围。 b u h t i g 本出版物可从该网站免费获取：https://doi.org/10.6028/NIST.CSWP.04162018 4 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 更好地解释了框架实现 在第 3.2 节“建立或改进网络安全计划”中新增了使用 层级和轮廓间的关系 框架实现层级进行框架实施的描述。新增了有关框架 层级的描述，以反映组织风险管理计划中有机结合本 框架的关注内容。框架层级的概念也得到了优化。更 新后的图 2 中包含框架层级要求的行动。 有关脆弱性披露协作机 新增了与脆弱性披露生命周期相关的子类别。 制的考量 与 1.0 版本一致，1.1 版本同样鼓励用户进行框架定制化以最大化实现单个组织的 价值。 m o c . 5 b u h t i g 本出版物可从该网站免费获取：https://doi.org/10.6028/NIST.CSWP.04162018 5 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 致谢 本出版物是工业界、学术界和政府共同协作的结果。国家标准与技术研究所 （NIST）于 2013 年召集了来自私营和公共部门的组织及个人共同发起了这一项目。 该框架于 2014 年发布，并于 2017 年和 2018 年进行了修订，通过 8 个公共研讨会、 多次意见或信息征集，及数千次与来自美国各部门的相关方和世界范围内的多个部 门的直接对话，对本改善关键基础设施网络安全框架进行优化。 更新 1.0 版本及在 1.1 版中所载变更的动因在于： m o • 自框架 1.0 版发布以来，NIST 接收到的反馈和常见问题； • 对 2015 年 12 月信息请求（RFI）的 105 份回复，关于提升关键基础设施网 c . 5 络安全的框架的意见； • 对 2017 年 12 月 5 日提出的 1.1 版（二稿）的逾 85 条评论； • 对 2017 年 1 月 10 日提出的 1.1 版（初稿）的逾 120 条评论; 以及 • 在 2016 年、2017 年框架研讨会上，超过 1200 名与会者的意见。 b u h t i g 此外，NIST 先前发布了网络安全框架 1.0 版，并附带了一份文件 NIST 提升关键基 础设施网络安全路线图 。该路线图强调了需要进一步开发、调整和协作的关键 “改进领域”。通过私营和公共部门的努力，一些改进领域已经有所进展，足以 纳入本框架 1.1 版。 NIST 认可并感谢所有对此框架做出贡献的人们。 本出版物可从该网站免费获取：https://doi.org/10.6028/NIST.CSWP.04162018 6 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 执行摘要 美国依赖于关键基础设施的可靠运行。网络安全威胁利用了关键基础设施系统的日 益复杂性和联结度，使国家的安全、经济、公共安全和健康处于危险之中。与财务 和声誉风险类似，网络安全风险也会影响公司的根本利益。它会推高成本并影响收 入，也会损害组织创新能力、以及赢得和维护客户的能力。网络安全是组织进行全 面风险管理的一个重要且日趋关键的组成部分。 为了更好地应对这些风险，2014 年《网络安全加强法案》（CEA）1中更新了国家 m o 标准与技术研究院（NIST）的职责，包括识别和开发网络安全风险框架，供关键 基础设施所有者和运营商自愿采用。通过 CEA、NIST 必须识别 “一种优先、灵 c . 5 活、可重复、基于绩效的且兼顾成本收益的方法，其中包含信息安全措施和控制， 以供关键基础设施所有者和运营者在识别、评估和管理网络风险时自愿采用。”这 b u 正式确立了 NIST 先前依据 13636 号行政命令（Executive Order (EO) 13636） “提升 关键基础设施安全”（2013 年 2 月）开发框架 1.0 版的工作, 并为后续的框架演进提 h t i g 供了指导。该框架是根据 13636 号行政命令进行开发的，并根据 CEA 发展持续演 进，它采取了通用语言，立足于业务和组织需求，以一种兼顾成本和收益的方式解 决、管理网络安全风险，而不向业务部门提出额外的监管要求。 该框架关注通过业务驱动指导网络安全活动，并将网络安全风险视为组织风险管理 过程的一部分。该框架由“框架核心”、“框架实现层级”和“框架轮廓”三部 分组成。框架核心是一系列的网络安全活动、目标成果和关键基础设施部门通用 的参考性文献。核心的要素为编制单个组织的框架轮廓提供了详细的指导。通过 使用轮廓，该框架将帮助组织根据其业务或愿景的要求、风险承受能力和资源调 整其网络安全活动并确定其优先级。这些层级为各组织提供了一种机制，使其能 够审视、了解其网络安全风险管理方法的特点，这将有助于网络安全目标优先顺 序的确定和实现。 1 见《美国法典》第 15 章第 272 条（e）款（1）项（A）。2014 年《网络安全加强法案》（S.1353）于 2014 年 12 月 18 日成为第 113-274 号公法，网址为：https://www.congress.gov/bill/113th-congress/senatebill/1353/text。 本出版物可从该网站免费获取：https://doi.org/10.6028/NIST.CSWP.04162018 7 2018年