公益翻译小组荣誉出品 c . 5 美国《网络安全框架 1.1》中译本 b u h t i g m o 译校者:李芊晔、刘洪森、葛迎、曾希雯、李双喜、李烨茗、赵彤彤、 袁俊、刘玲麟、洪玮、洪振宇 2020 年 03 月 29 日 版权专有,未经书面授权,禁止商业性使用,禁止演绎 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 译校者简介及工作分工 【组长】 李芊晔 车企 IT 合规 负责翻译、组织翻译、校对及排版工作 【翻译】(按先后顺序排列) 刘洪森,某科技公司安全专家(封面至表格目录,原报告第 1 至 7 页) m o 葛迎,互联网公司法律顾问(第 1.0 至 1.2 节,原报告第 8 至 11 页) 曾希雯,深信服安全咨询顾问(第 1.3 至 2.2 节序言,原报告第 12 至 15 页) c . 5 李双喜,信也科技高级安全经理(第 2.2 节“层级”定义至 2.4 节,原报告第 16 至 19 页) 李烨茗,国际知名律所(知识产权部)律师助理(第 3.0 至 3.3 节,原报告第 20 至 23 页) 赵彤彤,某科技公司信息安全与隐私高级工程师(第 3.3 至 4.0 节,原报告第 24 至 27 页) b u 袁俊,对外经贸大学法学研究生(附录 A 至表 2 子类别“风险管理”,原报告第 28 至 33 页) 刘玲麟,资深法务经理(表 2 子类别“风险管理”至“意识和培训”,原报告第 34 至 38 页) h t i g 洪玮,外资企业信息安全经理(亚太区)(表 2 子类别“数据安全”至“保护性技术”,原报 告第 39 至 43 页) 李芊晔,车企 IT 合规(表 2 子类别“保护性技术”至“缓解”,原报告第 44 至 49 页) 洪振宇,外资信评机构信息安全及数据保护总监(表 2 子类别“缓解”至完,原报告第 50 至 55 页) 【校对】 所有翻译人员均参与了第一轮校对 李芊晔、袁俊、李双喜、李烨茗参与第二轮分组校对 李芊晔负责第三轮全文校对 本出版物可从该网站免费获取:https://doi.org/10.6028/NIST.CSWP.04162018 2 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 改善关键基础设施 网络安全框架 版本 1.1 m o c . 5 美国国家标准与技术研究院 b u 2018 年 04 月 16 日 h t i g 本出版物可从该网站免费获取:https://doi.org/10.6028/NIST.CSWP.04162018 3 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 修校寄语 本网络安全框架 1.1 版本是对 2014 年 2 月所发布 1.0 版本的修正、说明和增进,同 时考量了对 1.1 版本两个草案的反馈意见。 1.1 版本适用于首次使用和当前已在使用该框架的用户。当前用户应能以影响最小 化或无中断的方式进行 1.1 版本的实施;与 1.0 版本的兼容始终是本版本的一个明 确目标。 下表总结了 1.0 版本和 1.1 版本间的不同之处。 m o 表 NTR-1–框架 1.0 及 1.1 版本变更汇总 c . 5 更新 阐明了像“符合性”这 种可能对框架的不同利 益相关方寓意不同、且 易造成疑惑的术语/概 念。 更新描述 新增了关于该框架作为构建、及表达组织自身网络安全 合规性要求的通用框架和语言的实用性描述。但是,组 织使用框架的方式多种多样,这意味着“框架符合性” 这样的短语可能会造成疑惑。 添加了有关自评估的新 章节 新增了第 4.0 节“基于框架的网络安全风险自评估” (Self-Assessing Cybersecurity Risk with the Framework),以解释组织如何使用该框架来理解并评 估其网络安全风险,包括测量的使用。 极大地扩展解读了使用 框架来达成网络供应链 风险管理的目的 扩展的第 3.3 节“与利益相关方沟通网络安全要求” ( Communicating Cybersecurity Requirements with Stakeholders)有助于用户更好地理解网络供应链风险 管理(SCRM),而新的第 3.4 节“采购决策” (Buying Decisions)则强调了通过该框架理解与商业现 货产品和服务相关的风险。另外,网络供应链风险管理 标准被添加到框架实施层级。最后,在框架核心中增加 了一个包含多个子类别的“供应链风险管理”类别。 改进了定义以更好地解 释“验证”、“授权” 和“身份验证”三大概 念 对访问控制类别中描述进行了修正,以便更好地说明 “验证”、“授权”和“身份验证”等几个概念。这 包括为“验证”和“身份验证”各添加了一个子类 别。此外,该类别已更名为“身份管理和访问控制” (PR.AC),以便更好地体现类别及其子类别的范围。 b u h t i g 本出版物可从该网站免费获取:https://doi.org/10.6028/NIST.CSWP.04162018 4 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 更好地解释了框架实现 在第 3.2 节“建立或改进网络安全计划”中新增了使用 层级和轮廓间的关系 框架实现层级进行框架实施的描述。新增了有关框架 层级的描述,以反映组织风险管理计划中有机结合本 框架的关注内容。框架层级的概念也得到了优化。更 新后的图 2 中包含框架层级要求的行动。 有关脆弱性披露协作机 新增了与脆弱性披露生命周期相关的子类别。 制的考量 与 1.0 版本一致,1.1 版本同样鼓励用户进行框架定制化以最大化实现单个组织的 价值。 m o c . 5 b u h t i g 本出版物可从该网站免费获取:https://doi.org/10.6028/NIST.CSWP.04162018 5 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 致谢 本出版物是工业界、学术界和政府共同协作的结果。国家标准与技术研究所 (NIST)于 2013 年召集了来自私营和公共部门的组织及个人共同发起了这一项目。 该框架于 2014 年发布,并于 2017 年和 2018 年进行了修订,通过 8 个公共研讨会、 多次意见或信息征集,及数千次与来自美国各部门的相关方和世界范围内的多个部 门的直接对话,对本改善关键基础设施网络安全框架进行优化。 更新 1.0 版本及在 1.1 版中所载变更的动因在于: m o • 自框架 1.0 版发布以来,NIST 接收到的反馈和常见问题; • 对 2015 年 12 月信息请求(RFI)的 105 份回复,关于提升关键基础设施网 c . 5 络安全的框架的意见; • 对 2017 年 12 月 5 日提出的 1.1 版(二稿)的逾 85 条评论; • 对 2017 年 1 月 10 日提出的 1.1 版(初稿)的逾 120 条评论; 以及 • 在 2016 年、2017 年框架研讨会上,超过 1200 名与会者的意见。 b u h t i g 此外,NIST 先前发布了网络安全框架 1.0 版,并附带了一份文件 NIST 提升关键基 础设施网络安全路线图 。该路线图强调了需要进一步开发、调整和协作的关键 “改进领域”。通过私营和公共部门的努力,一些改进领域已经有所进展,足以 纳入本框架 1.1 版。 NIST 认可并感谢所有对此框架做出贡献的人们。 本出版物可从该网站免费获取:https://doi.org/10.6028/NIST.CSWP.04162018 6 2018年04月16日 网络安全框架|数据法盟DataLaws公益翻译小组出品 版本 1.1 执行摘要 美国依赖于关键基础设施的可靠运行。网络安全威胁利用了关键基础设施系统的日 益复杂性和联结度,使国家的安全、经济、公共安全和健康处于危险之中。与财务 和声誉风险类似,网络安全风险也会影响公司的根本利益。它会推高成本并影响收 入,也会损害组织创新能力、以及赢得和维护客户的能力。网络安全是组织进行全 面风险管理的一个重要且日趋关键的组成部分。 为了更好地应对这些风险,2014 年《网络安全加强法案》(CEA)1中更新了国家 m o 标准与技术研究院(NIST)的职责,包括识别和开发网络安全风险框架,供关键 基础设施所有者和运营商自愿采用。通过 CEA、NIST 必须识别 “一种优先、灵 c . 5 活、可重复、基于绩效的且兼顾成本收益的方法,其中包含信息安全措施和控制, 以供关键基础设施所有者和运营者在识别、评估和管理网络风险时自愿采用。”这 b u 正式确立了 NIST 先前依据 13636 号行政命令(Executive Order (EO) 13636) “提升 关键基础设施安全”(2013 年 2 月)开发框架 1.0 版的工作, 并为后续的框架演进提 h t i g 供了指导。该框架是根据 13636 号行政命令进行开发的,并根据 CEA 发展持续演 进,它采取了通用语言,立足于业务和组织需求,以一种兼顾成本和收益的方式解 决、管理网络安全风险,而不向业务部门提出额外的监管要求。 该框架关注通过业务驱动指导网络安全活动,并将网络安全风险视为组织风险管理 过程的一部分。该框架由“框架核心”、“框架实现层级”和“框架轮廓”三部 分组成。框架核心是一系列的网络安全活动、目标成果和关键基础设施部门通用 的参考性文献。核心的要素为编制单个组织的框架轮廓提供了详细的指导。通过 使用轮廓,该框架将帮助组织根据其业务或愿景的要求、风险承受能力和资源调 整其网络安全活动并确定其优先级。这些层级为各组织提供了一种机制,使其能 够审视、了解其网络安全风险管理方法的特点,这将有助于网络安全目标优先顺 序的确定和实现。 1 见《美国法典》第 15 章第 272 条(e)款(1)项(A)。2014 年《网络安全加强法案》(S.1353)于 2014 年 12 月 18 日成为第 113-274 号公法,网址为:https://www.congress.gov/bill/113th-congress/senatebill/1353/text。 本出版物可从该网站免费获取:https://doi.org/10.6028/NIST.CSWP.04162018 7 2018年
NIST 改善关键基础设施的网络安全框架 数据法盟翻译 2020
文档预览
中文文档
62 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共62页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-06-17 06:03:25上传分享