实用文档
美国《提高关于重要基础设施的网络安全框架》框架核心:
功能 分类 子类 参考文献 ? CCS CSC 1 ? COBIT 5 BAI09.01, BAI09.02 ? ISA 62443-2-1:2009 4.2.3.4 ? ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 ? NIST SP 800-53 Rev. 4 CM-8 ? CCS CSC 2 ? COBIT 5 BAI09.01, BAI09.02, BAI09.05 ID.AM-1:组织的物? ISA 62443-3-3:2013 SR 7.8 理设备和系统的盘点 ID.AM-2:组织的软? ISA 62443-2-1:2009 4.2.3.4 件平台和应用的盘点 ? ISA 62443-3-3:2013 SR 7.8 资产管理(ID.AM):识别能使组织达到商业目的的数据、人员、设备、系统和设施,并使其业务目标与企业风险战略保持一致。 ? ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 ? NIST SP 800-53 Rev. 4 CM-8 ? CCS CSC 1 ? COBIT 5 DSS05.02 识别 ID.AM-3:组织通信和数据流的映射 ? ISA 62443-2-1:2009 4.2.3.4 ? ISO/IEC 27001:2013 A.13.2.1 ? NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9,PL-8 ? COBIT 5 APO02.02 ID.AM-4:外部信息系统的编目 ? ISO/IEC 27001:2013 A.11.2.6 ? NIST SP 800-53 Rev. 4 AC-20, SA-9 ? COBIT 5 APO03.03, APO03.04, BAI09.02 ? ISA 62443-2-1:2009 4.2.3.6 ? ISO/IEC 27001:2013 A.8.2.1 ? NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14 ID.AM-5:资源(例如,硬件、设备、数据和软件)基于其分类、临界性和商业价值优先次序的划分。
实用文档
ID.AM-6:为全体员工和第三方利益相关者(如供应商、客户、合作伙伴)网络安全的角色和责任的建立。 ? COBIT 5 APO01.02, DSS06.03 ? ISA 62443-2-1:2009 4.3.2.3.3 ? ISO/IEC 27001:2013 A.6.1.1 ? NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11 功能 分类 子类 参考文献 ? COBIT 5 APO08.04, APO08.05, ID.BE-1:该组织的在供应链中的作用是识别和沟通 APO10.03,APO10.04, APO10.05 ? ISO/IEC 27001:2013 A.15.1.3, A.15.2.1,A.15.2.2 ? NIST SP 800-53 Rev. 4 CP-2, SA-12 商业环境(ID.BE):该组织优先考虑和易被接受的使命,目标,利益相关者和行动;并且这些信息被协助用于网络安全角色、责任和风险的管理决策。 ID.BE-2:组织重要? COBIT 5 APO02.06, APO03.01 基础设施和工业部门? NIST SP 800-53 Rev. 4 PM-8 的地点的确定与通知 ? COBIT 5 APO02.01, APO02.06, APO03.01 ID.BE-3:组织使? ISA 62443-2-1:2009 4.2.2.1, 命、目标和活动的优4.2.3.6 先次序的建立和沟通 SA-14 ? NIST SP 800-53 Rev. 4 PM-11, ? ISO/IEC 27001:2013 A.11.2.2, A.11.2.3,A.12.1.3 ? NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11,PM-8, SA-14 ? COBIT 5 DSS04.02 ? ISO/IEC 27001:2013 A.11.1.4, A.17.1.1,A.17.1.2, A.17.2.1 ? NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-14 ? COBIT 5 APO13.12 ? ISA 62443-2-1:2009 4.3.2.3.3 ID.BE-4:关键业务提供的依赖关系和关键功能的建立 ID.BE-5:对于支持提供关键业务的韧性要求的建立 治理(ID.GV):管理和监控组织的监管,法律,风险,环境和业务要求的政策,程序和流程的意识;以及网络安全风险管理的通报。
ID.GV-1:组织信息安全策略的建立 ? ISO/IEC 27001:2013 A.6.1.1, A.7.2.1 ? NIST SP 800-53 Rev. 4 PM-1, PS-7 ID.GV-2:信息安全角色和职责的协调,部角色和外部合作伙伴的一致 ? COBIT 5 MEA03.01, MEA03.04 ? ISA 62443-2-1:2009 4.4.3.7 实用文档
ID.GV-3:关于网络安全的法律和监管要求,包括隐私和公民自由的义务的意识和管理。 ? COBIT 5 MEA03.01, MEA03.04 ? ISA 62443-2-1:2009 4.4.3.7 ? ISO/IEC 27001:2013 A.18.1 ? NIST SP 800-53 Rev. 4 -1 controls from all families (except PM-1) 功能 分类 子类 参考文献 ? COBIT 5 DSS04.02 ID.GV-4:应对网络安全风险的治理与风险的管理流程, ? ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8,4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3 ? NIST SP 800-53 Rev. 4 PM-9, PM-11 ? CCS CSC 4 ? COBIT 5 APO12.01, APO12.02, APO12.03,APO12.04 ? ISA 62443-2-1:2009 4.2.3, D.RA-1:资产漏洞的确定和记录 4.2.3.7, 4.2.3.9,4.2.3.12 ? ISO/IEC 27001:2013 A.12.6.1, A.18.2.3 ? NIST SP 800-53 Rev. 4 CA-2, CA-7, CA-8,RA-3, RA-5, SA-5, SA-11, 风险评估(ID.RA):组织对组织业务(包括使命,功能,形象,声誉或)、企业资产和个人关于网络安全风险方面的意识。 SI-2, SI-4, SI-5 ? ISA 62443-2-1:2009 4.2.3, ID.RA-2:从信息共4.2.3.9, 4.2.3.12 享论坛和渠道关于威? ISO/IEC 27001:2013 A.6.1.4 胁和漏洞信息的获得 ? NIST SP 800-53 Rev. 4 PM-15, PM-16, SI-5 ? COBIT 5 APO12.01, APO12.02, APO12.03,APO12.04 ID.RA-3:部和外部威胁的确定和记录 ? ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ? NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12,PM-16 ? COBIT 5 DSS04.02 ID.RA-4:潜在的业务影响和可能性的确定 ? ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ? NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-9,PM-11, SA-14
相关推荐:
loading