NIST CSF在核心部分提供了六個類別的關(guān)鍵功能和子功能，并圍繞CSF的使用提供了層級（Tier）和配置（Profile）兩種工具，使不同組織和用戶更方便有效地使用CSF，本文將深入探討CSF層級和配置的主要內(nèi)容，及其使用方法。關(guān)鍵字：網(wǎng)絡安全框架；CSF層級；CSF配置

一

CSF層級

在組織的系統(tǒng)性風險治理過程中，CSF框架可以用于識別、評估和管理網(wǎng)絡安全風險。結(jié)合現(xiàn)有的管理流程，組織可以利用CSF分析確定當前網(wǎng)絡安全風險管理方法中存在的差距，并制定改進路線圖。CSF通過“（實施）層級”為利益相關(guān)者提供了組織網(wǎng)絡安全計劃的相關(guān)背景信息。NIST 明確指出，CSF層級并非成熟度模型，而是一種指導性的方法，用于闡明網(wǎng)絡安全風險管理和企業(yè)運營風險管理之間的關(guān)系，簡而言之，層級提供了一條清晰的路徑，將網(wǎng)絡安全風險納入企業(yè)的整體組織風險中，同時作為評估當前網(wǎng)絡安全風險管理實踐的基準，幫助組織制定改善其網(wǎng)絡安全狀況的計劃。

1．層級定義

由于不同組織具有不同的風險、不同的風險承受能力以及不同的威脅和漏洞，因此他們對CSF的實施方式也會存在區(qū)別。例如，大型企業(yè)可能已經(jīng)實施了CSF核心中的大部分安全措施，而小型組織可能因為只擁有較少的數(shù)據(jù)泄露途徑，其數(shù)據(jù)安全流程可能僅處于起步階段。為了滿足不同組織的不同安全要求，實施層以等級式的描述方式，將企業(yè)網(wǎng)絡安全風險管理實踐映射至CSF框架，用來描述企業(yè)實踐與NIST CSF的一致程度。

圖1 NIST CSF的四個實施層級

這些層級可幫助組織考慮其網(wǎng)絡安全計劃的適當嚴格程度、如何有效地將網(wǎng)絡安全風險決策整合到更廣泛的風險決策中，以及企業(yè)從第三方共享和接收網(wǎng)絡安全信息的程度。NIST明確指出這些級別不是成熟度級別。級別越高，企業(yè)的風險管理實踐就越符合NIST CSF的規(guī)定。每個實施層都分為兩個個主要組成部分：風險治理實踐（治理）和風險管理實踐（識別、保護、檢測、響應和恢復）。

2．層級選擇

企業(yè)組織的領(lǐng)導層負責選擇在該組織在網(wǎng)絡安全風險治理和管理中應達到的CSF層級。選擇層級時，一般考慮如下原則：● 在整體層級、功能或類別層級進行選擇，比在子類別層級進行選擇，可以更好地了解組織當前的網(wǎng)絡安全風險管理實踐?！袢绻M織只想關(guān)注CSF功能的子集，可以使用兩個層級（治理或管理）組件之一。例如，如果您的范圍僅限于治理，則可以省略網(wǎng)絡安全風險管理描述。在選擇層級時，考慮組織的以下特征和因素：當前的風險管理實踐；威脅環(huán)境；法律和監(jiān)管要求；信息共享實踐；業(yè)務和任務目標；供應鏈要求；組織的約束，包括資源。●確保所選擇的層級有助于實現(xiàn)組織目標，可行實施，并將網(wǎng)絡安全風險降低到組織可接受的水平，以保護關(guān)鍵資產(chǎn)和資源?！裥枰獣r鼓勵向更高層級發(fā)展，以解決風險或法規(guī)要求。

二

CSF配置

功能、類別和子類別與組織的業(yè)務需求、風險承受能力和資源的一致性。配置文件使組織能夠建立一個降低網(wǎng)絡安全風險的路線圖，該路線圖與組織和部門目標保持一致，考慮法律/監(jiān)管要求和行業(yè)最佳實踐，并反映風險管理優(yōu)先事項。考慮到許多組織的復雜性，他們可能會選擇擁有多個配置文件，與特定組件保持一致并認識到他們的個人需求?？蚣芘渲梦募捎糜诿枋鎏囟ňW(wǎng)絡安全活動的當前狀態(tài)或期望的目標狀態(tài)。組織的CSF配置可以分為：●當前配置：指定了組織當前實現(xiàn)的一組CSF成效，并描述了如何實現(xiàn)每個功能?！衲繕伺渲茫褐付藶閷崿F(xiàn)組織的網(wǎng)絡安全風險管理目標，而優(yōu)先考慮的期望 CSF 成效。目標配置需要考慮組織網(wǎng)絡安全態(tài)勢的預期變化，例如新要求、新技術(shù)的采用情況，以及威脅情報的趨勢。CSF 2.0 描述了一個用于創(chuàng)建和使用組織概況的五步流程。更具體地說，該流程將一個目標配置（愿景）與一個當前配置（已評估）進行比較。然后，進行差距分析，并制定和實施行動計劃。該流程自然地導致了目標概況的改進，以在下一次評估期間使用。

圖2 NIST CSF配置的創(chuàng)建步驟

1．確定范圍

該步驟主要記錄那些用于定義概況的一些基本事實和假設，以定義其范圍。一個組織可以擁有多個不同的組織配置，每個配置都具有不同的范圍。例如，一個配置可以涵蓋整個組織，也可以只針對組織的財務系統(tǒng)，或應對勒索軟件威脅和處理涉及這些財務系統(tǒng)的勒索軟件事件。在該階段需要回答以下問題：●創(chuàng)建組織配置的原因是什么？●該配置是否將覆蓋整個組織？如果不是，將包括組織的哪些部門、數(shù)據(jù)資產(chǎn)、技術(shù)資產(chǎn)、產(chǎn)品和服務，以及/或合作伙伴和供應商？●配置是否將涵蓋所有類型的網(wǎng)絡安全威脅、漏洞、攻擊和防御？如果不是，將包括哪些類型？●誰負責制定、審查和實施配置？●誰負責設定實現(xiàn)目標結(jié)果的行動規(guī)劃？

2．收集信息

該階段需要收集的信息示例包括組織政策、風險管理優(yōu)先事項和資源、企業(yè)風險概況、業(yè)務影響分析（BIA）登記、組織遵循的網(wǎng)絡安全要求和標準、實踐和工具（例如，程序和安全措施）以及工作角色。每個配置所需信息的來源主要取決于實際情況，該配置需要捕獲的元素，以及所期望的詳細級別。

3．創(chuàng)建配置

創(chuàng)建配置需要確定配置應包含的信息類型，以及記錄所需信息?？紤]當前配置的風險影響，以指導目標配置的規(guī)劃和優(yōu)先級確定。此外，考慮使用社區(qū)配置作為目標概況的基礎(chǔ)。創(chuàng)建配置的主要步驟包括：●下載最新的CSF組織配置模板表格，并根據(jù)需要進行自定義；●將適用的網(wǎng)絡安全成效納入您的配置用例，并根據(jù)需要記錄理由；●在當前配置欄中記錄當前的網(wǎng)絡安全實踐；●在目標配置欄中記錄網(wǎng)絡安全目標及其實現(xiàn)計劃；●使用優(yōu)先級字段，突出每個目標的重要性。

4．分析差距

分析當前配置和目標配置之間的差距，并制定行動計劃。通過差距分析，識別當前配置和目標配置之間的差異，并制定優(yōu)先行動計劃（例如，風險登記、風險報告、行動計劃和里程碑等），以解決這些差距。

圖3 通過配置分析差距和改進

5．行動改進

該階段主要實施行動計劃，并更新組織的配置。通過遵循行動計劃解決差距，并使組織朝著目標配置邁進。一般來說，行動計劃可以設置總體的截止日期，也可能是持續(xù)進行的。行動計劃通過管理、程序化和技術(shù)控制的任意組合來實現(xiàn)。隨著這些控制的實施，組織概況可以用于跟蹤實施狀態(tài)。隨后，通過關(guān)鍵績效指標（KPI）和關(guān)鍵風險指標（KRI）可以監(jiān)測控制措施和相關(guān)風險。超出風險容忍度的網(wǎng)絡風險通過風險評估進行觀察。超出風險容忍度的風險可能會促使行動計劃、組織配置的更新。差距分析也可能導致創(chuàng)建具有更長修復時間的差距。

三

使用方法

層級和組織配置是NIST CSF提供的關(guān)鍵工具，一旦組織確定了層級選擇，就可以使用它們來幫助制定組織的當前和目標配置文件。例如，如果領(lǐng)導層確定您的組織在識別和保護功能中應該處于第二層（風險知情），那么當前配置文件將反映目前在這兩個功能內(nèi)，實現(xiàn)第二層網(wǎng)絡安全風險管理實踐的情況（如表1）。表1針對“識別”和“保護”功能的風險管理實踐描述（采用第2層級的示例）

同樣，目標配置文件將反映出需要改進的識別和保護結(jié)果，以完全實現(xiàn)第二層描述。層級應該用于指導和提供信息，而不是取代組織的網(wǎng)絡安全風險治理和管理方法。

審核編輯 黃宇