- 网络安全合规是指遵守由实体、法律或监管机构制定的标准和法定要求。处理数字资产的企业需要实施控制和安全实践,以将敏感数据的风险降至最低。
- 许多合规框架和标准可以指导组织建立稳健的网络安全实践,包括 NIST 网络安全框架、GDPR、HIPAA 和 PCI DSS。
- NIST 网络安全框架是一套旨在降低组织网络安全风险的指南,由美国国家标准与技术研究院(NIST)发布,其主要组成部分包括“核心”、“配置文件”和“层级”。
网络犯罪的指数级增长使政府、企业和组织更加关注合规及合规法规。NIST 网络安全框架是广受认可的框架之一,其主要组成部分包括“核心”、“配置文件”和“层级”。
网络安全合规
网络安全合规是指遵守由实体、法律或监管机构制定的标准和法定要求。处理数字资产的企业需要实施控制和安全措施,以最小化敏感数据风险。
网络犯罪的指数级增长经常导致大规模数据泄露或业务中断。这已成为重新关注合规及合规法规的主要驱动力之一。
众多合规框架和标准旨在指导组织建立稳健的网络安全实践。这些框架提供了实施安全控制和满足特定合规要求的结构化方法。
一些广受认可的框架包括 NIST 网络安全框架、《通用数据保护条例》(GDPR)、《健康保险便携和责任法案》(HIPAA)和支付卡行业数据安全标准(PCI DSS)。
另请阅读:生成式 AI 如何用于网络安全?
NIST 网络安全框架
NIST 网络安全框架是一套旨在降低组织网络安全风险的指南,由美国国家标准与技术研究院(NIST)基于现有的标准、指南和实践发布。
该框架“提供了网络安全成果的高层次分类法,以及评估和管理这些成果的方法”,已被翻译成多种语言,并被政府、企业和组织广泛使用,此外还提供了在网络安全背景下保护隐私和公民自由的指导。
框架 1.0 版于 2014 年发布,最初针对关键基础设施运营商。2017 年,框架 1.1 版草案发布以征求公众意见,并于 2018 年 4 月 16 日正式向公众发布。该框架分为三部分:“核心”、“配置文件”和“层级”。
1. 框架核心
“框架核心”包含一系列有关网络安全各方面和方法的活动、成果和参考文献。NIST 网络安全框架将其“核心”材料组织成 5 个“功能”:识别、保护、检测、响应和恢复。
这些功能被细分为总共 23 个“类别”。对于每个类别,它定义了若干网络安全成果和安全控制的子类别,共有 108 个子类别。
2. 框架配置文件
“框架配置文件”是组织根据自己的需求和风险评估从类别和子类别中选择的一系列成果的列表。
一个组织通常首先使用该框架制定一个“当前配置文件”,描述其网络安全活动及其取得的成果。然后,它可以制定一个“目标配置文件”,或采用适合其行业(例如基础设施行业)或组织类型的基线配置文件,该配置文件定义了从当前配置文件切换到目标配置文件的步骤。
3. 框架实施层级
组织使用“框架实施层”来向自己和合作伙伴阐明他们如何看待网络安全风险以及管理这些风险的复杂程度。层级反映了在网络安全风险管理实践中日益提高的专业水平。
第 1 层“部分落实”包括那些按需或无安全程序的公司。
第 2 层“风险知晓”中的大多数企业高管现在意识到他们面临的主要威胁,包括恶意软件、国家支持的攻击和其他恶意行为者。
第 3 层“可重复”适用于那些拥有经高管批准的风险管理和网络安全最佳实践的公司。
第 4 层“自适应”是最高层级,需要最多的时间和资金来部署,但在银行、医疗和关键基础设施等受到严格监管的行业中至关重要。