|
 在上周的邮件中, 我们讨论了什么是NIST网络安全框架, 它将如何帮助你的地区管理其网络风险, 以及它与二维埃德定律的一致性. 提醒一下,有五个高级类别有助于组织NIST CSF:
今天我们将讨论NIST的“识别”类别.
你需要了解你所在地区的具体情况, 最重要的系统是什么, data, 和人民, 什么风险会威胁到这些东西, 以及你该怎么做. 来自NIST的一些例子是:
- 识别组织内的物理和软件资产,以建立资产管理计划的基础
- 确定组织支持的业务环境,包括组织在供应链中的角色和组织在关键基础设施部门中的位置
- 确定组织内建立的网络安全策略,以定义治理计划,并确定有关组织网络安全能力的法律和法规要求
- 识别资产漏洞, 对内部和外部组织资源的威胁, 和风险应对活动,作为组织风险评估的基础
- 确定组织的风险管理策略,包括建立风险容忍度
- 确定供应链风险管理策略,包括优先级, 约束, 风险承受力, 以及用于支持与管理供应链风险相关的风险决策的假设
将其分解为具体的领域:
资产管理(ID.AM):数据, 人员, 设备, 系统, 使组织能够实现业务目的的设施被识别和管理,与它们对业务目标和组织风险策略的相对重要性相一致
营商环境(ID.BE):组织的使命, 目标, 利益相关者, and activities are understood and prioritized; this information is used to inform cybersecurity roles, 责任, 以及风险管理决策.
治理(ID.问:政策, 程序, 以及管理和监督组织规章制度的过程, 法律, 风险, 环境, 操作需求被理解并告知网络安全风险的管理.
风险评估(ID).RA):组织了解组织操作(包括任务)面临的网络安全风险, 功能, 图像, 或声誉), 组织资产, 和个人.
风险管理策略(ID.RM):组织的优先级, 约束, 风险承受力, 假设被建立并用于支持操作风险决策.
供应链风险管理(ID.SC):组织的优先级, 约束, 风险承受力, 建立并使用假设来支持与管理供应链风险相关的风险决策. 组织已建立并实施了识别的过程, 评估和管理供应链风险.
正如您所看到的,有很多东西需要识别和记录,但请记住这是一个过程. 重要的是要开始.
在下周的公告中,我们将探讨第二类- 保护
本周的建议是:
行动项目#1 -维护所有APP客户端资产的准确和最新的库存,并有可能存储或处理信息. 该清单应包括所有硬件资产, 是否连接到组织的网络.
行动项目#2 -确保从网络中删除未经授权的资产, 隔离, 或者库存及时更新.
几乎所有人都已经执行了这些步骤中的大部分, 也许只是为了基本的资产管理或保险目的. 但是拥有一个组织拥有或管理的设备的完整列表, 包括识别信息,如设备MAC地址, 在你的网络安全路线图中,这是关键的基础步骤吗. 记住, 适当的硬件库存控制包括有适当的添加流程, 移动, 以及库存数据库中的删除.
随着网络安全流程的成熟, 该数据库最终将成为您的网络访问控制系统输入的重要组成部分, 确定设备允许访问哪些网络和资源,以及它是否被认为是内部的, 公共, 等.
So, 花点时间来评估贵地区硬体库存及更新过程的准确性及完成程度. 如果需要更正, 现在就开始, 因为这些信息将在您继续遵循NIST的过程中建立起来.
如果你想在下周之前了解更多,而你还没有这样做, 请索取我们的免费报告《APP客户端》. 我们也很高兴与您交谈,只需联系丽莎·麦克杜格尔(lmacdougall@csiny).Com)或845.897.9480. |
最近的评论