其他
NIST:网络安全规划过程
网络安全框架 Cybersecurity Framework (CSF)
网络安全规划过程
步骤1:确定优先级和范围
了解组织的愿景和使命目标以及重点关注方向;
就网络安全的实施进行战略决策,确定系统和资产范围;
步骤2:定位
识别相关系统和资产、监管要求和计划适用的总体风险方法;
确定这些系统和资产的漏洞和威胁;
步骤3:制定当前状况一览表(Current Profile)
确定组织网络安全计划的状态;
步骤4:评估风险
分析组织的运行环境,确定网络安全事件的发生可能性及其相关影响;
步骤5:制定目标状况一览表(Target Profie)
制定目标状况一览表,围绕 CSF 所定义的类别和子类别进行评估,描述期望实现的络安全结果(基于组织风险并考虑风险偏好);
步骤6:识别、分析差距,进行优先级排序
基于制定的目标状况一览表,识别、分析存在的差距,进行优先级排序;
步骤7:执行行动计划
明确所应采取的行动,实施这些行动,弥补差距;
制作实现战略目标的路线图。
Source: 美国国家标准和技术协会 National Institute of Standards and Technology (NIST)