(水平有限,翻译粗糙,仅供参考)为改善关键基础设施网络安全框架Version1.0国家标准与技术研究所February12,2014TableofContentsExecutiveSummary.........................................................................................................................11.0FrameworkIntroduction..........................................................................................................32.0FrameworkBasics...................................................................................................................73.0HowtoUsetheFramework..................................................................................................13AppendixA:FrameworkCore.......................................................................................................18AppendixB:Glossary....................................................................................................................37AppendixC:Acronyms.................................................................................................................39ListofFiguresFigure1:FrameworkCoreStructure...............................................................................................7Figure2:NotionalInformationandDecisionFlowswithinanOrganization................................12ListofTablesTable1:FunctionandCategoryUniqueIdentifiers.......................................................................19Table2:FrameworkCore..............................................................................................................20执行摘要美国的国家安全和经济安全取决于关键基础设施的可靠运作的。网络安全威胁攻击日益复杂和关键基础设施系统的连接,把国家的安全,经济,风险公众安全和健康。类似的财务和声誉风险,网络安全风险影响到公司的底线。它可以驱动多达费用及影响收入。它可能会损害一个组织的创新,以获得并保持客户的能力。为了更好地解决这些风险,总统于2013年2月12日,其中规定“[I]t是美国的政策,加强国家的安全和弹性颁布行政命令13636,”改善关键基础设施的网络安全。“关键基础设施和维护,鼓励高效,创新,和经济繁荣,同时促进安全,保安,商业机密,隐私和公民自由。“在制定这项政策的网络环境,执行命令为自愿风险的发展需要基于网络安全框架-一套行业标准和最佳实践,帮助企业管理网络安全风险。由此产生的框架,通过政府和私营部门之间的合作创建的,使用共同的语言,无需放置额外的监管要求,对企业在根据业务需要具有成本效益的方式处理和管理网络安全风险。该框架着重于使用业务驱动因素,以指导网络安全的活动,并考虑网络安全风险,组织风险管理程序的一部分。该框架由三部分组成:核心框架,该框架配置文件和框架实施层级。该框架的核心是一套网络安全的活动,成果,和翔实的参考资料是通用的重要基础设施行业,为发展个人组织档案的详细指导。通过使用配置文件中,该框架将帮助组织调整其网络安全的活动,其业务需求,风险承受能力和资源。各层提供一个机制,组织查看和了解他们的方法来管理网络安全风险的特性。该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。虽然流程和现有的需求会有所不同,该框架能够帮助组织整合的隐私和公民自由的全面网络安全计划的一部分。该框架使组织-无论大小,网络安全风险程度,或网络安全的复杂性-原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种途径,以网络安全组装标准,准则和做法,如今正在有效地业。此外,因为它引用了全球公认的标准,网络安全,该框架还可以用于由位于美国以外的组织,可以作为一个典范加强关键基础设施的网络安全国际合作。该框架是不是一...
