概述

本學習模塊深入了解網絡安全框架的五個功能：識別、保護、檢測、響應和恢復。此處提供的信息建立在“框架組件”模塊中介紹的材料之上。本模塊探討框架內功能的價值，以及每個功能中包含的內容。

功能介紹

框架核心中包含的五個功能是：

• 識別（I）
• 保護（P）
• 探測（D）
• 回應（R）
• 恢復（R）

功能是框架中包含的最高抽象級別，充當框架核心的骨干，所有其他元素都圍繞著其進行組織。

之所以選擇這五個功能，是因為它們代表了成功和整體網絡安全計劃的五個主要支柱。幫助組織輕松地在高水平上表達其對網絡安全風險的管理，并促成風險管理決策。

識別

識別功能有助于培養組織對管理系統、人員、資產、數據和能力的網絡安全風險的理解。了解業務環境、支持關鍵功能的資源以及相關的網絡安全風險，使組織能夠根據其風險管理戰略和業務需求集中精力并確定其工作的優先級。

此功能中的結果類別示例包括：

• 識別組織內的物理和軟件資產，以建立資產管理計劃的基礎
• 識別組織支持的商業環境，包括組織在供應鏈中的角色，以及組織在關鍵基礎設施領域的地位
• 確定組織內建立的網絡安全政策以定義治理計劃，并確定有關組織網絡安全能力的法律和監管要求
• 識別資產漏洞、對內部和外部組織資源的威脅以及風險響應活動，作為組織風險評估的基礎
• 確定組織的風險管理策略，包括建立風險容忍度
• 確定供應鏈風險管理戰略，包括優先級、約束、風險容忍度和用于支持與管理供應鏈風險相關的風險決策的假設

保護

保護功能概述了適當的保障措施，以確保關鍵基礎設施服務的交付。保護功能支持限制或遏制潛在網絡安全事件影響的能力。

此功能中的結果類別示例包括：

• 保護組織內的身份管理和訪問控制，包括物理和遠程訪問
• 通過意識和培訓（包括基于角色和特權用戶的培訓）賦予組織內的員工權力
• 建立與組織風險策略一致的數據安全保護，以保護信息的機密性、完整性和可用性
• 實施信息保護流程和程序以維護和管理信息系統和資產的保護
• 通過維護（包括遠程維護）活動保護組織資源
• 管理保護技術以確保系統和資產的安全性和彈性與組織政策、程序和協議一致

探測

檢測功能定義了適當的活動來識別網絡安全事件的發生。檢測功能可以及時發現網絡安全事件。

此功能中的結果類別示例包括：

• 確保檢測到異常和事件，并了解其潛在影響
• 實施安全持續監控功能以監控網絡安全事件并驗證包括網絡和物理活動在內的保護措施的有效性
• 維護檢測流程以提供對異常事件的感知

響應

響應功能包括針對檢測到的網絡安全事件采取行動的適當活動。響應功能支持控制潛在網絡安全事件影響的能力。

此功能中的結果類別示例包括：

• 確保在事件期間和之后執行響應計劃流程
• 在事件期間和之后管理與利益相關者、執法部門、外部利益相關者的適當溝通
• 進行分析以確保有效響應和支持恢復活動，包括取證分析和確定事件的影響
• 執行緩解活動以防止事件擴大并解決事件
• 組織通過結合從當前和以前的檢測/響應活動中吸取的經驗來實施改進

恢復

 恢復功能確定適當的活動，以維護彈性計劃并恢復因網絡安全事件而受損的任何能力或服務。恢復功能支持及時恢復到正常操作，以減少網絡安全事件的影響。

此功能中的結果類別示例包括：

• 確保組織實施恢復計劃流程和程序，以恢復受網絡安全事件影響的系統和/或資產
• 根據經驗教訓和對現有戰略的審查實施改進
• 在網絡安全事件恢復期間和之后協調內部和外部通信?