NIST CSWP 29 Ipd

Machine Translated by Google
Dự thảo công khai: Khung an ninh mạng NIST 2.0 Viện Tiêu
chuẩn và Công nghệ Quốc gia

Phát hành ngày 8 tháng 8 năm 2023
Lưu ý cho người đánh giá
Đây là bản dự thảo công khai của Khung bảo mật không gian mạng NIST (CSF hoặc Framework) 2.0.
Khung này đã được sử dụng rộng rãi để giảm thiểu rủi ro an ninh mạng kể từ lần xuất bản đầu tiên vào năm 2014. Nhiều tổ chức đã
nói với NIST rằng CSF 1.1 vẫn là một khuôn khổ hiệu quả để giải quyết các rủi ro an ninh mạng.
Ngoài ra còn có sự đồng thuận rộng rãi rằng những thay đổi được đảm bảo để giải quyết các thách thức an ninh mạng hiện tại và
tương lai, đồng thời giúp các tổ chức sử dụng Khung này dễ dàng hơn. NIST đang làm việc với cộng đồng để đảm bảo rằng CSF 2.0 có
hiệu quả trong tương lai đồng thời hoàn thành các mục tiêu và mục tiêu ban đầu của CSF.
NIST đang tìm kiếm phản hồi về việc liệu bản sửa đổi dự thảo này có giải quyết được các thách thức an ninh mạng hiện tại và
dự đoán trong tương lai của tổ chức hay không, có phù hợp với các tài nguyên hướng dẫn và thực tiễn hàng đầu cũng như phản
ánh các nhận xét nhận được cho đến nay hay không. Ngoài ra, NIST yêu cầu các ý tưởng về cách tốt nhất để trình bày các sửa đổi từ
CSF 1.1 sang CSF 2.0 nhằm hỗ trợ quá trình chuyển đổi. NIST khuyến khích các đề xuất cụ thể để cải thiện bản dự thảo, bao gồm các
sửa đổi đối với phần tường thuật và Cốt lõi.
Dự thảo này bao gồm một phiên bản cập nhật của CSF Core, phản ánh phản hồi về dự thảo thảo luận tháng 4. Ấn bản này không chứa các
Ví dụ triển khai hoặc Tài liệu tham khảo thông tin về Lõi CSF 2.0, do cần phải cập nhật chúng thường xuyên. Dự thảo, các ví dụ
triển khai ban đầu đã được phát hành dưới dạng bìa riêng để lấy ý kiến công chúng. NIST tìm kiếm phản hồi về loại Ví dụ nào sẽ có
lợi nhất cho người dùng Khung, cũng như những nguồn hướng dẫn triển khai hiện có nào có thể dễ dàng được áp dụng làm nguồn
Ví dụ (chẳng hạn như Nhiệm vụ Khung NICE , Ví dụ). NIST cũng tìm kiếm phản hồi về tần suất cập nhật các Ví dụ triển khai cũng
như liệu và cách chấp nhận các Ví dụ triển khai do cộng đồng phát triển.
Khi CSF 2.0 được hoàn thiện, các Ví dụ triển khai và Tài liệu tham khảo thông tin được cập nhật sẽ được duy trì trực
tuyến trên trang web Khung an ninh mạng của NIST, tận dụng Công cụ tham khảo về quyền riêng tư và an ninh mạng của NIST
(CPRT). Chủ sở hữu tài nguyên và tác giả quan tâm đến việc ánh xạ tài nguyên của họ tới CSF 2.0 cuối cùng để tạo Tài liệu tham khảo
thông tin nên liên hệ với NIST.
Phản hồi về Dự thảo công khai CSF 2.0 này, cũng như dự thảo Ví dụ triển khai có liên quan, có thể được
đã gửi tới cyberframework@nist.gov trước thứ Sáu, ngày 4 tháng 11 năm 2023.
Tất cả các nhận xét có liên quan, bao gồm tệp đính kèm và tài liệu hỗ trợ khác, sẽ được cung cấp công khai trên trang web NIST CSF
2.0. Thông tin kinh doanh cá nhân, nhạy cảm, bí mật hoặc mang tính quảng cáo không được phép
bao gồm. Những bình luận có ngôn ngữ không phù hợp sẽ không được xem xét.
Dự thảo này sẽ được thảo luận tại hội thảo CSF lần thứ ba, sẽ được tổ chức vào mùa thu này. NIST không có kế hoạch
phát hành một bản thảo khác của CSF 2.0 để lấy ý kiến. Phản hồi về dự thảo này sẽ cung cấp thông tin cho sự phát triển của
CSF 2.0 cuối cùng sẽ được xuất bản vào đầu năm 2024.
Những sửa đổi giữa Phiên bản 1.1 và phiên bản này dựa trên ý kiến đóng góp của cộng đồng thông qua:
• 57 câu trả lời cho Dự thảo thảo luận về Cốt lõi Khung an ninh mạng 2.0 của NIST
• 92 câu trả lời bằng văn bản đến Bản khái niệm CSF 2.0 tháng 1 năm 2023
• Phiên làm việc trực tiếp vào tháng 2 năm 2023 (có khoảng 250 người tham dự)
• Hội thảo “Hành trình đến với Khung an ninh mạng NIST 2.0” tháng 2 năm 2023 Hội thảo số 2 (có sự tham dự ảo của hơn 2.000 người
tham gia từ 69 quốc gia)
• Hội thảo “Hành trình đến với Khung an ninh mạng NIST 2.0” Hội thảo số 1 tháng 8 năm 2022 (có sự tham dự ảo của khoảng 4.000 người
tham gia từ 100 quốc gia)
• 134 văn bản trả lời đến RFI an ninh mạng NIST tháng 2 năm 2022
• Phản hồi từ các tổ chức đã sử dụng CSF trong những năm qua
• Sự tham gia của NIST tại các hội nghị, hội thảo trực tuyến, hội nghị bàn tròn và các cuộc họp trên khắp thế giới
Cherilyn Pascoe
Trưởng chương trình khung an ninh mạng của NIST
cyberframework@nist.gov
Tóm tắt các thay đổi Khung đã chọn từ phiên bản 1.1 đến bản dự thảo này:
• Nhận thức được việc sử dụng rộng rãi Khung này:
o Tiêu đề đã được đổi thành tên thường được sử dụng, “Khuôn khổ an ninh mạng” từ “Khuôn khổ cải thiện an ninh
mạng cơ sở hạ tầng quan trọng” ban đầu.
o Phạm vi của Khung này đã được cập nhật để phản ánh việc sử dụng của tất cả các tổ chức; sự nhấn mạnh ban đầu vào ứng
dụng cơ sở hạ tầng quan trọng trong phần tường thuật và Cốt lõi đã được sửa đổi để tập trung vào tất cả các tổ
chức.
o Sự nhấn mạnh ban đầu vào việc bảo đảm cơ sở hạ tầng quan trọng của Hoa Kỳ đã được sửa đổi để tập trung vào
các tổ chức trên toàn thế giới để phản ánh việc sử dụng rộng rãi và mang tính quốc tế của Khung này.
• Liên kết CSF với các Khung và tài nguyên khác:
o NIST đã xem xét các bản cập nhật cho các tài nguyên được xuất bản trong những năm gần đây để xác định những thay đổi trong tường thuật
và Cốt lõi; điều này bao gồm các tài liệu tham khảo mới về Khung bảo mật NIST, Khung lực lượng lao động
NICE cho an ninh mạng (SP 800-181), Khung phát triển phần mềm an toàn (SP 800-
218), Thực hành quản lý rủi ro chuỗi cung ứng an ninh mạng cho hệ thống và tổ chức (SP 800-161r1), Chuỗi hướng dẫn
đo lường hiệu suất cho bảo mật thông tin (SP 800-55), Tích hợp an ninh mạng và quản lý rủi ro doanh nghiệp (NIST
IR 8286) và Trí tuệ nhân tạo Khung quản lý rủi ro (AI 100-1).
o Mặc dù không có trong bản dự thảo này nhưng trong tương lai NIST sẽ phát hành một công cụ trực tuyến trên NIST CSF
trang web để lưu trữ CSF 2.0 Core, với các định dạng mà con người và máy có thể đọc được. Công cụ mới này sẽ cho
phép các tổ chức xem mối quan hệ trực tuyến giữa Cốt lõi và Tài liệu tham khảo thông tin có thể cập nhật.
• Tăng cường hướng dẫn thực hiện CSF:
o Các ví dụ triển khai được thêm vào để cung cấp các ví dụ mang tính khái niệm về các quy trình định hướng hành động
để đạt được các Hạng mục con CSF.
o Hướng dẫn về Hồ sơ khung được sửa đổi đáng kể và mở rộng để cung cấp hướng dẫn về các bước sử dụng Hồ sơ
và để minh họa một số mục đích cho Hồ sơ.
o Các mẫu danh nghĩa được phát triển mà các tổ chức có thể sử dụng hoặc điều chỉnh để tạo Hồ sơ và
kế hoạch hành động.
• Nhấn mạnh quản trị an ninh mạng:
o Chức năng mới, Quản trị, được thêm vào để phù hợp với bối cảnh tổ chức; chiến lược quản lý rủi ro;
quản lý rủi ro chuỗi cung ứng an ninh mạng; vai trò, trách nhiệm và quyền hạn; chính sách,
quy trình, thủ tục; và giám sát.
o Hướng dẫn mới được cung cấp về việc tích hợp Khung với Khung bảo mật của NIST và với
quản lý rủi ro doanh nghiệp như được thảo luận trong NIST IR 8286.
o Tập trung vào con người, quy trình và công nghệ được mở rộng trong suốt quá trình triển khai
Khung.
• Nhấn mạnh việc quản lý rủi ro chuỗi cung ứng an ninh mạng:
o Hạng mục mới trong Quản trị tập trung vào quản lý rủi ro chuỗi cung ứng an ninh mạng.
o Nội dung được cập nhật để phản ánh hướng dẫn mới nhất của NIST và các thực tiễn Khung liên quan
đến quản lý rủi ro chuỗi cung ứng an ninh mạng và phát triển phần mềm an toàn.
• Làm rõ hiểu biết về đo lường, đánh giá an ninh mạng:
o Thông tin về đánh giá an ninh mạng được cập nhật với các gợi ý mới cho NIST SP 800-55.
o Các cấp độ được làm rõ để tập trung vào quản trị an ninh mạng, quản lý rủi ro và bên thứ ba
cân nhắc.
o Tầm quan trọng của việc cải tiến liên tục được nhấn mạnh thông qua Hạng mục Cải tiến mới trong Chức năng Xác
định, cũng như những cải tiến trong hướng dẫn phát triển và cập nhật Hồ sơ và kế hoạch hành động.
Khung bảo mật không

gian mạng NIST 2.0
Dự thảo công khai ban đầu
Viện Tiêu chuẩn và Công nghệ
Ấn bản này được cung cấp miễn phí tại: https://doi.org/

10.6028/NIST.CSWP.29.ipd
Ngày 8 tháng 8 năm 2023

Dự thảo công khai ban đầu Khung bảo mật không gian mạng NIST 2.0
Một số thiết bị, dụng cụ, phần mềm hoặc vật liệu thương mại nhất định, thương mại hoặc phi thương mại, được xác định trong
bài viết này để chỉ rõ quy trình thử nghiệm một cách đầy đủ. Việc nhận dạng như vậy không ngụ ý khuyến nghị
hoặc chứng thực bất kỳ sản phẩm hoặc dịch vụ nào của NIST, cũng không ngụ ý rằng các vật liệu hoặc thiết bị được
xác định nhất thiết phải là loại tốt nhất sẵn có cho mục đích này.
Chính sách chuỗi kỹ thuật của NIST
Tuyên bố về bản quyền, sử dụng và cấp phép

Cú pháp định danh xuất bản sê-ri kỹ thuật của NIST
Cách trích dẫn Ấn bản loạt kỹ thuật NIST này: Viện Tiêu chuẩn
và Công nghệ Quốc gia (2023) Khung an ninh mạng NIST 2.0. (Viện Tiêu chuẩn và Công nghệ Quốc gia, Gaithersburg, MD), Sách
trắng về An ninh mạng của NIST (CSWP) NIST CSWP 29 ipd.
https://doi.org/10.6028/NIST.CSWP.29.ipd
Giai đoạn bình luận công khai
Ngày 8 tháng 8 năm 2023 – ngày 4 tháng 11 năm 2023
Gửi bình luận
cyberframework@nist.gov
Viện Tiêu chuẩn và Công nghệ

Người nhận: Phòng An ninh mạng ứng dụng, Phòng thí nghiệm Công nghệ thông tin
100 Bureau Drive (Mail Stop 2000) Gaithersburg, MD 20899-2000
Tất cả các bình luận đều có thể được tiết lộ theo Đạo luật Tự do Thông tin (FOIA).
1 Tóm tắt
2 Khung an ninh mạng NIST 2.0 cung cấp hướng dẫn cho ngành, cơ quan chính phủ, 3 và các tổ chức
khác để giảm thiểu rủi ro an ninh mạng. Nó cung cấp phân loại các kết quả an ninh mạng cấp độ
4 mà bất kỳ tổ chức nào cũng có thể sử dụng — bất kể quy mô, lĩnh vực hay mức độ trưởng thành cấp 5
— để hiểu rõ hơn, đánh giá, ưu tiên và truyền đạt các nỗ lực an ninh mạng của mình.
6 Khung này không quy định cách thức đạt được kết quả. Thay vào đó, nó ánh xạ tới 7 tài nguyên
cung cấp hướng dẫn bổ sung về các biện pháp thực hành và biện pháp kiểm soát có thể được sử dụng để đạt
được 8 kết quả đó. Tài liệu này giải thích Khung An ninh mạng 2.0 và các thành phần của nó, đồng thời
9 mô tả một số trong nhiều cách có thể sử dụng khung này.
10 từ khóa
an ninh mạng; Khung an ninh mạng; quản trị rủi ro an ninh mạng; quản lý rủi ro an ninh mạng
11 12; quản lý rủi ro chuỗi cung ứng an ninh mạng; quản lý rủi ro doanh nghiệp; Khuôn khổ Quyền riêng
tư 13; Hồ sơ.
14 Lời cảm ơn
15 Khung này là kết quả của nỗ lực hợp tác giữa các ngành, học viện và chính phủ16 ở Hoa Kỳ và trên
toàn thế giới. NIST ghi nhận và cảm ơn tất cả những người đã có 17 đóng góp cho Khung sửa đổi này.
Thông tin về quy trình phát triển Khung, bao gồm 18 hội thảo và bản dự thảo, có thể được tìm thấy
trên trang web Khung An ninh Mạng của NIST.
19 Bài học kinh nghiệm về việc sử dụng Khung này luôn có thể được chia sẻ với NIST thông qua
20 cyberframework@nist.gov.
Tôi
21 Mục lục
22 Tóm tắt điều hành.................................................................. ................................................................. ...................1
23 Giới thiệu ................................................. ................................................................. ......................2
24 Khán giả ................................................. ................................................................. ............3
25 Cấu trúc tài liệu................................................................................. ................................................................. ........4
26 Tìm hiểu về lõi khung................................................................. ...................................4
27 Chức năng, danh mục và tiểu mục................................................................. ............5
28 Ví dụ triển khai và tài liệu tham khảo.................................................. .......7
29 Sử dụng khung................................................................................. ................................................................. .........số 8
30 Tạo và sử dụng Cấu hình khung để hiểu, đánh giá, ưu tiên và

31 Giao tiếp................................................................. ................................................................. ...............................số 8
32 Đánh giá và ưu tiên các kết quả an ninh mạng với Khung này...........12
33 Sử dụng các bậc khung để mô tả kết quả quản lý rủi ro an ninh mạng ...13
34 Cải thiện giao tiếp với các bên liên quan bên trong và bên ngoài bằng cách sử dụng Khung
35 ...................................... ................................................................. ...................................14
36 Quản lý rủi ro an ninh mạng trong chuỗi cung ứng bằng khuôn khổ ......................16
37 Tích hợp quản lý rủi ro an ninh mạng với các lĩnh vực quản lý rủi ro khác 38 Sử dụng
khung .................................... ................................................................. ............18
39 Tích hợp Khung An ninh mạng với Khung Bảo mật ......................19
40 Tích hợp Khung An ninh mạng với Quản lý Rủi ro Doanh nghiệp....20
41 Bước tiếp theo................................................ ................................................................. ............21
42 Phụ lục A. Mẫu hồ sơ và kế hoạch hành động................................................. ............23
43 A.1. Mẫu hồ sơ tổ chức danh nghĩa.................................................................. ............23
44 A.2. Mẫu kế hoạch hành động danh nghĩa.................................................. ...................................24
45 Phụ lục B. Mô tả bậc khung................................................................. ......................26
46 Phụ lục C. Khung lõi .................................................... .................................................29
47 Danh sách các bảng
48 Bảng 1. Mẫu hồ sơ tổ chức danh nghĩa.................................................. .................................23

49 Bảng 2. Mẫu kế hoạch hành động khái niệm.................................................. .................................................25
50 Bảng 3. Các bậc khung .................................................... ................................................................. ............26
51 Bảng 4. Chức năng cốt lõi của CSF 2.0, Tên danh mục và mã định danh....................................... ..29
52 Bảng 5. CHÍNH PHỦ (GV): Thiết lập và giám sát rủi ro an ninh mạng của tổ chức 53 chiến lược, kỳ vọng
và chính sách quản lý.......................... .................................................30
54 Bảng 6. NHẬN DẠNG (ID): Giúp xác định rủi ro an ninh mạng hiện tại đối với tổ chức.......33
55 Bảng 7. BẢO VỆ (PR): Sử dụng các biện pháp bảo vệ để ngăn ngừa hoặc giảm thiểu rủi ro an ninh mạng ......................36
56 Bảng 8. DETECT (DE): Tìm và phân tích các cuộc tấn công và xâm phạm an ninh mạng có thể xảy ra....40
57 Bảng 9. PHẢN HỒI (RS): Thực hiện hành động liên quan đến sự cố an ninh mạng được phát hiện....................41
ii
58 Bảng 10. PHỤC HỒI (RC): Khôi phục tài sản và hoạt động bị ảnh hưởng bởi sự cố an ninh mạng
59 ...................... ................................................................. .................................43
60 Danh sách các hình
61 Hình 1. Cốt lõi của Khung An ninh mạng .................................................... ...................................5

62 Hình 2. Chức năng
khung ................................................................. ................................................................. .........
63 Hình 3. Hồ sơ khung an ninh mạng .................................................... .................................9 64
Hình 4. Các bước để tạo và sử dụng Hồ sơ Khung An ninh mạng ....................10 65 Hình 5. Các tầng khung an ninh
mạng................................................................................. ...................................13 66
Hình 6. Sử dụng Khung An ninh mạng để cải thiện khả năng giao tiếp.................................15 67 Hình 7. Tích hợp an
ninh mạng và quyền riêng tư rủi ro................................................................................. ......................19 68 Hìn
iii
69 Tóm tắt điều hành
70 Rủi ro an ninh mạng là loại rủi ro cơ bản mà tất cả các tổ chức phải quản lý. Những tác động tiềm ẩn
đối với các tổ chức từ rủi ro an ninh mạng bao gồm chi phí cao hơn, doanh thu thấp hơn, thiệt hại
về danh tiếng và sự suy giảm khả năng đổi mới. Rủi ro an ninh mạng cũng đe dọa quyền riêng tư và khả
năng tiếp cận các dịch vụ thiết yếu của 73 cá nhân và có thể dẫn đến hậu quả sinh tử.
74 Khung an ninh mạng NIST (Framework hoặc CSF) 2.0 cung cấp hướng dẫn để giảm 75 rủi ro an ninh mạng bằng
cách giúp các tổ chức hiểu, đánh giá, ưu tiên và truyền đạt 76 về những rủi ro đó cũng như các hành động sẽ
giảm thiểu chúng.
77 Những hành động đó nhằm giải quyết các kết quả về an ninh mạng được mô tả trong Lõi CSF.
78 Nhiều đối tượng có thể hiểu được những kết quả cấp cao này, bao gồm các giám đốc điều hành, 79 quan
chức chính phủ và những người khác có thể không phải là chuyên gia an ninh mạng. Các kết quả mang tính trung
lập về ngành và công nghệ, vì vậy chúng mang lại cho các tổ chức sự linh hoạt cần thiết để giải quyết
những cân nhắc về rủi ro, công nghệ và sứ mệnh riêng của họ. Những kết quả này có thể được sử dụng để tập trung
và thực hiện các quyết định chiến lược nhằm cải thiện tình trạng (hoặc trạng thái) an ninh mạng đồng thời xem
xét các ưu tiên của tổ chức và các nguồn lực sẵn có.
84 Cốt lõi CSF cũng bao gồm các ví dụ về cách đạt được từng kết quả cùng với 85 tài liệu tham khảo
hướng dẫn bổ sung. Những điều này cùng nhau giúp tổ chức giải quyết các ưu tiên về an ninh mạng của mình. CSF
cũng mô tả các khái niệm về Hồ sơ và Cấp độ, là những công cụ giúp 87 tổ chức áp dụng CSF vào thực tiễn
và đặt ra các ưu tiên cho nơi họ cần hoặc mong muốn trong việc giảm thiểu rủi ro an ninh mạng.
89 CSF là nguồn lực nền tảng được áp dụng một cách tự nguyện và thông qua các chính sách và nhiệm vụ
của chính phủ. Bản chất lâu dài và linh hoạt của nó vượt qua các lĩnh vực, công nghệ và 91 biên giới quốc
gia. Các bản cập nhật trong CSF 2.0 giải quyết những thay đổi về công nghệ và rủi ro an ninh mạng.
92 CSF nên được sử dụng kết hợp với các nguồn lực khác (ví dụ: khuôn khổ, tiêu chuẩn, hướng dẫn và
thông lệ hàng đầu) để quản lý rủi ro an ninh mạng tốt hơn và cung cấp thông tin quản lý tổng thể về an
ninh mạng và các rủi ro khác ở cấp doanh nghiệp. Hướng dẫn bổ sung cho Khung này sẽ được phát triển và có
sẵn trên trang web Khung An ninh mạng của NIST.
1
96 Giới thiệu
97 Khung an ninh mạng NIST (Khung hoặc CSF) mô tả an ninh mạng thiết yếu
98 kết quả có thể giúp tổ chức giảm thiểu rủi ro an ninh mạng. Khung 99 tự nguyện không phải là cách tiếp cận
chung cho tất cả mọi người để quản lý rủi ro an ninh mạng. Các tổ chức sẽ tiếp tục có 100 rủi ro riêng — bao gồm
các mối đe dọa, lỗ hổng bảo mật và mức độ chấp nhận rủi ro khác nhau, cũng như 101 mục tiêu và yêu cầu nhiệm vụ
riêng giữa các lĩnh vực. Do đó, việc triển khai Khuôn khổ và các phương pháp tiếp cận quản lý rủi ro của các tổ chức
sẽ khác nhau.
103 Bộ sưu tập các kết quả an ninh mạng này tạo ra một hệ thống phân loại và cấu trúc có thể được sử dụng để
104 hiểu, đánh giá, ưu tiên và truyền đạt về các rủi ro an ninh mạng.
105 • Hiểu và đánh giá:
106 o Mô tả tình hình an ninh mạng hiện tại hoặc mục tiêu của tổ chức trong và giữa các tổ chức,
107 lĩnh vực hoặc đơn vị kinh doanh.
108 o Xác định nơi tổ chức có thể có lỗ hổng an ninh mạng, bao gồm cả với
109 tôn trọng các mối đe dọa hoặc công nghệ hiện có hoặc đang nổi lên và đánh giá tiến trình giải
110 quyết những khoảng trống đó.
111 o Điều chỉnh các phương pháp tiếp cận chính sách, kinh doanh và công nghệ để quản lý rủi ro an ninh
112 mạng trên toàn bộ tổ chức hoặc trong một lĩnh vực tập trung hơn, chẳng hạn như một bộ
113 phận của tổ chức, một công nghệ cụ thể hoặc nhà cung cấp công nghệ.
114 • Ưu tiên:
115 o Ưu tiên các cơ hội cải thiện quản lý rủi ro an ninh mạng.
116 o Xác định, tổ chức và ưu tiên các hành động nhằm giảm thiểu rủi ro an ninh mạng phù hợp với sứ
117 mệnh của tổ chức, các yêu cầu pháp lý và quy định cũng như kỳ vọng về quản lý và
118 quản lý rủi ro.
119 o Thông báo các quyết định về nhu cầu và năng lực của lực lượng lao động liên quan đến an ninh mạng.
120 • Giao tiếp:
121 o Cung cấp một ngôn ngữ chung để giao tiếp với các bên trong và ngoài
122 về rủi ro, khả năng, nhu cầu và kỳ vọng về an ninh mạng.
123 o Bổ sung quy trình quản lý rủi ro của tổ chức bằng cách trình bày một cách ngắn gọn để các giám
124 đốc điều hành và những người khác chắt lọc các khái niệm cơ bản về rủi ro an ninh mạng để họ
125 thể hiện mức độ rủi ro cao cần được quản lý và cách tổ chức của họ sử dụng các tiêu chuẩn,
126 hướng dẫn và thực tiễn về an ninh mạng.
127 Khung này có thể được sử dụng bởi các tổ chức có chương trình an ninh mạng ở 128 giai đoạn trưởng thành
khác nhau. Một tổ chức có chương trình an ninh mạng hiện có có thể tận dụng
129 Khuôn khổ để xác định các cơ hội nhằm tăng cường và truyền đạt việc quản lý các
130 rủi ro an ninh mạng trong khi xem xét các thực tiễn hiện có và những thay đổi cần thiết. Một tổ chức
131 nếu không có chương trình an ninh mạng hiện có có thể sử dụng Khung này làm điểm khởi đầu và tham
chiếu 132 để thiết lập một chương trình.
2
Trong khi nhiều hoạt động quản lý rủi ro an ninh mạng tập trung vào các điều kiện có thể ngăn chặn
để đạt được các mục tiêu của sứ mệnh, điều quan trọng là cũng phải lưu ý đến các điều kiện có thể
cho phép hoặc làm nổi bật việc đạt được sứ mệnh. Các hành động nhằm giảm rủi ro an ninh mạng có thể mang
lại lợi ích cho tổ chức theo những cách khác, như tăng doanh thu (ví dụ: cung cấp không gian cơ sở dư thừa
cho nhà cung cấp dịch vụ lưu trữ thương mại để lưu trữ trung tâm dữ liệu của chính họ và của các tổ
chức khác, sau đó chuyển một hệ thống tài chính lớn từ cơ sở của tổ chức sang trung tâm dữ liệu nội
bộ cho nhà cung cấp dịch vụ lưu trữ để giảm rủi ro an ninh mạng).
133
134 Khung này nên được sử dụng kết hợp với các nguồn lực khác để quản lý tốt hơn 135 rủi ro an ninh mạng.
Các kết quả được dựa trên và được ánh xạ tới các tiêu chuẩn toàn cầu hiện có, 136 hướng dẫn và thực tiễn. Các tổ
chức có thể sử dụng Khung này để mở rộng quy mô một cách hiệu quả các chương trình an ninh mạng của mình,
giải quyết tính chất năng động và toàn cầu của các rủi ro an ninh mạng, đồng thời thích ứng với các tiến bộ công nghệ
cũng như các yêu cầu kinh doanh và pháp lý. Khung này áp dụng cho tất cả 139 công nghệ thông tin và truyền thông
(ICT), bao gồm công nghệ thông tin (IT), 140 Internet of Things (IoT) và công nghệ vận hành (OT) được một tổ chức sử
dụng. Nó cũng áp dụng cho tất cả các loại môi trường công nghệ, bao gồm hệ thống đám mây, di động và trí tuệ
nhân tạo. Khung này mang tính hướng tới tương lai và dự định áp dụng cho những thay đổi trong tương lai về
công nghệ và môi trường.
144 Khán giả
145 Khung này được thiết kế để các tổ chức thuộc mọi quy mô và lĩnh vực sử dụng, bao gồm 146 tổ chức công
nghiệp, chính phủ, học viện và tổ chức phi lợi nhuận. Phân loại của Khung và các tiêu chuẩn, hướng dẫn và thực hành
được tham chiếu không dành riêng cho từng quốc gia và các phiên bản trước của Khung đã được nhiều chính phủ và tổ chức
khác tận dụng thành công bên ngoài Hoa Kỳ.
150 Đối tượng chính của Khung này bao gồm những người chịu trách nhiệm phát triển và lãnh đạo chương trình an
ninh mạng. Khung này cũng có thể được sử dụng bởi những người khác có liên quan đến quản lý rủi ro - bao gồm
các giám đốc điều hành, ban giám đốc, chuyên gia mua lại, chuyên gia công nghệ, nhà quản lý rủi ro, luật sư, chuyên gia
nhân sự và kiểm toán viên quản lý rủi ro và an ninh mạng - để hướng dẫn an ninh mạng của họ- các quyết định liên quan.
155 Ngoài ra, Khung này có thể hữu ích cho các nhà hoạch định chính sách (chẳng hạn như các hiệp hội, tổ chức chuyên
nghiệp và cơ quan quản lý) trong việc thiết lập và truyền đạt các ưu tiên cho việc quản lý rủi ro an ninh
mạng.
3
Sắc lệnh 13636, Cải thiện an ninh mạng cơ sở hạ tầng quan trọng, được ban hành vào tháng 2 năm
2013, đã chỉ đạo NIST “dẫn đầu việc phát triển một khuôn khổ nhằm giảm thiểu rủi ro mạng đối với
cơ sở hạ tầng quan trọng”. Đạo luật tăng cường an ninh mạng năm 2014 đã chỉ đạo NIST “liên
tục tạo điều kiện và hỗ trợ phát triển một bộ tiêu chuẩn, hướng dẫn, phương pháp, phương
pháp, thủ tục và quy trình tự nguyện, dựa trên sự đồng thuận, do ngành dẫn đầu để giảm thiểu
rủi ro mạng đối với cơ sở hạ tầng quan trọng một cách hiệu quả về mặt chi phí”. .” NIST đã
xuất bản Framework Phiên bản 1.0 vào năm 2014 và cập nhật Framework lên 1.1 vào năm 2018.
Kể từ đó, Quốc hội đã chỉ đạo rõ ràng cho NIST xem xét các mối quan ngại của doanh nghiệp nhỏ
(trong Đạo luật an ninh mạng dành cho doanh nghiệp nhỏ của NIST) và nhu cầu của các tổ chức giáo
dục đại học (trong Đạo luật CHIPS và Khoa học) trong Khuôn khổ. Mặc dù bất kỳ tổ chức nào
cũng có thể sử dụng Phiên bản 2.0 nhưng NIST sẽ tiếp tục xây dựng các tài nguyên bổ sung
để giúp triển khai Khung, bao gồm Ấn bản Đặc biệt (SP) 1271 được cập nhật của NIST, Bắt đầu với
Khung An ninh mạng của NIST: Hướng dẫn Bắt đầu Nhanh. Tất cả các tài nguyên sẽ được cung cấp
công khai trên trang web Khung An ninh mạng của NIST.
158
159 Cấu trúc tài liệu
160 Tài liệu này bao gồm các phần và phụ lục sau:
161 • Phần 2 giải thích những điều cơ bản về Khung cốt lõi: Chức năng, Danh mục, Danh
162 mục con, Ví dụ triển khai và Tài liệu tham khảo thông tin.
163 • Phần 3 cung cấp thông tin tổng quan về các cách sử dụng phổ biến của Khung này, bao gồm cả Hồ
164 sơ hiện tại và Mục tiêu, cũng như hướng dẫn về cách sử dụng Khung này để hiểu, đánh giá, ưu
165 tiên và truyền đạt các nỗ lực an ninh mạng cũng như các nỗ lực quản lý rủi ro chuỗi cung ứng
166 an ninh mạng.
167 • Phần 4 thảo luận về việc sử dụng Khung này để giúp tích hợp quản lý rủi ro an ninh mạng với các
168 hình thức quản lý rủi ro khác.
169 • Phần 5 trình bày ngắn gọn các bước tiếp theo dành cho độc giả muốn sử dụng Khung này.
170 • Phụ lục A cung cấp các mẫu khái niệm cho Hồ sơ khung và kế hoạch hành động.
171 • Phụ lục B mô tả các Bậc Khung.
172 • Phụ lục C cung cấp Framework Core.
173 Hiểu cốt lõi của khung
174 Framework Core cung cấp một tập hợp các kết quả an ninh mạng (được sắp xếp theo Chức năng, Danh mục, 175
và Danh mục con), ví dụ về cách đạt được những kết quả đó (Ví dụ thực hiện 176) và tài liệu tham
khảo hướng dẫn bổ sung về cách đạt được những kết quả đó 177 (Tham khảo thông tin Tài liệu tham
khảo), như được mô tả trong Hình 1. Các báo cáo về kết quả an ninh mạng trong
178 Cốt lõi phản ánh các hoạt động xuyên suốt các lĩnh vực và trung lập về công nghệ. Chúng không phải là một danh
sách kiểm tra gồm 179 hành động cần thực hiện; các hành động cụ thể được thực hiện để đạt được kết quả an ninh mạng
sẽ khác nhau tùy theo tổ chức và trường hợp sử dụng, cũng như cá nhân chịu trách nhiệm về những hành động đó. Ngoài ra,
4
Thứ tự của Chức năng, Danh mục và Danh mục con trong Phần Cốt lõi không nhằm mục đích ám chỉ trình tự mà
chúng sẽ được triển khai hoặc tầm quan trọng tương đối của chúng. Việc sắp xếp Cốt lõi nhằm mục đích gây được
tiếng vang lớn nhất với những người chịu trách nhiệm vận hành quản lý rủi ro trong một tổ chức.
185 Phần này giải thích những điều cơ bản về Framework Core. Xem Phụ lục C để biết mô tả về Chức năng, Danh
mục và Danh mục con của Khung 186 Core.
187
188 Hình 1. Lõi khung an ninh mạng
189 Chức năng, danh mục và danh mục con
190 Các Chức năng cốt lõi của Khung — QUẢN TRỊ, XÁC ĐỊNH, BẢO VỆ, PHÁT HIỆN, PHẢN HỒI và 191 PHỤC HỒI
— tổ chức các kết quả an ninh mạng ở mức cao nhất.
192 • CHÍNH PHỦ (GV) – Thiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh
193 mạng của tổ chức. Chức năng QUẢN TRỊ có tính xuyên suốt và cung cấp các kết quả để thông báo
194 cách tổ chức sẽ đạt được và ưu tiên các kết quả của năm Chức năng còn lại trong bối cảnh sứ
195 mệnh của tổ chức và kỳ vọng của các bên liên quan.
196 Các hoạt động quản trị rất quan trọng để kết hợp an ninh mạng vào chiến lược quản lý rủi ro
197 doanh nghiệp rộng hơn của tổ chức. CHÍNH PHỦ chỉ đạo sự hiểu biết về bối cảnh tổ chức;
198 thiết lập chiến lược an ninh mạng và quản lý rủi ro chuỗi cung ứng an ninh mạng; vai trò,
199 trách nhiệm và quyền hạn; chính sách, quy trình và thủ tục; và giám sát chiến lược an ninh mạng.
200
201 • XÁC ĐỊNH (ID) – Giúp xác định rủi ro an ninh mạng hiện tại đối với tổ chức.
202 Hiểu được tài sản của mình (ví dụ: dữ liệu, phần cứng, phần mềm, hệ thống, cơ sở vật chất,
203 dịch vụ, con người) và các rủi ro an ninh mạng liên quan cho phép tổ chức tập trung và ưu tiên
204 các nỗ lực của mình theo cách phù hợp với chiến lược quản lý rủi ro và nhu cầu sứ mệnh của mình
205 được xác định theo GOVERN. Chức năng này cũng bao gồm việc xác định các cải tiến cần thiết đối
206 với chính sách, quy trình, thủ tục và thực tiễn của tổ chức hỗ trợ quản lý rủi ro an ninh
207 mạng nhằm cung cấp thông tin cho các nỗ lực trong cả sáu Chức năng.
5
208 • BẢO VỆ (PR) – Sử dụng các biện pháp bảo vệ để ngăn chặn hoặc giảm thiểu rủi ro an ninh mạng. Khi
209 tài sản và rủi ro được xác định và ưu tiên, PROTECT hỗ trợ khả năng bảo mật những tài sản đó để
210 ngăn chặn hoặc giảm thiểu khả năng và tác động của các sự kiện an ninh mạng bất lợi. Các kết
211 quả mà Chức năng này đề cập đến bao gồm nhận thức và đào tạo; bảo mật dữ liệu; quản lý
212 danh tính, xác thực và kiểm soát truy cập; bảo mật nền tảng (tức là bảo mật phần cứng, phần
213 mềm và dịch vụ của nền tảng vật lý và ảo); và khả năng phục hồi của cơ sở hạ tầng công nghệ.
214
215 • DETECT (DE) – Tìm và phân tích các cuộc tấn công và xâm phạm an ninh mạng có thể xảy ra.
216 DETECT cho phép phát hiện và phân tích kịp thời các điểm bất thường, các dấu hiệu xâm phạm và
217 các sự kiện an ninh mạng bất lợi tiềm ẩn khác có thể chỉ ra rằng an ninh mạng
218 các cuộc tấn công và sự cố đang xảy ra.
219 • PHẢN HỒI (RS) – Thực hiện hành động liên quan đến sự cố an ninh mạng được phát hiện. TRẢ LỜI
220 hỗ trợ khả năng ngăn chặn tác động của các sự cố an ninh mạng. Kết quả trong Chức năng này bao gồm
221 quản lý sự cố, phân tích, giảm thiểu, báo cáo và liên lạc.
222
223 • PHỤC HỒI (RC) – Khôi phục tài sản và hoạt động bị ảnh hưởng bởi an ninh mạng
224 sự cố. RECOVER hỗ trợ khôi phục kịp thời các hoạt động bình thường để giảm tác động của các sự
225 cố an ninh mạng và cho phép liên lạc phù hợp trong các nỗ lực khôi phục.
226 Hình 2 hiển thị các Hàm CSF dưới dạng một bánh xe vì tất cả các Hàm khung đều liên quan đến một
227 cái khác. Ví dụ, một tổ chức sẽ phân loại các tài sản ở mục XÁC ĐỊNH và thực hiện các bước để bảo vệ những
tài sản đó ở mục BẢO VỆ. Các khoản đầu tư vào việc lập kế hoạch và thử nghiệm trong các Chức năng CHÍNH PHỦ
và 229 XÁC ĐỊNH sẽ hỗ trợ các hành động ứng phó và phục hồi sự cố kịp thời đối với các sự cố an ninh mạng trong
các Chức năng PHẢN HỒI và PHỤC HỒI . CHÍNH PHỦ nằm ở trung tâm của bánh xe vì nó cho biết tổ chức sẽ triển khai
năm Chức năng còn lại như thế nào.
232
Hình 2. Hàm khung
233
234 Để hình thành và duy trì văn hóa giải quyết rủi ro an ninh mạng năng động, các Chức năng cần
được giải quyết đồng thời. Các hành động hỗ trợ QUẢN TRỊ, XÁC ĐỊNH, BẢO VỆ và PHÁT HIỆN nên
6
236 đều diễn ra liên tục và các hành động hỗ trợ PHẢN HỒI và PHỤC HỒI phải sẵn sàng 237 lần và thực hiện
khi xảy ra sự cố an ninh mạng. Tất cả các Chức năng đều có vai trò quan trọng liên quan đến 238 sự cố; Các
kết quả QUẢN TRỊ, XÁC ĐỊNH và BẢO VỆ giúp ngăn ngừa và chuẩn bị cho 239 sự cố an ninh mạng, trong khi các kết
quả CHÍNH PHỦ, PHÁT HIỆN, PHẢN HỒI và PHỤC HỒI giúp phát hiện và quản lý 240 sự cố an ninh mạng.
241 Danh mục là các phân khu của Chức năng thành các nhóm kết quả an ninh mạng có liên quan.
242 Các hạng mục con còn chia một Hạng mục thành các kết quả cụ thể của các hoạt động kỹ thuật và quản lý243.
Chúng không đầy đủ nhưng chúng giúp đạt được kết quả trong từng Hạng mục.
244 Ví dụ triển khai và tài liệu tham khảo thông tin
245 Khung cốt lõi cũng cung cấp hai loại tài nguyên bổ sung với thông tin để giúp 246 đạt được kết quả được mô tả
trong Chức năng, Danh mục và Danh mục con của Cốt lõi.
247 • Tài liệu tham khảo thông tin là các tiêu chuẩn, hướng dẫn, quy định và các nguồn tài liệu khác để
248 giúp thông báo cách tổ chức đạt được các Chức năng, Danh mục và Danh mục con.
249 Trong một số trường hợp, Tham chiếu Thông tin cụ thể hơn Danh mục con, chẳng hạn như điều khiển từ
250 SP 800-53, Kiểm soát bảo mật và quyền riêng tư cho các tổ chức và hệ thống thông tin. Trong
251 trường hợp đó, nhiều biện pháp kiểm soát sẽ được sử dụng để đạt được kết quả được mô tả trong một
252 Danh mục con. Trong các trường hợp khác, tổ chức có thể tận dụng các chính sách hoặc yêu cầu cấp
253 cao hơn để giải quyết một hoặc nhiều Danh mục con. Tài liệu tham khảo thông tin cũng có thể theo
254 ngành hoặc công nghệ cụ thể. Khi sử dụng Khung này, mỗi tổ chức sẽ xác định Tài liệu tham khảo
255 thông tin có thể áp dụng.
256 • Các ví dụ triển khai cung cấp các ví dụ mang tính khái niệm về các bước ngắn gọn, định hướng hành động
257 để giúp đạt được kết quả của các Hạng mục con bên cạnh hướng dẫn được cung cấp bởi Tài liệu tham khảo
258 thông tin. Các ví dụ này không phải là danh sách đầy đủ tất cả các hành động mà một tổ chức có
259 thể thực hiện để đạt được kết quả, cũng như không thể hiện cơ sở về các hành động cần thiết để giải
260 quyết rủi ro an ninh mạng.
261 Mặc dù Tài liệu tham khảo thông tin và Ví dụ triển khai được coi là một phần của Cốt lõi, nhưng chúng sẽ được
duy trì riêng biệt ở định dạng trực tuyến trên trang web NIST Cybersecurity Framework 263 (tận dụng Công cụ tham
khảo về quyền riêng tư và an ninh mạng của NIST [CPRT]) để cho phép cập nhật thường xuyên hơn 264. Tài liệu tham
khảo thông tin có thể được gửi bất cứ lúc nào thông qua NIST
265 Tài liệu tham khảo thông tin trực tuyến quốc gia (OLIR) chương trình.
266 Khung cốt lõi có thể được sử dụng để xác định các cơ hội cho các tiêu chuẩn mới hoặc sửa đổi, các hướng
dẫn hoặc thực tiễn trong đó các Tài liệu tham khảo thông tin bổ sung sẽ giúp các tổ chức giải quyết các nhu
cầu mới nổi. Một tổ chức triển khai một Danh mục con nhất định có thể phát hiện ra rằng có rất ít Tài liệu tham khảo
mang tính thông tin, nếu có, cho một hoạt động cụ thể. Trong trường hợp đó, tổ chức 270 có thể cộng tác với các nhà
lãnh đạo công nghệ và cơ quan tiêu chuẩn để soạn thảo, phát triển và điều phối các tiêu chuẩn, hướng dẫn hoặc thực
hành. Tương tự, một tổ chức có thể xác định rằng 272 ví dụ triển khai bổ sung sẽ giúp những người khác hiểu rõ
hơn về nhu cầu mới nổi. NIST 273 khuyến khích gửi các Ví dụ mới để xem xét bất kỳ lúc nào. Đề xuất có thể
được gửi 274 tới cyberframework@nist.gov.
7
275 Sử dụng khung
276 Khung này có thể được sử dụng theo nhiều cách. Việc sử dụng nó sẽ khác nhau tùy theo sứ mệnh và
rủi ro riêng của tổ chức. Với sự hiểu biết về kỳ vọng của các bên liên quan, khẩu vị rủi ro và mức độ
chấp nhận rủi ro (như được nêu trong GOVERN), các tổ chức có thể ưu tiên các hoạt động an ninh mạng,
279 cho phép họ đưa ra quyết định sáng suốt về chi tiêu và hành động an ninh mạng.
280 Các tổ chức có thể chọn xử lý rủi ro theo nhiều cách khác nhau - bao gồm giảm thiểu, chuyển giao,
281 tránh hoặc chấp nhận rủi ro - tùy thuộc vào tác động tiềm ẩn. Điều quan trọng là 282 tổ
chức có thể sử dụng Khung này cả trong nội bộ và để giám sát các bên thứ ba.
Khung An ninh mạng cung cấp cách triển khai linh hoạt và dựa trên rủi ro có thể được sử dụng
với nhiều quy trình quản lý rủi ro an ninh mạng, chẳng hạn như Tổ chức Tiêu chuẩn hóa Quốc
tế (ISO) 31000:2018; ISO/ Ủy ban kỹ thuật điện quốc tế (IEC) 27005:2022; SP 800-37, Khung
quản lý rủi ro cho các tổ chức và hệ thống thông tin: Phương pháp tiếp cận vòng đời hệ thống
về bảo mật và quyền riêng tư; và hướng dẫn Quy trình quản lý rủi ro an ninh mạng (RMP) của ngành
điện.
283
284 Phần này giải thích một số cách mà các tổ chức có thể sử dụng Khung này:
285 • Tạo và sử dụng Cấu hình khung để hiểu, đánh giá và truyền đạt các
286 tình hình an ninh mạng mục tiêu hoặc hiện tại của tổ chức xét về kết quả an ninh mạng của
287 Framework Core và ưu tiên các kết quả để đạt được tình trạng an ninh mạng mục tiêu. (Mục
288 3.1)
289 • Đánh giá thành tích của tổ chức về kết quả an ninh mạng. (Phần 3.2)
290 • Mô tả kết quả quản lý rủi ro an ninh mạng với các Cấp khung. (Phần
291 3.3)
292 • Cải thiện liên lạc về an ninh mạng với các bên liên quan trong và ngoài. (Phần
293 3.4)
294 • Quản lý rủi ro an ninh mạng trong toàn bộ chuỗi cung ứng. (Mục 3.5)
295 Bất kể việc áp dụng Khuôn khổ là gì, các tổ chức có thể sẽ thấy hữu ích khi coi 296 của Khuôn khổ là
hướng dẫn giúp họ hiểu, đánh giá, ưu tiên và truyền đạt 297 về những rủi ro an ninh mạng đó và các hành
động sẽ giảm thiểu những rủi ro đó. Các kết quả được chọn có thể được sử dụng để tập trung và thực hiện
các quyết định chiến lược nhằm cải thiện trạng thái (hoặc trạng thái) an ninh mạng của tổ chức,
có tính đến các ưu tiên của tổ chức đó và 300 nguồn lực sẵn có.
301 Tạo và sử dụng Cấu hình khung để hiểu, đánh giá, ưu tiên và giao tiếp
302
303 Cơ chế của Khung để mô tả an ninh mạng hiện tại hoặc mục tiêu của tổ chức
Tư thế 304 xét về kết quả của Cốt lõi được gọi là Hồ sơ Khung (Hồ sơ).
305 Hồ sơ được sử dụng để hiểu, đánh giá, ưu tiên và điều chỉnh các kết quả cốt lõi trung lập với ngành
và công nghệ (tức là Chức năng, Danh mục và Danh mục con) dựa trên mục tiêu sứ mệnh của tổ chức, kỳ
vọng của các bên liên quan, môi trường đe dọa, và các yêu cầu và dẫn đầu
số 8
308, bao gồm cả những thực tiễn dành cho các lĩnh vực hoặc công nghệ cụ thể, như minh họa trong Hình 3. Khi đó,
tổ chức 309 có thể ưu tiên các hành động của mình để đạt được kết quả cụ thể và truyền đạt thông tin đó đến
các bên liên quan bên trong và bên ngoài. Phụ lục A cung cấp mẫu Hồ sơ khái niệm.
311
312 Hình 3. Hồ sơ khung an ninh mạng
313 Có hai loại Hồ sơ:
314 • Hồ sơ hiện tại bao gồm các kết quả cốt lõi mà một tổ chức hiện đang đạt được (hoặc đang cố gắng
315 đạt được) và mô tả cách thức hoặc mức độ đạt được mỗi kết quả.
316
317 • Hồ sơ mục tiêu bao gồm các kết quả mong muốn mà tổ chức đã lựa chọn và
318 được ưu tiên từ Core để đạt được các mục tiêu quản lý rủi ro an ninh mạng. Hồ sơ mục tiêu tính
319 đến những thay đổi được dự đoán trước đối với tình hình an ninh mạng của tổ chức, chẳng hạn
320 như các yêu cầu mới, áp dụng công nghệ mới và xu hướng thông tin về mối đe dọa an ninh mạng.
321
322 Một số tổ chức thích tạo Hồ sơ hiện tại trước tiên — ví dụ: một tổ chức 323 muốn xem xét những nỗ lực
hiện tại của mình trước và sau đó nghĩ về các lĩnh vực cần cải thiện. Những người khác thích 324 bắt đầu với Hồ
sơ mục tiêu để hướng tới. Ví dụ: một tổ chức cần đáp ứng một bộ yêu cầu mới có thể tập trung vào việc phát
triển Hồ sơ mục tiêu trước tiên và trong quá trình làm như vậy, tổ chức cũng xác định tình trạng an ninh
mạng hiện tại cho Hồ sơ hiện tại của mình.
Hồ sơ cộng đồng là Hồ sơ mục tiêu được tạo để giải quyết các mối quan tâm và mục tiêu chung giữa một
nhóm tổ chức. Các tổ chức có thể xem xét sử dụng nó làm cơ sở cho Hồ sơ mục tiêu của riêng mình.
Một ví dụ về Hồ sơ Cộng đồng là một ví dụ được phát triển cho một ngành hoặc tiểu ngành hoặc cho một
trường hợp sử dụng hoặc công nghệ cụ thể. Hồ sơ cộng đồng có thể được các tổ chức hợp tác phát triển
hoặc có thể được một tổ chức phát triển để những tổ chức khác sử dụng. Bạn có thể tìm thấy ví dụ
về Hồ sơ cộng đồng CSF 1.1 trên trang web Khung an ninh mạng của NIST. NIST sẽ cập nhật trang này
khi Hồ sơ cộng đồng mới được phát triển cho CSF 2.0.
327
9
328 3.1.1. Cách sử dụng hồ sơ
329 Các tổ chức có thể tạo và sử dụng Hồ sơ để tận dụng toàn bộ khả năng của Khung (như đã thảo luận trong
Phần 1). Mặc dù các tổ chức có thể sử dụng Khung mà không cần Hồ sơ, nhưng chúng mang lại cơ hội phát triển
lộ trình ưu tiên để đạt được các kết quả an ninh mạng của Khung. Có nhiều cách để sử dụng Hồ sơ, bao gồm:
333 • So sánh các biện pháp thực hành an ninh mạng hiện tại với các tiêu chuẩn và quy định cụ thể của ngành
334 yêu cầu
335 • Ghi lại các Tài liệu tham khảo mang tính thông tin (ví dụ: tiêu chuẩn, hướng dẫn và chính sách) và
336 các thông lệ (ví dụ: thủ tục và biện pháp bảo vệ) hiện tại và được lên kế hoạch trong tương lai
337 • Đặt mục tiêu an ninh mạng cho tổ chức, xác định khoảng cách giữa các thực tiễn hiện tại và
338 các mục tiêu và lập kế hoạch làm thế nào để giải quyết các khoảng trống một cách hiệu quả về mặt chi phí
339 • Ưu tiên kết quả an ninh mạng
340 • Đánh giá tiến độ đạt được các mục tiêu an ninh mạng của tổ chức
341 • Xác định nơi tổ chức có thể có lỗ hổng an ninh mạng đối với mối đe dọa mới nổi hoặc công
342 nghệ mới
343 • Truyền đạt về khả năng an ninh mạng mà tổ chức cung cấp — ví dụ: cho các đối tác kinh doanh
344 hoặc khách hàng tiềm năng về các sản phẩm và dịch vụ công nghệ của tổ chức
345
346 • Thể hiện các yêu cầu và kỳ vọng về an ninh mạng của tổ chức với các nhà cung cấp,
347 đối tác và các bên thứ ba khác
348 • Tích hợp các chương trình quản lý rủi ro về quyền riêng tư và an ninh mạng bằng cách phân tích các lỗ hổng
349 giữa Cấu hình khung bảo mật và an ninh mạng của NIST
350 3.1.2. Các bước tạo và sử dụng hồ sơ
351 Các bước được mô tả dưới đây và được tóm tắt trong Hình 4 minh họa một cách mà tổ chức có thể sử dụng
352 Hồ sơ hiện tại và mục tiêu để giúp cung cấp thông tin cải tiến liên tục về an ninh mạng của mình:
353
354 Hình 4. Các bước tạo và sử dụng Hồ sơ khung an ninh mạng
10
355 1. Xác định trường hợp sử dụng cho Hồ sơ. Ca sử dụng xác định các sự kiện cấp cao và
356 các giả định mà Hồ sơ sẽ dựa vào, như một cách để xác định phạm vi Hồ sơ. Điều này có thể bao gồm:
357
358 • Lý do tạo Profile
359 • Các bộ phận, tài sản công nghệ và thông tin, dịch vụ và các tài sản khác của tổ chức
360 các phần tử nằm trong phạm vi của các Cấu hình này
361 • Những người sẽ phát triển, xem xét và vận hành Hồ sơ
362 • Những cá nhân đặt ra kỳ vọng cho các hành động để đạt được an ninh mạng
363 kết quả
364 2. Thu thập thông tin cần thiết để chuẩn bị Hồ sơ. Một tổ chức có thể thu thập các tài nguyên liên quan
365 trước khi chuẩn bị Hồ sơ, chẳng hạn như chính sách tổ chức, các ưu tiên và nguồn lực quản lý rủi
366 ro, các yêu cầu và tiêu chuẩn an ninh mạng tuân theo
367 của tổ chức và vai trò công việc. Hiểu biết về quản trị an ninh mạng - chẳng hạn như xác định sứ mệnh
368 của tổ chức, các bên liên quan cũng như nhu cầu và mong đợi của họ, như được nêu trong Chức năng QUẢN
369 TRỊ - thường là cần thiết để chuẩn bị Hồ sơ mục tiêu.
370 3. Tạo hồ sơ hiện tại và mục tiêu. Xác định loại thông tin hỗ trợ nào (còn được gọi là các phần tử) mà mỗi
371 Hồ sơ nên bao gồm cho từng kết quả Khung đã chọn và điền các phần tử cho từng kết quả đã chọn. Xem xét
372 rủi ro
373 ý nghĩa của tình trạng hiện tại để cung cấp thông tin cho việc lập kế hoạch và ưu tiên của bang mục tiêu.
374 Phụ lục A cung cấp mẫu khái niệm cho Hồ sơ hiện tại và Hồ sơ mục tiêu cũng như các ví dụ về các yếu tố
375 phổ biến mà tổ chức có thể chọn sử dụng. Ví dụ về các thành phần trong Hồ sơ cho từng Danh mục hoặc Danh
376 mục phụ kết quả bao gồm mức độ ưu tiên của kết quả so với các kết quả khác; tình trạng hiện tại trong
377 việc đạt được kết quả; chính sách, quy trình và thủ tục; thực hành, bao gồm các công cụ và
378 trách nhiệm; số liệu và phép đo; tài liệu tham khảo thông tin; và bất kỳ thông tin hỗ trợ nào khác
379 mà tổ chức cho là hữu ích. Các tổ chức ghi lại trách nhiệm có thể sử dụng Khung lực lượng lao
380 động về an ninh mạng (NICE Framework), cung cấp từ vựng chung để mô tả công việc an ninh
381 mạng.
382
383 4. Phân tích Hồ sơ và lập kế hoạch hành động. Xác định và phân tích các
384 sự khác biệt giữa Hồ sơ hiện tại và Hồ sơ mục tiêu cho phép tổ chức xác định
385 những lỗ hổng và phát triển một kế hoạch hành động ưu tiên để giải quyết những lỗ hổng đó
386 nhằm cải thiện an ninh mạng. Kế hoạch này nên xem xét các động lực của sứ mệnh, lợi ích, rủi ro và
387 các nguồn lực cần thiết (ví dụ: nhân sự, kinh phí). Sử dụng Hồ sơ theo cách này giúp tổ chức đưa ra
388 quyết định sáng suốt hơn về cách cải thiện quản lý rủi ro an ninh mạng theo cách hiệu quả về mặt chi
389 phí. Phụ lục A cung cấp mẫu kế hoạch hành động khái niệm.
390 5. Thực hiện kế hoạch hành động và cập nhật Hồ sơ. Tổ chức tuân theo kế hoạch hành động để điều chỉnh
391 các biện pháp thực hành an ninh mạng của mình nhằm giải quyết các lỗ hổng và tiến tới Hồ sơ mục
392 tiêu. Cải thiện chương trình an ninh mạng của tổ chức là một nỗ lực liên tục và việc thực hiện kế hoạch
393 hành động có thể mất nhiều tháng hoặc nhiều năm. Ở tần suất do tổ chức xác định, Hồ sơ hiện tại phải
394 được cập nhật để đánh giá tiến độ và Hồ sơ mục tiêu phải được cập nhật để phản ánh những thay đổi
395 trong tổ chức và rủi ro an ninh mạng của tổ chức.
396 Theo thời gian, những thay đổi trong một hoặc cả hai Hồ sơ sẽ yêu cầu sửa đổi kế hoạch hành động và
11
397 lặp lại các bước này. Do tầm quan trọng của việc cải tiến liên tục, tổ chức có thể lặp
398 lại các bước này thường xuyên nếu cần.
399 Việc phát triển hồ sơ có thể được cải thiện thông qua giao tiếp trong toàn tổ chức, bao gồm 400 nhưng
không giới hạn ở các bên liên quan chính từ lãnh đạo điều hành, quản lý rủi ro, an ninh, pháp lý, 401
nguồn nhân lực, mua lại và vận hành. Ví dụ: người phát triển Hồ sơ có thể liên hệ với 402 lãnh đạo trong
tổ chức để xác nhận nguồn lực nào (ví dụ: cơ sở vật chất, nhân sự, hệ thống) 403 phù hợp nhất để đạt
được mục tiêu (ví dụ: đối với một đơn vị kinh doanh). Sau đó, những người lãnh đạo đó có thể chia sẻ
những kỳ vọng liên quan đến rủi ro của họ đối với các nguồn lực đã chọn với những người thực hiện. Bằng
cách sử dụng Hồ sơ hiện tại và mục tiêu, việc lập kế hoạch và giám sát an ninh mạng gắn chặt
với các mục tiêu của tổ chức và các nhà lập kế hoạch cấp nhiệm vụ có thể hiểu được rủi ro còn lại
của sự không chắc chắn về khả năng và tác động đối với nhiệm vụ.
408 Một tổ chức có thể chọn phát triển nhiều Hồ sơ mà mỗi Hồ sơ giải quyết một trường hợp sử dụng 409 và
phạm vi khác nhau. Điều này có thể cho phép sắp xếp thứ tự ưu tiên tốt hơn cho các hoạt động và kết quả
trong đó có thể có 410 mức độ rủi ro an ninh mạng khác nhau trong khi vẫn cho phép tổ chức sử dụng cấu trúc
Khung 411 tổng thể để đảm bảo tính nhất quán giữa các trường hợp sử dụng. Các ví dụ bao gồm mô
tả tình hình kết quả an ninh mạng 412 cho:
413 • Toàn bộ doanh nghiệp
414 • Mỗi đơn vị kinh doanh chính của tổ chức
415 • Đối tác kinh doanh hoặc nhà cung cấp
416 • Mỗi hệ thống quan trọng nhất của tổ chức
417 • Sản phẩm hoặc dịch vụ có yêu cầu về an ninh mạng
418 Đánh giá và ưu tiên các kết quả an ninh mạng với Khung
419 Bước 3, “Tạo Hồ sơ Hiện tại và Mục tiêu” trong Phần 3.1 đề cập rằng việc tạo Hồ sơ có nghĩa là điền
vào các yếu tố cho mỗi kết quả Cốt lõi đã chọn. Mỗi tổ chức cần xác định 421 giá trị để nhập vào Hồ sơ của
riêng mình. Khung này không quy định các tiêu chuẩn, hướng dẫn hoặc biện pháp thực hành cụ thể để
đáp ứng các kết quả. Đúng hơn, nó mang lại cho các tổ chức sự linh hoạt để đánh giá kết quả an ninh
mạng của chính họ theo nhiều cách khác nhau và không quy định một cách tiếp cận duy nhất.
425 Đối với các tổ chức đã đánh giá các biện pháp quản lý rủi ro an ninh mạng của họ một cách thường
xuyên, kết quả từ các lần tự đánh giá gần đây hoặc đánh giá của bên thứ ba có thể cung cấp phần lớn dữ
liệu cần thiết để tạo Hồ sơ hiện tại, nắm bắt trạng thái như đã triển khai của Kết quả của Khung 428. Các
tổ chức sử dụng Khung này được khuyến khích bắt đầu với khuôn khổ hiện tại của họ.
429 đánh giá rủi ro an ninh mạng và quy trình quản lý rủi ro.
430 Tổ chức có thể chọn tiến hành đánh giá và ghi lại các kết quả bằng cách so sánh Hồ sơ hiện tại và Hồ
sơ mục tiêu. Kết quả đánh giá có thể giúp xác định xem các biện pháp thực hiện có được áp dụng hay không,
đồng thời xác định và ưu tiên các cơ hội cải thiện Hồ sơ.
433 Các tổ chức có thể xác định các số liệu để giúp ưu tiên và chứng minh tiến trình từ Hồ sơ hiện tại
đến Hồ sơ mục tiêu 434. Các tổ chức được khuyến khích đổi mới và tùy chỉnh cách họ kết hợp
435 vào việc áp dụng Khung này. Xem Đo lường an ninh mạng của NIST
12
436 project để biết thêm thông tin, bao gồm cả con trỏ tới phiên bản mới nhất của SP 800-55, 437 Hướng dẫn
đo lường hiệu suất cho bảo mật thông tin.
438 Khung này mang đến cơ hội khám phá hoặc điều chỉnh các phương pháp đo lường và 439 Ví dụ, các bên liên quan
chính có 1thể
đánh giá.
thảo luận những gì cần đưa vào Hồ sơ mục tiêu và hiện tại của tổ chức, chẳng hạn như Tài liệu tham
khảo thông tin được chọn, vai trò và trách nhiệm, 441 công cụ và chính sách, các quy trình, thủ tục và thực tiễn.
Các bên liên quan cũng có thể thảo luận về những phương pháp đánh giá và đo lường nào có thể được sử dụng cho
các chủ đề đó và cách các phương pháp tiếp cận đó có thể cung cấp thông tin để hỗ trợ các quyết định về tình
hình an ninh mạng của tổ chức.
445 Sử dụng các cấp khung để mô tả quản lý rủi ro an ninh mạng

446 Kết quả
447 Việc lựa chọn các Bậc khung (Cấp) giúp thiết lập tông màu tổng thể về cách quản lý rủi ro an ninh mạng trong
tổ chức và xác định nỗ lực cần thiết để đạt được Bậc 449 đã chọn. Các tổ chức có thể chọn sử dụng các Cấp trong
Phụ lục B để thông báo Hồ sơ mục tiêu hiện tại và 450 của họ. Các cấp độ mô tả mức độ nghiêm ngặt trong quản trị rủi
ro an ninh mạng và kết quả quản lý của tổ chức, đồng thời cung cấp bối cảnh về cách tổ chức xem xét các rủi ro an
ninh mạng và các quy trình hiện có để quản lý những rủi ro đó.
453
454 Hình 5. Các tầng khung an ninh mạng
455 Các Cấp nắm bắt kết quả của tổ chức trong một phạm vi, từ Một phần (Cấp 1) đến Thích ứng 456 (Cấp 4), như
Hình 5 mô tả. Chúng phản ánh một tiến trình từ những phản ứng không chính thức, đặc biệt đến
457 phương pháp tiếp cận linh hoạt, chấp nhận rủi ro và liên tục cải tiến.
Các bậc 458 nên được sử dụng để bổ sung cho phương pháp quản lý rủi ro an ninh mạng của tổ chức thay vì
thay thế nó. Ví dụ: một tổ chức có thể sử dụng giao tiếp nội bộ theo Cấp độ 460 làm điểm chuẩn cho cách tiếp
cận quản lý trên toàn tổ chức hơn.
1
Hiện có nhiều phương pháp phân tích hoặc đánh giá rủi ro an ninh mạng, chẳng hạn như ví dụ được nêu chi tiết
trong NIST SP 800-30 Rev.1, Hướng dẫn tiến hành đánh giá rủi ro; Phân tích nhân tố mở về rủi ro thông tin của
Nhóm mở ( OpenFAIR) tiêu chuẩn; và những nội dung khác được mô tả trong Ủy ban Kỹ thuật Điện Quốc tế (IEC)
31010, Quản lý rủi ro – Kỹ thuật đánh giá rủi ro.
13
461 rủi ro an ninh mạng cần thiết để tiến lên Cấp cao hơn. Không phải tất cả các tổ chức đều cần phải ở Cấp cụ
thể 462 (ví dụ: Cấp 3 hoặc 4). Việc thăng tiến lên các Cấp cao hơn được khuyến khích khi rủi ro hoặc
nhiệm vụ lớn hơn hoặc khi phân tích chi phí-lợi ích cho thấy mức giảm rủi ro an ninh mạng khả thi và
hiệu quả về mặt chi phí.
465 Khi Cấu hình Khung được tạo hoặc cập nhật, các mô tả Cấp (như được liệt kê trong Phụ lục B) 466 có thể
được xem xét làm hướng dẫn. Một tổ chức có thể muốn bao gồm các giá trị Cấp (1 đến 4) 467 trong Hồ sơ Hiện
tại và Mục tiêu của mình. Ví dụ: nếu lãnh đạo đã xác định rằng tổ chức 468 phải ở Cấp 3 (Có thể lặp lại), thì
Hồ sơ hiện tại sẽ phản ánh mức độ đạt được các đặc điểm quản lý và quản trị của Cấp 3 469. Hồ sơ Mục
tiêu sẽ phản ánh bất kỳ kết quả bổ sung nào cần thiết để đạt được đầy đủ mô tả Cấp 3. Việc chọn Cấp tổng thể
hoặc 471 ở cấp Chức năng hoặc Danh mục thay vì cấp Danh mục phụ sẽ giúp hiểu rõ hơn về các phương pháp quản lý
rủi ro an ninh mạng hiện tại của tổ chức. Ngoài ra, tổ chức 473 có thể áp dụng các Cấp độ riêng cho Chức năng
QUẢN TRỊ để mô tả mức độ nghiêm ngặt trong quản lý rủi ro của tổ chức 474 như được thể hiện bằng
chiến lược, kỳ vọng, 475 và chính sách quản lý rủi ro vì GOVERN có tính xuyên suốt.
476 Khi lựa chọn Cấp độ, tổ chức nên xem xét các biện pháp quản lý rủi ro hiện tại của mình,
477 môi trường đe dọa, các yêu cầu pháp lý và quy định, thực tiễn chia sẻ thông tin, mục tiêu kinh doanh và
sứ mệnh, các yêu cầu về chuỗi cung ứng và các ràng buộc của tổ chức, bao gồm 479 nguồn lực. Tổ chức phải
đảm bảo rằng việc lựa chọn và sử dụng các Cấp giúp đáp ứng các mục tiêu của tổ chức, khả thi để thực
hiện và giảm rủi ro an ninh mạng đối với các tài sản và nguồn lực quan trọng ở mức có thể chấp nhận được đối
với tổ chức.
482 Cải thiện giao tiếp với các bên liên quan bên trong và bên ngoài bằng cách sử dụng Khung
483
484 Một trong những lợi ích phổ biến nhất của việc sử dụng Khung này là cải thiện giao tiếp 485 về
rủi ro và tình hình an ninh mạng với những người trong và ngoài tổ chức. Phần 486 này giải thích cách sử dụng
Khuôn khổ để tạo điều kiện giao tiếp và thảo luận về nhiều trong số 487 thực thể có thể được hưởng lợi.
488 3.4.1. Cải thiện giao tiếp trong toàn tổ chức
489 Khung này cung cấp cơ sở để cải thiện hoạt động trao đổi thông tin liên quan đến an ninh mạng
490 kỳ vọng, lập kế hoạch và nguồn lực giữa các giám đốc điều hành, người quản lý quy trình kinh doanh và
491 người thực hiện và vận hành trong toàn bộ tổ chức. Khung này được sử dụng tốt nhất để thúc đẩy các luồng
thông tin hai chiều (như trong Hình 6) giữa những người hiểu mục tiêu nhiệm vụ và những người hiểu các rủi ro
an ninh mạng cụ thể có thể cản trở việc đạt được các mục tiêu đó. Điều này bao gồm đối thoại từ trên xuống
(tăng cường hiểu biết về các ưu tiên và định hướng chiến lược dựa trên nhu cầu và mong đợi của các bên liên
quan) và báo cáo từ dưới lên (thông báo các quyết định và báo cáo về kết quả của các hành động được thực hiện
để thực hiện Khung khổ 497).
14
498
499 Hình 6. Sử dụng Khung an ninh mạng để cải thiện khả năng giao tiếp
500 Khi triển khai Khung, cấp điều hành cấp cao sẽ tập trung vào rủi ro tổ chức, 501 với các hành động thể hiện các ưu tiên
nhiệm vụ trong Chức năng QUẢN TRỊ và phê duyệt lựa chọn Khung 502. Các cuộc thảo luận ở cấp độ này liên quan đến chiến
lược, đặc biệt là những điều không chắc chắn liên quan đến an ninh mạng có thể ảnh hưởng như thế nào đến việc đạt được sứ
mệnh và mục tiêu của doanh nghiệp. Từ một
504, điều này đòi hỏi phải hiểu được nhu cầu của các bên liên quan nội bộ (ví dụ:
505 cổ đông, nhân viên, nhà quản lý doanh nghiệp) và các bên liên quan bên ngoài (ví dụ: khách hàng,
506 cơ quan quản lý, công dân). Khi các giám đốc điều hành thiết lập các ưu tiên và mục tiêu an ninh mạng dựa trên
507 những nhu cầu đó, họ phát triển một chiến lược rủi ro có tính đến khẩu vị rủi ro và giải quyết những kỳ vọng,
508 trách nhiệm giải trình và nguồn lực.
509 Các mục tiêu an ninh mạng tổng thể đặt ra ở cấp điều hành cấp cao được thông báo và phân tầng
510 cho các mục tiêu cấp quy trình kinh doanh cụ thể . Trong một thực thể thương mại, những điều này có thể áp dụng cho
bộ phận kinh doanh hoặc hoạt động theo dòng 511. Đối với các cơ quan chính phủ, đây có thể là cấp bộ phận hoặc cấp chi nhánh.
512 cân nhắc. Khi triển khai Khung, các nhà quản lý quy trình kinh doanh sẽ tập trung vào quản lý rủi ro an ninh mạng
513, với các hành động để phát triển Cấu hình Khung và đề cử các Cấp Khung 514. Khi các ưu tiên về rủi ro và khẩu
vị được chuyển thành các mục tiêu ở cấp độ nhiệm vụ,
Người quản lý quy trình kinh doanh 515 có thể bày tỏ kỳ vọng và hiệu suất an ninh mạng của riêng họ
516 về mức độ không chắc chắn do rủi ro tạo ra có thể ảnh hưởng đến hoạt động kinh doanh.
517 Ở cấp độ triển khai hoặc vận hành , trọng tâm trong việc triển khai Khung bao gồm 518 hệ thống bảo mật với hành động
triển khai Cấu hình Khung. Các học viên vừa thông báo cho 519, vừa đáp ứng mong đợi từ các cấp khác, đồng thời cung cấp
thông tin có giá trị cho việc lập kế hoạch,
520 thực hiện và giám sát các hoạt động an ninh mạng cụ thể. Hiểu cấp độ tổ chức
521 ưu tiên, chiến lược và quy trình cho phép triển khai theo hệ thống cụ thể. Như các biện pháp kiểm soát
522 được thực hiện để quản lý rủi ro ở mức có thể chấp nhận được, những người thực hiện ở cấp độ triển khai và vận
hành 523 cung cấp cho các nhà quản lý quy trình kinh doanh và giám đốc điều hành cấp cao thông tin mà họ
524 cần hiểu tình hình an ninh mạng của tổ chức, đưa ra quyết định sáng suốt và
525 duy trì hoặc điều chỉnh chiến lược rủi ro cho phù hợp.
15
526 Khung này khuyến khích và hỗ trợ các cuộc thảo luận về mức độ hiệu quả mà các hoạt động an ninh mạng
của tổ chức giải quyết các rủi ro khác nhau đối với các mục tiêu sứ mệnh. Phần 4.2 mô tả cách
Các tổ chức 528 có thể kết hợp dữ liệu rủi ro an ninh mạng với thông tin về các rủi ro khác để giúp 529 hỗ trợ
sự liên kết sứ mệnh tốt hơn trong toàn tổ chức.
530 Ở mọi cấp độ, Hồ sơ khung được sử dụng để hỗ trợ việc ra quyết định hiệu quả của doanh nghiệp. Khuôn khổ 531
cho phép những người đưa ra quyết định chiến lược truyền đạt những kỳ vọng và những người ở cấp
532 quy trình kinh doanh và các cấp độ thực hiện/hoạt động để chia sẻ thông tin với lãnh đạo.
533 3.4.2. Cải thiện giao tiếp với các bên liên quan bên ngoài
534 Khung này giúp tạo điều kiện thuận lợi cho việc trao đổi thông tin về an ninh mạng với các bên bên ngoài,
535 bao gồm cả chuỗi cung ứng của tổ chức. Một tổ chức có thể sử dụng Khung này để:
536 • Thể hiện các yêu cầu quản lý rủi ro an ninh mạng của mình với nhà cung cấp dịch vụ bên ngoài (ví
537 dụ: nhà cung cấp dịch vụ mà họ đang trao đổi dữ liệu) thông qua Hồ sơ mục tiêu
538 • Báo cáo về trạng thái của các yêu cầu về an ninh mạng (ví dụ: cho cơ quan quản lý chính phủ),
539 giúp việc xem xét các yêu cầu trở nên dễ dàng hơn như một phần của chiến lược quản lý rủi ro
540 rộng hơn
541 • Hiểu rõ hơn tình trạng an ninh mạng của mình trước các rủi ro hệ thống
542 • Xác định các ưu tiên an ninh mạng cho một lĩnh vực
543 • Xác định mức độ mà các quy trình quản lý rủi ro, tích hợp và chia sẻ thông tin đáp ứng được mong
544 đợi của các bên liên quan
545 • Chia sẻ thông tin cấp cao về thực hành an ninh mạng với khách hàng tiềm năng, đối tác kinh doanh
546 và những người khác có thể cần hiểu rõ tình hình an ninh mạng của tổ chức trước khi
547 hợp tác với tổ chức
548 • Xác định các mô hình trách nhiệm chung với các nhà cung cấp dịch vụ đám mây
549 Quản lý rủi ro an ninh mạng trong chuỗi cung ứng bằng khuôn khổ
550 Khung này có thể được sử dụng để thúc đẩy hoạt động giám sát và truyền thông của tổ chức liên quan đến rủi ro
an ninh mạng với các bên liên quan trong chuỗi cung ứng. Tất cả các loại công nghệ đều dựa trên hệ sinh thái
chuỗi cung ứng phức tạp, được phân bổ toàn cầu, rộng khắp và được kết nối với nhau theo 552.
553 tuyến đường đa dạng về mặt địa lý và nhiều cấp độ gia công. Hệ sinh thái này bao gồm 554 thực thể thuộc khu vực
công và tư nhân (ví dụ: bên mua lại, nhà cung cấp, nhà phát triển, nhà tích hợp hệ thống, 555 nhà cung cấp
dịch vụ hệ thống bên ngoài và các nhà cung cấp dịch vụ liên quan đến công nghệ khác) tương tác với 556 hoạt động
nghiên cứu, phát triển, thiết kế, sản xuất. , mua lại, cung cấp, tích hợp, vận hành, bảo trì, thải bỏ 557 và sử
dụng hoặc quản lý các sản phẩm và dịch vụ công nghệ. Những tương tác này được định hình và chịu ảnh hưởng của công
nghệ, luật pháp, chính sách, thủ tục và thực tiễn.
559 Do các mối quan hệ phức tạp và liên kết với nhau trong hệ sinh thái này, quản lý rủi ro chuỗi cung ứng
(SCRM) rất quan trọng đối với các tổ chức. SCRM an ninh mạng (C-SCRM) là một quy trình có hệ thống để quản
lý mức độ rủi ro an ninh mạng trong toàn bộ chuỗi cung ứng và phát triển các chiến lược, chính sách, quy trình
và thủ tục ứng phó thích hợp. Xem SP 800-
563 161r1 (Bản sửa đổi 1), Thực hành quản lý rủi ro chuỗi cung ứng an ninh mạng cho các hệ thống và tổ chức 564 ,
để biết thông tin chuyên sâu về C-SCRM.
16
565 Ngày nay, gần như tất cả các tổ chức đều phụ thuộc vào chuỗi cung ứng. Vì vậy, điều ngày càng quan trọng là họ phải
phát triển năng lực và thực hiện các biện pháp thực hành để xác định, đánh giá và ứng phó với các vấn đề.
567 rủi ro an ninh mạng trong toàn bộ chuỗi cung ứng. Mục tiêu chính của C-SCRM là mở rộng các cân nhắc quản lý rủi ro an
ninh mạng thích hợp của bên thứ nhất cho bên thứ ba, cung cấp chuỗi 569 cũng như các sản phẩm và dịch vụ mà tổ chức
mua lại, dựa trên mức độ quan trọng của nhà cung cấp và đánh giá rủi ro 570. Ví dụ về rủi ro bao gồm các sản phẩm và dịch
vụ có khả năng chứa hoặc trở thành vật trung gian cho chức năng độc hại, bị làm giả hoặc dễ bị tổn thương do thực tiễn
sản xuất và phát triển kém trong chuỗi cung ứng. C-SCRM hiệu quả yêu cầu 573 bên liên quan tích cực cộng tác, giao
tiếp và thực hiện các hành động để đảm bảo kết quả C-SCRM 574 thuận lợi. Nó cũng đòi hỏi sự chuyển đổi văn hóa trên toàn
doanh nghiệp sang trạng thái nâng cao nhận thức và chuẩn bị sẵn sàng liên quan đến sự phân nhánh tiềm ẩn của rủi ro an ninh
mạng trong toàn bộ chuỗi cung ứng.
577 Framework Core giải quyết vấn đề quản lý rủi ro chuỗi cung ứng an ninh mạng theo hai cách.
578 Trong chức năng QUẢN TRỊ , Danh mục Quản lý Rủi ro Chuỗi Cung ứng (GV.SC) và các Danh mục con 579 của nó cung cấp
kết quả cho việc thiết lập, quản lý, giám sát và cải thiện năng lực hoặc chương trình quản lý rủi ro chuỗi cung ứng
an ninh mạng của tổ chức. Danh mục và Danh mục phụ GV.SC 581 dành riêng cho C-SCRM và giải quyết các kết quả như thiết lập
582 chương trình quản lý rủi ro chuỗi cung ứng an ninh mạng [GV.SC-01], vai trò và trách nhiệm 583 [GV.SC-02] và rủi ro quy
trình quản lý [GV.SC-03] theo cách được tích hợp với 584 khả năng liên quan khác.
585 Các Danh mục và Danh mục con trong các Chức năng khác — XÁC ĐỊNH, BẢO VỆ, PHÁT HIỆN, 586 PHẢN HỒI và
PHỤC HỒI — cung cấp nguồn để tổ chức xem xét làm cơ sở cho các yêu cầu về an ninh mạng của nhà cung
cấp, cho cả nhà cung cấp trực tiếp và yêu cầu chuyển tiếp cho 588 nhà cung cấp cấp thấp hơn [GV.SC-05]. Danh
mục hoặc Danh mục con nào được chọn để đưa vào 589 yêu cầu hợp đồng tùy thuộc vào mức độ quan trọng của nhà
cung cấp [GV.SC-04] và đánh giá rủi ro nhà cung cấp 590 [GV.SC-07]. Nhìn chung, rủi ro an ninh mạng
trong chuỗi cung ứng cần được xem xét khi tổ chức thực hiện tất cả các Chức năng khung. Phần sau đây
cung cấp 592 ví dụ về các Hàm:
593 • Xác định: Xác định, xác nhận và ghi lại các lỗ hổng liên quan đến
594 sản phẩm hoặc dịch vụ của nhà cung cấp [ID.RA-01]
595 • Bảo vệ: Xác thực người dùng, dịch vụ và phần cứng [PR.AA-03]; áp dụng các biện pháp quản lý cấu hình phù hợp
596 [PR.PS-01]; tạo bản ghi nhật ký và có sẵn nhật ký để theo dõi liên tục [PR.PS-04]; và tích hợp các hoạt
597 động phát triển phần mềm an toàn vào vòng đời phát triển phần mềm của nhà cung cấp [PR.PS-07]
598
599 • Phát hiện: Giám sát phần cứng và phần mềm máy tính để phát hiện các sự kiện bất lợi có thể xảy ra
600 [DE.CM-09]
601 • Ứng phó: Thực hiện các kế hoạch ứng phó sự cố khi sản phẩm hoặc dịch vụ bị xâm phạm.
602 liên quan [RS.MA-01]
603 • Khôi phục: Thực hiện phần khôi phục trong kế hoạch ứng phó sự cố của tổ chức khi có liên quan đến sản
604 phẩm hoặc dịch vụ bị xâm phạm [RC.RP-01], đồng thời khôi phục các sản phẩm hoặc dịch vụ bị xâm
605 phạm và xác minh tính toàn vẹn của chúng [RC.RP-05]
17
Phát triển phần mềm an toàn là một lĩnh vực chồng chéo nhiều với các cân nhắc về chuỗi
cung ứng. C-SCRM bao gồm phần mềm và các dịch vụ dựa trên phần mềm mà tổ chức mua lại từ bên thứ ba,
bao gồm phần mềm nguồn mở, cũng như phần mềm mà tổ chức tạo hoặc tích hợp để khách hàng của mình
sử dụng. Các tổ chức mua hoặc phát triển phần mềm có thể tuân theo các biện pháp phát triển phần
mềm an toàn, chẳng hạn như các biện pháp được mô tả trong SP 800-218, Khung phát triển phần mềm an toàn
(SSDF). Các tổ chức phát triển phần mềm chỉ cho mục đích sử dụng riêng của họ có thể được hưởng lợi từ
việc áp dụng các phương pháp C-SCRM khác, thực tế là coi các đơn vị phát triển phần mềm của họ như
một phần của chuỗi cung ứng của họ.
606
607 Một tổ chức có thể sử dụng Hồ sơ Khung để mô tả các tiêu chuẩn và thực hành an ninh mạng để đưa vào hợp đồng với
các nhà cung cấp và cung cấp một ngôn ngữ chung để truyền đạt các yêu cầu đó tới các nhà cung cấp. Hồ sơ cũng có
thể được các nhà cung cấp sử dụng để thể hiện tình hình an ninh mạng cũng như các tiêu chuẩn và thông lệ liên
quan.
611 Hồ sơ mục tiêu có thể được sử dụng để thông báo các quyết định về việc mua sản phẩm và dịch vụ dựa trên
612 yêu cầu để giải quyết các khoảng trống. Điều này thường kéo theo một số mức độ đánh đổi với các
yêu cầu khác, so sánh nhiều sản phẩm hoặc dịch vụ và xem xét các nhu cầu khác như chi phí, chức năng, và rủi ro của
nhà cung cấp và chuỗi cung ứng. Sau khi mua sản phẩm hoặc dịch vụ, Hồ sơ 615 có thể được sử dụng để theo dõi và
giải quyết rủi ro an ninh mạng còn sót lại. Ví dụ: nếu dịch vụ hoặc sản phẩm 616 không đáp ứng tất cả các mục tiêu
an ninh mạng được mô tả trong Hồ sơ mục tiêu thì rủi ro còn lại 617 có thể được giải quyết thông qua các hành
động khác. Hồ sơ cũng cung cấp cho tổ chức một phương pháp để đánh giá xem sản phẩm có đáp ứng các kết quả về an
ninh mạng hay không thông qua đánh giá và thử nghiệm định kỳ. Hồ sơ có thể nâng cao sự tập trung của tổ chức vào
các kết quả mong muốn về an ninh mạng trong toàn bộ chuỗi cung ứng.
621 Tích hợp quản lý rủi ro an ninh mạng với quản lý rủi ro khác
622 Tên miền sử dụng khung
623 Ngoài rủi ro an ninh mạng, mọi tổ chức đều phải đối mặt với nhiều loại rủi ro khác và có thể sử dụng các khuôn
khổ và công cụ quản lý dành riêng cho chúng. Đôi khi hai loại rủi ro 625 có những điểm chung, như Hình 7 mô tả
thông qua các rủi ro chồng chéo về an ninh mạng và quyền riêng tư.
626 An ninh mạng và quản lý rủi ro quyền riêng tư có một số mục tiêu giống nhau, vì vậy việc tích hợp các phương
pháp tiếp cận của họ giúp đảm bảo rằng tất cả các rủi ro đều được xem xét và các nỗ lực đó không bị trùng lặp.
628 Phần 4.1 thảo luận về một ví dụ về tích hợp các phương pháp quản lý rủi ro - sử dụng Khung bảo mật mạng
629 và Khung bảo mật cùng nhau.
630 Một số tổ chức tích hợp tất cả các nỗ lực quản lý rủi ro của họ ở mức cao bằng cách sử dụng 631 quản
lý rủi ro doanh nghiệp (ERM). Phần 4.2 thảo luận về việc sử dụng Khung An ninh mạng như một phần của ERM. (Xem NIST
IR 8286, Tích hợp an ninh mạng và quản lý rủi ro doanh nghiệp.)
633 Đường viền ngoài của Hình 7 biểu thị đầy đủ các rủi ro ERM của tổ chức, với các ví dụ về 634 rủi ro bao gồm tài
chính, pháp lý, vận hành, an ninh vật lý, danh tiếng và an toàn — ngoài 635 rủi ro về an ninh mạng và quyền
riêng tư.
18
636
637 Hình 7. Tích hợp các rủi ro về an ninh mạng và quyền riêng tư
638 Tích hợp Khung an ninh mạng với Khung bảo mật
639 An ninh mạng và quyền riêng tư là những nguyên tắc độc lập, nhưng trong một số trường hợp, các mục
tiêu của chúng trùng nhau, như được minh họa trong Hình 7. Quản lý rủi ro an ninh mạng là cần thiết để
giải quyết các rủi ro về quyền riêng tư liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính khả
dụng của dữ liệu của 642 cá nhân . Ví dụ: vi phạm dữ liệu có thể dẫn đến đánh cắp danh tính. Tuy nhiên, rủi ro về
quyền riêng tư 643 cũng có thể không liên quan đến sự cố an ninh mạng.
644 Các tổ chức xử lý dữ liệu để đạt được mục đích kinh doanh hoặc sứ mệnh, điều này có thể làm phát sinh
645 sự kiện về quyền riêng tư trong đó các cá nhân có thể gặp sự cố do xử lý dữ liệu.
646 NIST mô tả những vấn đề này từ những ảnh hưởng về phẩm giá, chẳng hạn như sự xấu hổ hoặc kỳ thị, đến những
tác hại hữu hình hơn, chẳng hạn như phân biệt đối xử, thiệt hại về kinh tế hoặc tổn hại về thể
chất.2 647 648 Do đó, khi các tổ chức xử lý dữ liệu để tiến hành các hoạt động an ninh mạng , họ 649 có thể tạo
ra rủi ro về quyền riêng tư. Ví dụ: một số loại hoạt động phát hiện hoặc giám sát sự cố
650 - đặc biệt là những hoạt động được tiến hành theo cách không phù hợp với mục đích đã định - có thể khiến
các cá nhân cảm thấy bị giám sát. Ngoài ra, các hoạt động an ninh mạng có thể dẫn đến việc thu thập hơn 652
hoặc lưu giữ quá mức thông tin cá nhân hoặc tiết lộ hoặc sử dụng thông tin cá nhân không liên quan đến
hoạt động an ninh mạng. Những hoạt động này có thể dẫn đến những vấn đề như bối rối, phân biệt đối xử và mất
lòng tin.
655 Khung an ninh mạng NIST và Khung bảo mật NIST có thể được sử dụng cùng nhau để giải quyết chung các rủi ro
về an ninh mạng và quyền riêng tư, như được minh họa trong Hình 8. Ở bên phải của 657, sơ đồ Venn mô tả, các tổ
chức sử dụng Khung an ninh mạng để quản lý 658 an ninh mạng rủi ro có thể tận dụng các Chức năng Xác
định Khung bảo mật-P, Govern-P, Control-P và 659 Giao tiếp-P để xác định và quản lý các rủi ro về quyền riêng
tư không liên quan đến các sự cố an ninh mạng 660, chẳng hạn như các sự cố được mô tả ở trên. Khung an ninh
mạng PHÁT HIỆN, TRẢ LỜI và
2
NIST đã tạo ra một danh mục minh họa các vấn đề để sử dụng trong đánh giá rủi ro về quyền riêng tư. Xem Phương pháp
đánh giá rủi ro về quyền riêng tư của NIST . Các tổ chức khác có thể đã tạo ra các loại vấn đề khác hoặc có thể coi chúng
là những hậu quả bất lợi hoặc tổn hại.
19
Các chức năng 661 RECOVER và Chức năng Privacy Framework Protect-P có thể được tận dụng chung để hỗ trợ quản
lý các rủi ro chồng chéo về an ninh mạng và quyền riêng tư.
663
664 Hình 8. Căn chỉnh Khung an ninh mạng và Khung bảo mật
665 Khi xem xét các chương trình an ninh mạng để tìm rủi ro về quyền riêng tư, một tổ chức có thể xem xét thực hiện
666 hành động như sau:
667 • Sử dụng cả Khung bảo mật và An ninh mạng để xem xét toàn bộ phạm vi của
668 rủi ro về quyền riêng tư liên quan đến chương trình an ninh mạng của mình, bao gồm quản lý danh tính
669 và kiểm soát truy cập
670 • Đảm bảo rằng các cá nhân có trách nhiệm về quyền riêng tư liên quan đến an ninh mạng báo cáo cho
671 cơ quan quản lý phù hợp và được đào tạo phù hợp
672 • Tuân thủ các đạo luật và quy định hiện hành về quyền riêng tư
673 • Xác định các kết quả và hoạt động trong Privacy Framework Core có thể được tích hợp
674 nhận thức và đào tạo lực lượng lao động an ninh mạng
675 • Thông báo cho các nhà cung cấp sản phẩm và dịch vụ liên quan đến an ninh mạng về các chính sách bảo mật
676 hiện hành của tổ chức
677 • Tiến hành đánh giá quyền riêng tư về việc giám sát tài sản của tổ chức và phát hiện các hành vi bất lợi
678 các sự kiện và sự cố an ninh mạng cũng như các nỗ lực giảm thiểu sự cố an ninh mạng
679 • Áp dụng các quy trình để đánh giá và giải quyết liệu khi nào, khi nào, như thế nào và mức độ nào dữ liệu
680 của các cá nhân được chia sẻ bên ngoài tổ chức như một phần của hoạt động chia sẻ thông
681 tin an ninh mạng
682 Tích hợp Khung An ninh mạng với Quản lý Rủi ro Doanh nghiệp
683 Các tổ chức có thể sử dụng phương pháp quản lý rủi ro doanh nghiệp (ERM) để cân bằng nhiều
684 cân nhắc rủi ro, bao gồm cả an ninh mạng. Họ có thể hưởng lợi từ việc sử dụng Khung 685 để hài hòa tốt hơn các
hoạt động quản lý rủi ro an ninh mạng với các lĩnh vực quản lý rủi ro khác
686 (ví dụ: tài chính, pháp lý, lập pháp, hoạt động, quyền riêng tư, uy tín, an toàn). Các nhà lãnh đạo doanh nghiệp
687 nhận được thông tin đầu vào đáng kể về các hoạt động rủi ro hiện tại và theo kế hoạch khi họ tích hợp quản trị
688 và chiến lược rủi ro với kết quả từ các chu kỳ Khung trước đó. Dữ liệu tích hợp về một tập hợp rộng
20
689 rủi ro, bao gồm dữ liệu rủi ro an ninh mạng, giúp các nhà lãnh đạo hiểu được những thay đổi rủi ro tiềm ẩn để họ có
thể đưa ra quyết định sáng suốt về định hướng của doanh nghiệp. Hình 6 minh họa chu trình truyền thông rủi ro lặp
đi lặp lại 691 lần này ở tất cả các cấp độ tổ chức.
692 NIST IR 8286, Tích hợp an ninh mạng và quản lý rủi ro doanh nghiệp, mô tả một
693 ví dụ về cách tiếp cận. Báo cáo đó là một phần trong loạt ấn phẩm mô tả việc sử dụng các hoạt động quản
lý rủi ro an ninh mạng, kết hợp với Khung an ninh mạng, để thông báo cho các nhà lãnh đạo về rủi ro an ninh mạng
trong bối cảnh có các rủi ro khác. Các hoạt động cụ thể để tích hợp CSF vào ERM được mô tả trong báo cáo chính và cung
cấp thêm chi tiết cho người dùng Khung An ninh Mạng.
698 Phần 3.1 của tài liệu này trình bày năm bước mà một tổ chức có thể thực hiện bằng cách sử dụng Cấu hình Framework
699 để giúp thông báo cải tiến liên tục tình trạng an ninh mạng của mình. Các tổ chức có thể mở rộng và nâng cao các
bước đó để tích hợp các cân nhắc về ERM, chẳng hạn như:
701 • Đảm bảo rằng các tài sản quan trọng đối với doanh nghiệp được xem xét khi xác định
702 Trường hợp sử dụng khung (bước 1)
703 • Bao gồm đầu vào liên quan đến ERM (ví dụ: danh mục rủi ro doanh nghiệp, mức độ ưu tiên, sổ đăng ký
704 rủi ro tích hợp) khi thu thập thông tin cần thiết để chuẩn bị Hồ sơ (bước 2)
705 • Xem xét sự thể hiện hữu hình và có thể đánh giá được của rủi ro (các kịch bản rủi ro) từ
706 trong toàn doanh nghiệp khi đánh giá tác động rủi ro của trạng thái hiện tại và xác định trạng thái
707 mong muốn sẽ giải quyết các rủi ro quan trọng (bước 3)
708 • Đảm bảo rằng những kỳ vọng từ những người có vai trò ERM (ví dụ: quản lý rủi ro doanh nghiệp
709 ủy ban, giám đốc điều hành cấp cao và cán bộ) được đưa vào phân tích và ưu tiên
710 Xây dựng kế hoạch hành động (bước 4)
711 • Truyền đạt kết quả từ việc thực hiện kế hoạch hành động (bước 5) tới những người có vai trò ERM để
712 giúp giám sát kết quả chiến lược rủi ro an ninh mạng, điều chỉnh chiến lược đó để theo đuổi
713 các cơ hội và giảm thiểu rủi ro trong toàn doanh nghiệp. Các bên liên quan của ERM cũng có thể đề
714 xuất điều chỉnh cấp độ mong muốn (và các hoạt động quản trị, quản lý và quản lý rủi ro của bên thứ ba
715 có liên quan) để cải thiện việc đạt được các mục tiêu của doanh nghiệp.
716 Khi các bước này được áp dụng lặp đi lặp lại, chúng cung cấp cho các nhà lãnh đạo doanh nghiệp thông tin để
giúp họ hiểu những điều kiện nào có thể cải thiện hoặc làm suy giảm khả năng của tổ chức trong việc đạt được các mục
tiêu kinh doanh của mình. Kế hoạch hành động nên bao gồm các số liệu, chẳng hạn như các chỉ số hiệu suất
chính (KPI) và các chỉ số rủi ro chính (KRI) giúp giám sát, đánh giá và điều chỉnh chiến lược rủi ro doanh
nghiệp. Khi các hành động xảy ra, kết quả có thể được ghi lại (ví dụ: thông qua sổ đăng ký và hồ sơ rủi ro tổng hợp
và chuẩn hóa). Việc xem xét các kết quả đó, được thể hiện dưới dạng mục tiêu kinh doanh và doanh nghiệp, giúp duy trì
và điều chỉnh chiến lược của tổ chức. Chu trình giám sát-điều chỉnh này, được thực hiện thông qua các bước của
Khung, hỗ trợ điều chỉnh hoạt động rủi ro an ninh mạng với việc quản lý nhiều loại rủi ro khác mà doanh nghiệp phải
đối mặt.
725 Bước tiếp theo
726 Cho dù tổ chức đang sử dụng Khuôn khổ an ninh mạng lần đầu tiên hay đã sử dụng Khuôn khổ này trước đó, điều quan
trọng cần nhớ là CSF được thiết kế để sử dụng cùng với các khuôn khổ, tiêu chuẩn và hướng dẫn về an ninh mạng khác.
21
729 NIST cung cấp nhiều tài nguyên dành riêng cho Khung và cách sử dụng nó trên trang web Khung An
ninh mạng 730, cũng như hàng trăm ấn phẩm về an ninh mạng và các tài nguyên 731 khác được lưu trữ trên trang
web của Trung tâm Tài nguyên An ninh Máy tính (CSRC) của NIST và An ninh mạng Quốc gia NIST 732 Trang web của
Trung tâm Xuất sắc (NCCoE) . Mặc dù các tài nguyên này không phải là một phần của Framework Core nhưng chúng
cung cấp thông tin chi tiết về quản lý rủi ro an ninh mạng hỗ trợ việc sử dụng Framework.
735 Vì Khuôn khổ mang tính trung lập về công nghệ nên các tổ chức cũng nên tìm kiếm các tài nguyên dành riêng cho
công nghệ của họ, chẳng hạn như:
737 • Khung quản lý rủi ro trí tuệ nhân tạo NIST (AI RMF)
738 • SP 800-207, Kiến trúc Zero Trust, và việc NCCoE thực hiện Zero Trust
739 Dự án kiến trúc
740 • Chương trình An ninh mạng NIST dành cho IoT
741 Khi các tổ chức tiếp tục hành trình an ninh mạng của mình, NIST cam kết cung cấp hướng dẫn 742 để giải
quyết các thách thức an ninh mạng hiện tại và tương lai.
22
743 Phụ lục A. Mẫu hồ sơ và kế hoạch hành động
744 Phụ lục này cung cấp các mẫu khái niệm mà các tổ chức có thể chọn để sử dụng và điều chỉnh cho phù hợp
với Hồ sơ và kế hoạch hành động của riêng họ. Các tổ chức không nên cảm thấy bị bắt buộc phải tuân theo 746
mẫu này về mặt định dạng, cấu trúc hoặc cách trình bày dữ liệu.
747 A.1. Mẫu hồ sơ tổ chức danh nghĩa
748 Bảng 1 mô tả đoạn trích của một mẫu trống cho Hồ sơ của một tổ chức, như được mô tả trong
749 Mục 3.1. Mẫu danh nghĩa này sử dụng bốn nhóm cho các thành phần của nó:
750 • Kết quả Khung đã chọn: Chức năng, Danh mục hoặc Danh mục con của Khung được đưa vào Hồ sơ. Hồ
751 sơ có thể ở bất kỳ cấp độ kết quả nào.
752 Các tổ chức có thể chọn bớt kết quả hoặc thêm Chức năng, Danh mục hoặc Danh mục phụ của
753 riêng mình để giải quyết các nhu cầu cụ thể hoặc rủi ro riêng của tổ chức.
754 • Hồ sơ hiện tại: Các yếu tố được tổ chức lựa chọn để mô tả tình hình quản lý rủi ro an
755 ninh mạng hiện tại của mình.
756 • Hồ sơ mục tiêu: Các yếu tố được tổ chức lựa chọn để mô tả các mục tiêu quản lý rủi ro an ninh
757 mạng và kế hoạch của tổ chức để đạt được các mục tiêu đó.
758 • Ghi chú: Chỗ dành cho những nhận xét bổ sung về mỗi kết quả đã chọn.
759 Như mẫu danh nghĩa chứng minh, Cấu hình hiện tại và Cấu hình mục tiêu không cần phải bao gồm các phần tử
giống nhau.
761 Bảng 1. Mẫu sơ yếu lý lịch tổ chức
Đã chọn
Hiện hành Mục tiêu
Khung Mục tiêu Mục tiêu
Chính sách, Hiện hành Chính sách,
Kết quả Mục tiêu Vai trò và Đã chọn
Các quy Nội bộ Các quy Ghi chú
(Chức năng, Sự ưu tiên khả năng chịu Nhiều thông tin
trình và thực hành trình và
Danh mục hoặc trách nhiệm Người giới thiệu
Thủ tục Thủ tục
Danh mục phụ)
762 Một số tổ chức chọn thể hiện các kết quả mong muốn dưới dạng một loạt các cột mốc tạm thời, 763 chẳng
hạn như các mục tiêu cải tiến hàng quý, hàng năm và 5 năm. Trong những trường hợp đó, nhiều Hồ sơ mục tiêu tạm
thời có thể được đưa vào một bảng, mỗi bảng mô tả tiến trình hướng tới các mục tiêu đã xác định.
765 Danh sách sau đây cung cấp các ví dụ về các thành phần có thể có trong Cấu hình:
766 • Tình trạng: Trạng thái hoặc điều kiện hiện tại của một kết quả, chẳng hạn như liệu tổ chức có đạt được
767 kết quả đó hay không hoặc mức độ mà tổ chức đạt được kết quả đó. Điều này có thể sử dụng bất kỳ
768 sơ đồ trạng thái nào, chẳng hạn như trạng thái đơn giản (ví dụ: Đã đạt được, Chưa đạt được) hoặc sơ đồ
769 chi tiết hơn cho biết mức độ tiến bộ (ví dụ: Không được đánh giá, Đã lên kế hoạch, Đạt một phần,
770 Đạt hoàn toàn). Các giá trị trạng thái chi tiết hơn có thể cung cấp nhiều thông tin chi tiết hơn khi
771 tạo phân tích khoảng cách hoặc kế hoạch hành động. Một tổ chức cũng có thể bao gồm lựa chọn Cấp độ của mình.
23
772 • Mức độ ưu tiên: Tầm quan trọng tương đối của một kết quả so với các kết quả khác.
773 Các tổ chức có thể chọn lược đồ ưu tiên đơn giản (ví dụ: Ưu tiên/Không ưu tiên) hoặc lược đồ đa
774 cấp (ví dụ: Cao, Trung bình, Thực hiện sau) để cung cấp thêm thông tin chi tiết khi tạo phân tích
775 khoảng cách hoặc kế hoạch hành động.
776 • Chính sách, quy trình và thủ tục: Thông tin về chính sách của tổ chức,
777 trình và thủ tục liên quan đến một kết quả cụ thể. Ví dụ, một chính sách có thể
778 nêu rõ rằng quyền truy cập vào tài nguyên yêu cầu một mức độ ủy quyền nhất định và quy trình
779 hỗ trợ có thể chỉ định các quy tắc kiểm soát truy cập chính xác để yêu cầu và phê duyệt quyền
780 truy cập vào một thành phần phần mềm cụ thể.
781 • Thực tiễn nội bộ: Thông tin về cách tổ chức thực hiện các chính sách của mình,
782 các quy trình và thủ tục để đạt được một kết quả cụ thể cũng như bất kỳ hoạt động nào khác của
783 tổ chức. Yếu tố Thực hành nội bộ có thể được chia thành các yếu tố chi tiết hơn, chẳng hạn như
784 các công cụ phần cứng và phần mềm cũng như các phương pháp được sử dụng để thực hiện các
785 thực hành.
786 • Vai trò và Trách nhiệm: Những người, nhóm hoặc tổ chức khác giúp đạt được kết quả hoặc những
787 người chịu trách nhiệm đảm bảo đạt được kết quả. Điều này bao gồm các mô hình trách nhiệm chung,
788 chẳng hạn như chỉ định các khía cạnh nào của kết quả mà người đăng việc và tổ chức phải
789 chịu trách nhiệm. Yếu tố này cũng có thể bao gồm Vai trò công việc, Nhiệm vụ cũng như Kiến thức
790 và kỹ năng cần thiết để đạt được từng kết quả, chẳng hạn như từ SP 800-181r1, Khung lực lượng
791 lao động NIST cho An ninh mạng ( Khung NICE).
792
793 • Tài liệu tham khảo thông tin được chọn: Các tiêu chuẩn, hướng dẫn, yêu cầu, chính sách của
794 tổ chức có thể áp dụng và các tài liệu tham khảo khác do tổ chức lựa chọn.
795 • Số đo: Số đo được chọn. Xem Phần 3.2 để biết thêm thông tin về cách đo lường kết quả rủi
796 ro an ninh mạng.
797 • Đồ tạo tác và Bằng chứng: Thông tin về đồ tạo tác chứa đựng bằng chứng về việc đạt được các
798 kết quả cụ thể. Hồ sơ có thể bao gồm các con trỏ tới các tệp, cơ sở dữ liệu và các tài
799 nguyên khác có chứa các thành phần lạ hoặc Hồ sơ có thể mô tả đặc điểm của các thành phần
800 lạ và cung cấp điểm liên hệ cho mỗi thành phần.
801 A.2. Mẫu kế hoạch hành động danh nghĩa
802 Bảng 2 minh họa một đoạn trích của mẫu kế hoạch hành động khái niệm, như được mô tả trong Phần 3.1.
803 Các tổ chức chọn sử dụng mẫu này nên tùy chỉnh nó để đáp ứng nhu cầu và ưu tiên của 804.
805 Trong mẫu này, kế hoạch hành động bao gồm các hàng về mức độ ưu tiên của từng mục hành động, mô tả 806 về
mục hành động, bên hoặc bộ phận chịu trách nhiệm, ngày hoàn thành mục tiêu và 807 nguồn lực cần thiết để
hoàn thành mục hành động (ví dụ: nhân sự, ngân sách, công cụ). Mẫu 808 này có thể được tích hợp với Hồ sơ hoặc
được duy trì riêng. Kế hoạch hành động có thể dựa trên 809 kết quả ở cấp Chức năng, Hạng mục hoặc Hạng mục
con hoặc kết hợp các cấp độ đó.
24
810 Bảng 2. Mẫu kế hoạch hành động khái niệm
Mục tiêu
Khung đã chọn Chịu trách nhiệm Tài nguyên
Sự ưu tiên Mục hành động Hoàn thành
Kết quả các bữa tiệc Yêu cầu
Ngày
25
Dự thảo công khai Khung bảo mật không gian mạng NIST 2.0
811 Phụ lục B. Mô tả bậc khung
812 Bảng 3 mô tả các Bậc khung được thảo luận trong Phần 3.2. Các cấp độ đặc trưng cho mức độ nghiêm ngặt điển hình của rủi ro an ninh mạng
813 thực tiễn quản trị và quản lý trong toàn bộ tổ chức, bao gồm cả rủi ro an ninh mạng của bên thứ ba.
814 Bảng 3. Các bậc khung
Tầng Quản trị rủi ro an ninh mạng Quản lý rủi ro an ninh mạng Rủi ro an ninh mạng của bên thứ ba
Cấp 1: Việc áp dụng chiến lược rủi ro an Nhận thức về rủi ro an ninh mạng ở cấp độ tổ chức còn Tổ chức thường không nhận thức được các rủi ro an
một phần ninh mạng của tổ chức được quản lý theo cách thức hạn chế. ninh mạng của các sản phẩm và dịch vụ mà nó cung
đặc biệt. cấp và sử dụng.
Tổ chức thực hiện quản lý rủi ro an ninh mạng một cách
Ưu tiên là đặc biệt và không chính thức dựa trên không thường xuyên, theo từng trường hợp cụ thể. Tổ chức không hiểu vai trò của mình trong hệ sinh
mục tiêu hoặc môi trường đe dọa. thái lớn hơn đối với những người phụ thuộc hoặc
người phụ thuộc.
Tổ chức có thể không có các quy trình cho phép chia
sẻ thông tin an ninh mạng trong tổ chức. Tổ chức chưa chính thức hóa khả năng quản lý nội
bộ rủi ro an ninh mạng trong chuỗi cung
ứng của mình hoặc với các đối tác của mình và có
thể thực hiện các hoạt động này theo cách
thức một lần.
Cấp 2: Rủi ro Các hoạt động quản lý rủi ro được ban Có nhận thức về rủi ro an ninh mạng ở cấp tổ chức, Tổ chức hiểu rõ các rủi ro an ninh mạng
Nắm được tin tức
quản lý phê duyệt nhưng có thể không được thiết nhưng cách tiếp cận toàn tổ chức để quản lý rủi trong chuỗi cung ứng của mình có liên quan đến
lập thành chính sách trên toàn tổ chức. ro an ninh mạng vẫn chưa được thiết lập. các sản phẩm và dịch vụ hỗ trợ chức năng kinh doanh
và sứ mệnh của tổ chức hoặc được sử dụng trong các
sản phẩm hoặc dịch vụ của tổ chức.

Ưu tiên của các hoạt động an ninh mạng và nhu
cầu bảo vệ được thông báo trực tiếp bởi các mục Việc xem xét an ninh mạng trong các mục
tiêu rủi ro của tổ chức, môi trường đe dọa tiêu và chương trình của tổ chức có thể xảy ra ở
hoặc các yêu cầu kinh doanh/sứ mệnh. một số cấp độ của tổ chức nhưng không phải ở tất cả Tổ chức nhận thức được các rủi ro an
các cấp. Đánh giá rủi ro mạng đối với tài sản của ninh mạng liên quan đến các sản phẩm và dịch vụ
tổ chức và bên ngoài được thực hiện nhưng thường mà tổ chức cung cấp và sử dụng nhưng không hành
không lặp lại hoặc tái diễn. động nhất quán hoặc chính thức để ứng phó với
những rủi ro đó.
Thông tin an ninh mạng được chia sẻ trong tổ chức

một cách không chính thức.
26
Tầng Quản trị rủi ro an ninh mạng Quản lý rủi ro an ninh mạng Rủi ro an ninh mạng của bên thứ ba
Cấp 3: Các hoạt động quản lý rủi ro của tổ chức được Có một cách tiếp cận toàn tổ chức để quản lý rủi ro Chiến lược rủi ro của tổ chức được thông báo dựa
Có thể lặp lại chính thức phê duyệt và thể hiện dưới dạng an ninh mạng. trên các rủi ro an ninh mạng liên quan đến các sản
chính sách. phẩm và dịch vụ mà tổ chức cung cấp và sử dụng.
Các phương pháp nhất quán được áp dụng để
Nhân sự chính thức hành động đối với những rủi ro
Các chính sách, quy trình và thủ tục nhận biết ứng phó hiệu quả với những thay đổi về rủi ro.
đó, bao gồm thông qua các cơ chế như thỏa thuận bằng
rủi ro được xác định, thực hiện như dự định và Nhân viên có kiến thức và kỹ năng để thực hiện
văn bản để truyền đạt các yêu cầu cơ bản, cơ cấu
được xem xét. vai trò và trách nhiệm được giao.
quản trị (ví dụ: hội đồng rủi ro), việc thực
Các biện pháp thực hành an ninh mạng của tổ chức
hiện và giám sát chính sách.
được cập nhật thường xuyên dựa trên việc áp Tổ chức giám sát một cách nhất quán và
dụng các quy trình quản lý rủi ro trước chính xác các rủi ro an ninh mạng của tài sản. Các
Một cách tiếp cận trên toàn tổ chức để
những thay đổi trong yêu cầu nhà điều hành cấp cao về an ninh mạng và phi
quản lý rủi ro an ninh mạng trong chuỗi cung ứng của
kinh doanh/sứ mệnh, các mối đe dọa, an ninh mạng thường xuyên trao đổi về các rủi ro
mình được thể hiện trong các chính sách, quy trình
và bối cảnh công nghệ. an ninh mạng. Các giám đốc điều hành cấp
cao đảm bảo rằng an ninh mạng được xem xét và thủ tục quản lý rủi ro doanh nghiệp của tổ
chức, sau đó được triển khai một cách nhất quán,
thông qua tất cả các hoạt động trong tổ chức.
đúng mục đích và liên tục được giám sát và xem
xét.
Cấp 4: Có một cách tiếp cận trên toàn tổ chức để quản lý Tổ chức này điều chỉnh các hoạt động an ninh mạng Tổ chức sử dụng thông tin theo thời gian thực
Thích ứng rủi ro an ninh mạng bằng cách sử dụng các của mình dựa trên các hoạt động an ninh mạng trước hoặc gần thời gian thực để hiểu và hành động nhất
chính sách, quy trình và thủ tục có tính đến rủi đây và hiện tại, bao gồm các bài học kinh nghiệm và quán trước các rủi ro an ninh mạng liên quan đến
ro để giải quyết các sự kiện an ninh mạng các chỉ số dự đoán. Thông qua quá trình cải tiến liên các sản phẩm và dịch vụ mà tổ chức cung cấp và sử
tiềm ẩn. Mối quan hệ giữa rủi ro an ninh mạng tục kết hợp các công nghệ và thực tiễn an ninh mạng dụng.
và mục tiêu của tổ chức được hiểu rõ và tiên tiến, tổ chức này chủ động thích ứng với
Tổ chức có cơ cấu quản trị (ví dụ: Hội đồng
cân nhắc khi đưa ra quyết định. Ủy viên cấp bối cảnh công nghệ đang thay đổi và ứng
Rủi ro) để quản lý các nhóm rủi ro của tổ
cao phó kịp thời và hiệu quả trước các mối đe dọa tinh
chức cũng như lên xuống chuỗi cung ứng và giải
vi, đang phát triển.
quyết các yêu cầu an ninh chuỗi cung ứng của mình
giám sát rủi ro an ninh mạng trong bối cảnh tương
song song với các rủi ro khác.
tự như rủi ro tài chính và tổ chức
khác. Ngân sách của tổ chức dựa trên sự hiểu biết

Tổ chức hợp tác với các nhà cung cấp của mình
về môi trường rủi ro hiện tại và dự đoán cũng như
và chủ động quản lý mối quan hệ của mình với
mức độ chấp nhận rủi ro.
các nhà cung cấp và những người phụ thuộc
ở hạ nguồn (ví dụ: khách hàng).
Các đơn vị kinh doanh thực hiện tầm nhìn điều
hành và phân tích rủi ro ở cấp hệ thống trong bối
cảnh mức độ chấp nhận rủi ro của tổ chức.
27
Tầng Quản trị rủi ro an ninh mạng Quản Quản lý rủi ro an ninh mạng Rủi ro an ninh mạng của bên thứ ba
lý rủi ro an ninh mạng là một phần của văn

hóa tổ chức. Nó phát triển từ nhận
thức về các hoạt động trước đó và nhận
thức liên tục về các hoạt động trên hệ
thống và mạng lưới tổ chức.
Tổ chức có thể tính toán nhanh
chóng và hiệu quả những thay đổi
đối với mục tiêu kinh doanh/sứ mệnh
trong cách tiếp cận và truyền đạt rủi ro.
28
815 Phụ lục C. Lõi khung
816 Phần này trình bày các Chức năng, Danh mục và Danh mục con của Lõi Khung. Các ví dụ triển khai
817 và tài liệu tham khảo thông tin về cốt lõi sẽ được duy trì trực tuyến trên trang web Khung an
ninh mạng NIST 818 để cho phép cập nhật thường xuyên hơn.
819 Bảng 4 hiển thị các tên Danh mục và Chức năng cốt lõi của CSF 2.0 cũng như các mã định danh theo thứ tự chữ cái duy nhất.
820 Bảng 4. Chức năng cốt lõi của CSF 2.0, Tên và mã nhận dạng danh mục
Chức năng Loại Mã định danh danh mục
Chính phủ (GV) Bối cảnh tổ chức GV.OC
Chiến lược quản lý rủi ro GV.RM
Quản lý rủi ro chuỗi cung ứng an ninh mạng GV.SC
Vai trò, trách nhiệm và quyền hạn GV.RR
Chính sách, quy trình và thủ tục GV.PO
Giám sát GV.OV
Xác định (ID) Quản lý tài sản ID.AM
Đánh giá rủi ro ID.RA
Sự cải tiến ID.IM
Bảo vệ (PR) Quản lý danh tính, xác thực và kiểm soát truy cập PR.AA
Nhận thức và đào tạo PR.AT
Bảo mật dữ liệu PR.DS
Bảo mật nền tảng PR.PS
Khả năng phục hồi cơ sở hạ tầng công nghệ PR.IR
Phát hiện (DE) Giám sát liên tục DE.CM
Phân tích sự kiện bất lợi DE.AE
Trả lời (RS) Quản lý sự cố RS.MA
Phân tích sự cố RS.AN
Báo cáo và truyền thông ứng phó sự cố RS.CO
Giảm thiểu sự cố RS.MI
Khôi phục (RC) Thực hiện kế hoạch khắc phục sự cố RC.RP
Truyền thông phục hồi sự cố RC.CO
821 Các bảng còn lại trong phụ lục này hiển thị các Chức năng, Danh mục cốt lõi của CSF 2.0
và 822 Danh mục con với một bảng cho mỗi Chức năng. Mỗi bảng cũng xác định thời điểm một Danh
mục hoặc Danh mục con CSF 1.1 823 đã được chuyển sang một hoặc nhiều Danh mục con CSF 2.0 để truy nguyên.
29
824 Sau đây là các liên kết đến từng bảng Chức năng CSF 2.0:
Bảng 5. CHÍNH PHỦ (GV): Thiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh mạng của tổ chức
Bảng 6. NHẬN DẠNG (ID): Giúp xác định rủi ro an ninh mạng hiện tại đối với tổ chức
Bảng 7. PROTECT (PR): Sử dụng các biện pháp bảo vệ để ngăn chặn hoặc giảm thiểu rủi ro an ninh mạng
Bảng 8. DETECT (DE): Tìm và phân tích các cuộc tấn công và xâm phạm an ninh mạng có thể xảy ra
Bảng 9. PHẢN HỒI (RS): Thực hiện hành động liên quan đến sự cố an ninh mạng được phát hiện
Bảng 10. PHỤC HỒI (RC): Khôi phục tài sản và hoạt động bị ảnh hưởng bởi sự cố an ninh mạng
Bảng 5. CHÍNH PHỦ (GV): Thiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh mạng của tổ chức
Loại Tiểu thể loại
Bối cảnh tổ chức (GV.OC): Các hoàn cảnh — sứ mệnh, kỳ

vọng của các bên liên quan cũng như các yêu cầu pháp lý,
quy định và hợp đồng — xung quanh các quyết định quản lý
rủi ro an ninh mạng của tổ chức đều được hiểu rõ (trước
đây là ID.BE)
GV.OC-01: Sứ mệnh của tổ chức được hiểu rõ và thông báo quản lý rủi ro an ninh mạng (trước đây là
ID.BE-02, ID.BE-03)
GV.OC-02: Các bên liên quan bên trong và bên ngoài được xác định, đồng thời hiểu rõ nhu cầu và mong
đợi của họ về quản lý rủi ro an ninh mạng
GV.OC-03: Các yêu cầu pháp lý, quy định và hợp đồng liên quan đến an ninh mạng — bao gồm các nghĩa vụ về
quyền riêng tư và quyền tự do dân sự — được hiểu và quản lý (trước đây là ID.GV-03)
GV.OC-04: Các mục tiêu, năng lực và dịch vụ quan trọng mà các bên liên quan phụ thuộc hoặc mong đợi
từ tổ chức được xác định và truyền đạt (trước đây là ID.BE-04, ID.BE-05)
GV.OC-05: Kết quả, năng lực và dịch vụ mà tổ chức phụ thuộc vào được xác định và truyền đạt (trước
đây là ID.BE-01, ID.BE-04)
30
Chiến lược quản lý rủi ro (GV.RM): Các ưu tiên, hạn chế, tuyên
bố về mức độ chấp nhận rủi ro và khẩu vị cũng như các giả định
của tổ chức được thiết lập, truyền đạt và sử dụng để hỗ trợ
các quyết định rủi ro hoạt động (trước đây là ID.RM)
GV.RM-01: Mục tiêu quản lý rủi ro được các bên liên quan của tổ chức thiết lập và thống nhất (trước đây là
ID.RM-01)
GV.RM-02: Các tuyên bố về khẩu vị rủi ro và mức độ chấp nhận rủi ro được xác định, truyền đạt và duy trì
(trước đây là ID.RM-02, ID.RM-03)
GV.RM-03: Quy trình quản lý rủi ro doanh nghiệp bao gồm các hoạt động và kết quả quản lý rủi ro an ninh mạng
(trước đây là ID.GV-04)
GV.RM-04: Định hướng chiến lược mô tả các phương án ứng phó rủi ro phù hợp được thiết lập và truyền
đạt
GV.RM-05: Các đường dây liên lạc trong toàn tổ chức được thiết lập để phòng ngừa các rủi ro an ninh mạng,
bao gồm rủi ro từ nhà cung cấp và các bên thứ ba khác
GV.RM-06: Một phương pháp tiêu chuẩn hóa để tính toán, ghi chép, phân loại và sắp xếp thứ tự ưu tiên
rủi ro an ninh mạng được thiết lập và truyền đạt
GV.RM-07: Các cơ hội chiến lược (tức là rủi ro tích cực) được xác định và đưa vào các cuộc thảo luận về
rủi ro an ninh mạng của tổ chức
Quản lý rủi ro chuỗi cung ứng an ninh mạng (GV.SC):

Các quy trình quản lý rủi ro chuỗi cung ứng mạng được xác định,
thiết lập, quản lý, giám sát và cải tiến bởi các bên
liên quan của tổ chức (trước đây là ID.SC)
GV.SC-01: Chương trình, chiến lược, mục tiêu, chính sách và quy trình quản lý rủi ro chuỗi cung ứng an ninh
mạng được thiết lập và đồng ý bởi các bên liên quan của tổ chức (trước đây là ID.SC-01)
GV.SC-02: Vai trò và trách nhiệm về an ninh mạng đối với nhà cung cấp, khách hàng và đối tác được thiết lập,
truyền đạt và phối hợp trong nội bộ và bên ngoài (trước đây là ID.AM-06)
GV.SC-03: Quản lý rủi ro chuỗi cung ứng an ninh mạng được tích hợp vào an ninh mạng và quy trình quản lý rủi ro
doanh nghiệp, đánh giá rủi ro và cải tiến (trước đây là ID.SC-02)
GV.SC-04: Nhà cung cấp được biết đến và ưu tiên theo mức độ quan trọng
31
GV.SC-05: Các yêu cầu giải quyết rủi ro an ninh mạng trong chuỗi cung ứng được thiết lập, ưu tiên và tích hợp vào
các hợp đồng cũng như các loại thỏa thuận khác với nhà cung cấp và các bên thứ ba có liên quan khác
(trước đây là ID.SC-03)
GV.SC-06: Việc lập kế hoạch và thẩm định được thực hiện để giảm thiểu rủi ro trước khi tham gia vào các mối quan hệ với nhà cung
cấp chính thức hoặc bên thứ ba khác
GV.SC-07: Rủi ro do nhà cung cấp, sản phẩm và dịch vụ của họ cũng như các bên thứ ba khác gây ra được xác định, ghi
lại, ưu tiên, đánh giá, phản hồi và giám sát trong suốt mối quan hệ (trước đây là
ID.SC-02, ID.SC-04)
GV.SC-08: Các nhà cung cấp liên quan và các bên thứ ba khác được tham gia vào các hoạt động lập kế hoạch, ứng
phó và khắc phục sự cố (trước đây là ID.SC-05)
GV.SC-09: Các biện pháp bảo mật chuỗi cung ứng được tích hợp vào các chương trình quản lý rủi ro doanh nghiệp và an
ninh mạng, đồng thời hiệu suất của chúng được giám sát trong suốt vòng đời dịch vụ và sản phẩm công nghệ
GV.SC-10: Kế hoạch quản lý rủi ro chuỗi cung ứng an ninh mạng bao gồm các điều khoản cho các hoạt động diễn ra sau
khi ký kết thỏa thuận hợp tác hoặc dịch vụ
Vai trò, Trách nhiệm và Quyền hạn (GV.RR):

Vai trò, trách nhiệm và thẩm quyền về an ninh mạng nhằm thúc đẩy
trách nhiệm giải trình, đánh giá hiệu suất và cải tiến liên
tục được thiết lập và truyền đạt (trước đây là ID.GV-02)
GV.RR-01: Ban lãnh đạo tổ chức chịu trách nhiệm và chịu trách nhiệm về rủi ro an ninh mạng, đồng thời nuôi dưỡng
văn hóa nhận thức rủi ro, có đạo đức và liên tục cải tiến
GV.RR-02: Vai trò, trách nhiệm và quyền hạn liên quan đến quản lý rủi ro an ninh mạng được thiết lập, truyền đạt, hiểu
và thực thi (trước đây là ID.AM-06, ID.GV-02, DE.DP-01)
GV.RR-03: Nguồn lực đầy đủ được phân bổ tương xứng với chiến lược, vai trò, trách nhiệm và chính sách về rủi ro
an ninh mạng
GV.RR-04: An ninh mạng được đưa vào hoạt động nhân sự (trước đây là PR.IP-11)
Chính sách, quy trình và thủ tục (GV.PO): Các chính

sách, quy trình và thủ tục về an ninh mạng của tổ chức
được thiết lập, truyền đạt và thực thi
32
GV.PO-01: Các chính sách, quy trình, thủ tục quản lý rủi ro an ninh mạng được thiết lập dựa trên bối
cảnh tổ chức, chiến lược và ưu tiên an ninh mạng và được truyền đạt và thực thi (trước đây là ID.GV-01)
GV.PO-02: Chính sách, quy trình, thủ tục quản lý rủi ro an ninh mạng được xem xét, cập nhật, truyền
đạt và thực thi để phản ánh những thay đổi về yêu cầu, mối đe dọa, công nghệ và sứ mệnh của tổ chức
Giám sát (GV.OV): Kết quả của các hoạt động và hiệu
suất quản lý rủi ro an ninh mạng trên toàn tổ chức được sử
dụng để thông báo, cải thiện và điều chỉnh chiến lược
quản lý rủi ro
GV.OV-01: Kết quả chiến lược quản lý rủi ro an ninh mạng được xem xét để cung cấp thông tin và điều chỉnh chiến
lược, định hướng
GV.OV-02: Chiến lược quản lý rủi ro an ninh mạng được xem xét và điều chỉnh để đảm bảo bao phủ các
yêu cầu và rủi ro của tổ chức
GV.OV-03: Hiệu suất quản lý rủi ro an ninh mạng của tổ chức được đo lường và xem xét để xác nhận
và điều chỉnh định hướng chiến lược
Bảng 6. NHẬN DẠNG (ID): Giúp xác định rủi ro an ninh mạng hiện tại đối với tổ chức
Quản lý tài sản (ID.AM): Tài sản (ví dụ: dữ liệu, phần mềm
phần cứng, hệ thống, cơ sở vật chất, dịch vụ, con người)
giúp tổ chức đạt được mục đích kinh doanh được xác định và
quản lý nhất quán với tầm quan trọng tương đối của
chúng đối với mục tiêu của tổ chức và chiến lược rủi ro của tổ chức
ID.AM-01: Kho phần cứng do tổ chức quản lý được duy trì
ID.AM-02: Kho phần mềm, dịch vụ và hệ thống do tổ chức quản lý được duy trì
ID.AM-03: Các đại diện về giao tiếp mạng được ủy quyền của tổ chức và các luồng dữ liệu mạng nội
bộ và bên ngoài được duy trì (trước đây là ID.AM-03, DE.AE-01)
ID.AM-04: Hàng tồn kho dịch vụ do nhà cung cấp cung cấp được duy trì
33
ID.AM-05: Tài sản được ưu tiên dựa trên phân loại, mức độ quan trọng, nguồn lực và tác động đến sứ mệnh
ID.AM-06: Đã loại bỏ (chuyển sang GV.RR-02, GV.SC-02)
ID.AM-07: Kho dữ liệu và siêu dữ liệu tương ứng cho các loại dữ liệu được chỉ định được duy trì
ID.AM-08: Hệ thống, phần cứng, phần mềm và dịch vụ được quản lý trong suốt vòng đời của chúng (trước đây là
PR.DS-03, PR.IP-02, PR.MA-01, PR.MA-02)
Môi trường kinh doanh (ID.BE): Đã bỏ (chuyển sang GV.OC)
ID.BE-01: Đã loại bỏ (chuyển sang GV.OC-05)
ID.BE-04: Đã loại bỏ (chuyển sang GV.OC-04, GV.OC-05)
Quản trị (ID.GV): Bỏ (chuyển sang GV)
ID.GV-01: Đã loại bỏ (chuyển sang GV.PO)
ID.GV-02: Đã loại bỏ (chuyển sang GV.RR-02)
ID.GV-03: Đã loại bỏ (chuyển sang GV.OC-03)
ID.GV-04: Đã loại bỏ (chuyển sang GV.RM-03)
Đánh giá rủi ro (ID.RA): Tổ chức hiểu rủi ro an ninh mạng đối
với tổ chức, tài sản và cá nhân.
ID.RA-01: Các lỗ hổng trong tài sản được xác định, xác thực và ghi lại (trước đây là ID.RA-01, PR.IP-12,
DE.CM-08)
ID.RA-02: Nhận thông tin về mối đe dọa mạng từ các diễn đàn và nguồn chia sẻ thông tin
ID.RA-03: Các mối đe dọa bên trong và bên ngoài đối với tổ chức được xác định và ghi lại
ID.RA-04: Các tác động tiềm tàng và khả năng xảy ra các mối đe dọa khai thác lỗ hổng được xác định và ghi lại
ID.RA-05: Các mối đe dọa, lỗ hổng, khả năng và tác động được sử dụng để xác định rủi ro và thông báo mức độ
ưu tiên rủi ro
34
ID.RA-06: Phản hồi rủi ro được chọn từ các tùy chọn có sẵn, ưu tiên, lập kế hoạch, theo dõi và truyền
đạt (trước đây là ID.RA-06, RS.MI-03)
ID.RA-07: Các thay đổi và ngoại lệ được quản lý, đánh giá tác động rủi ro, ghi lại và theo dõi (trước đây là một
phần của PR.IP-03)
ID.RA-08: Các quy trình tiếp nhận, phân tích và phản hồi thông tin về lỗ hổng bảo mật được thiết lập (trước đây
là RS.AN-05)
ID.RA-09: Tính xác thực và tính toàn vẹn của phần cứng và phần mềm được đánh giá trước khi mua và sử dụng
(trước đây là PR.DS-08)
Chiến lược quản lý rủi ro (ID.RM): Bỏ (chuyển sang GV.RM)
ID.RM-01: Đã loại bỏ (chuyển sang GV.RM-01)
Quản lý rủi ro chuỗi cung ứng (ID.SC): Đã bỏ (chuyển sang GV.SC)
ID.SC-01: Đã loại bỏ (chuyển sang GV.SC-01)
ID.SC-02: Đã loại bỏ (chuyển sang GV.SC-03, GV.SC-07)
ID.SC-05: Đã loại bỏ (chuyển sang GV.SC-08, ID.IM-02)
Cải tiến (ID.IM): Các cải tiến đối với quy trình, thủ tục và
hoạt động quản lý rủi ro an ninh mạng của tổ chức được xác
định trên tất cả các Chức năng khung
ID.IM-01: Đánh giá liên tục được áp dụng để xác định các cải tiến
ID.IM-02: Các cuộc kiểm tra và diễn tập bảo mật, bao gồm cả những cuộc kiểm tra và thực hiện phối hợp với nhà cung cấp và
các bên thứ ba có liên quan, được tiến hành để xác định các cải tiến (trước đây là ID.SC-05, PR.IP-10, DE.DP-03)
35
ID.IM-03: Bài học kinh nghiệm trong quá trình thực hiện các quy trình, thủ tục và hoạt động vận hành được sử
dụng để xác định các cải tiến (trước đây là PR.IP-07, PR.IP-08, DE.DP-05, RS.IM-01, RS .IM-02, RC.IM-01, RC.IM
02)
ID.IM-04: Các kế hoạch an ninh mạng ảnh hưởng đến hoạt động được truyền đạt, duy trì và cải thiện (trước
đây là PR.IP-09)
Bảng 7. PROTECT (PR): Sử dụng các biện pháp bảo vệ để ngăn chặn hoặc giảm thiểu rủi ro an ninh mạng
Quản lý danh tính, xác thực và kiểm soát truy cập (PR.AA): Quyền
truy cập vào tài sản vật lý và logic được giới hạn ở
người dùng, dịch vụ và phần cứng được ủy quyền và được quản
lý tương xứng với rủi ro truy cập trái phép đã được đánh giá
(trước đây là PR.AC)
PR.AA-01: Danh tính và thông tin xác thực của người dùng, dịch vụ và phần cứng được ủy quyền do tổ chức
quản lý (trước đây là PR.AC-01)
PR.AA-02: Danh tính được chứng minh và ràng buộc với thông tin xác thực dựa trên bối cảnh tương tác (trước đây
là PR.AC-06)
PR.AA-03: Người dùng, dịch vụ và phần cứng được xác thực (trước đây là PR.AC-03, PR.AC-07)
PR.AA-04: Xác nhận danh tính được bảo vệ, truyền tải và xác minh
PR.AA-05: Quyền truy cập, quyền lợi và ủy quyền được xác định trong chính sách, được quản lý, thực thi và xem
xét, đồng thời kết hợp các nguyên tắc về đặc quyền tối thiểu và phân chia nhiệm vụ (trước đây là PR.AC-01,
PR.AC-03 , PR.AC-04)
PR.AA-06: Quyền truy cập vật lý vào tài sản được quản lý, giám sát và thực thi tương xứng với rủi ro (trước đây
là PR.AC-02, PR.PT-04)
Quản lý danh tính, xác thực và kiểm soát truy cập (PR.AC):
Đã bỏ (chuyển sang PR.AA)
PR.AC-01: Đã loại bỏ (chuyển sang PR.AA-01, PR.AA-05)
PR.AC-02: Đã loại bỏ (chuyển sang PR.AA-06)
PR.AC-03: Đã loại bỏ (đã chuyển sang PR.AA-03, PR.AA-05, PR.IR-01)
36
PR.AC-05: Đã loại bỏ (chuyển sang PR.IR-01)
Nhận thức và đào tạo (PR.AT): Nhân viên của tổ chức được cung
cấp nhận thức và đào tạo về an ninh mạng để họ có thể thực hiện các
nhiệm vụ liên quan đến an ninh mạng của mình
PR.AT-01: Người dùng được cung cấp nhận thức và đào tạo để họ có kiến thức và kỹ năng để thực hiện các nhiệm vụ chung
có lưu ý đến rủi ro bảo mật (trước đây là PR.AT-01, PR.AT-03, RS.CO-01)
PR.AT-02: Các cá nhân có vai trò chuyên môn được cung cấp nhận thức và đào tạo để họ có kiến thức và kỹ năng
để thực hiện các nhiệm vụ liên quan với lưu ý đến rủi ro bảo mật (trước đây là PR.AT-02, PR.AT-03, PR.AT-04 , PR.AT-05)
PR.AT-03: Đã loại bỏ (đã chuyển sang PR.AT-01, PR.AT-02)
PR.AT-04: Đã bỏ (chuyển sang PR.AT-02)
PR.AT-05: Đã bỏ (chuyển sang PR.AT-02)
Bảo mật dữ liệu (PR.DS): Dữ liệu được quản lý phù hợp với chiến
lược rủi ro của tổ chức để bảo vệ tính bảo mật, tính toàn vẹn
và tính sẵn có của thông tin
PR.DS-01: Tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu ở trạng thái lưu trữ được bảo vệ (trước đây là
PR.DS-01, PR-DS.05, PR.DS-06, PR.PT-02)
PR.DS-02: Tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu đang truyền được bảo vệ (trước đây là PR.DS 02,
PR.DS-05)
PR.DS-03: Đã loại bỏ (đã chuyển sang ID.AM-08)
PR.DS-04: Đã loại bỏ (chuyển sang PR.IR-04)
PR.DS-05: Đã loại bỏ (đã chuyển sang PR.DS-01, PR-DS-02, PR.DS-10)
PR.DS-06: Đã loại bỏ (đã chuyển sang PR.DS-01, DE.CM-09)
PR.DS-07: Đã loại bỏ (đã chuyển sang PR.IR-01)
37
PR.DS-08: Đã loại bỏ (chuyển sang ID.RA-09, DE.CM-09)
PR.DS-09: Dữ liệu được quản lý trong suốt vòng đời của nó, bao gồm cả việc hủy bỏ (trước đây là PR.IP-06)
PR.DS-10: Tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu đang sử dụng được bảo vệ (trước đây là PR.DS-05)
PR.DS-11: Bản sao lưu dữ liệu được tạo, bảo vệ, duy trì và kiểm tra (trước đây là PR.IP-04)
Quy trình và thủ tục bảo vệ thông tin (PR.IP): Đã loại bỏ (đã
chuyển sang Danh mục và Chức năng khác)
PR.IP-01: Đã loại bỏ (đã chuyển sang PR.PS-01)
PR.IP-02: Đã loại bỏ (đã chuyển sang ID.AM-08)
PR.IP-03: Đã loại bỏ (đã chuyển sang PR.PS-01, ID.RA-07)
PR.IP-04: Đã loại bỏ (chuyển sang PR.DS-11)
PR.IP-05: Đã loại bỏ (đã chuyển sang PR.IR-02)
PR.IP-06: Đã loại bỏ (chuyển sang PR.DS-09)
PR.IP-07: Đã loại bỏ (đã chuyển sang ID.IM-03)
PR.IP-11: Đã loại bỏ (đã chuyển sang GV.RR-04)
PR.IP-12: Đã loại bỏ (đã chuyển sang ID.RA-01, PR.PS-02)
Bảo trì (PR.MA): Đã bỏ (chuyển sang ID.AM-08)
PR.MA-01: Đã loại bỏ (đã chuyển sang ID.AM-08, PR.PS-03)
PR.MA-02: Đã loại bỏ (đã chuyển sang ID.AM-08, PR.PS-02)
Công nghệ bảo vệ (PR.PT): Đã loại bỏ (chuyển sang Danh mục bảo
vệ khác)
PR.PT-01: Đã loại bỏ (chuyển sang PR.PS-04)
PR.PT-02: Đã loại bỏ (chuyển sang PR.DS-01, PR.PS-01)
38
PR.PT-03: Đã loại bỏ (chuyển sang PR.PS-01)
PR.PT-04: Đã loại bỏ (chuyển sang PR.AA-07, PR.IR-01)
PR.PT-05: Đã loại bỏ (chuyển sang PR.IR-04)
Bảo mật nền tảng (PR.PS): Phần cứng, phần mềm (ví dụ: chương
trình cơ sở, hệ điều hành, ứng dụng) và dịch vụ của nền tảng
vật lý và ảo được quản lý nhất quán với chiến lược rủi ro của
tổ chức để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn
sàng của chúng
PR.PS-01: Áp dụng các biện pháp quản lý cấu hình (trước đây là PR.IP-01, PR.IP-03, PR.PT-02, PR.PT-03)
PR.PS-02: Phần mềm được bảo trì, thay thế và gỡ bỏ tương ứng với rủi ro (trước đây là PR.IP-12, PR.MA-02)
PR.PS-03: Phần cứng được bảo trì, thay thế và loại bỏ tương ứng với rủi ro (trước đây là PR.MA-01)
PR.PS-04: Bản ghi nhật ký được tạo và cung cấp để theo dõi liên tục (trước đây là PR.PT-01)
PR.PS-05: Ngăn chặn việc cài đặt và thực thi phần mềm trái phép
PR.PS-06: Các phương pháp phát triển phần mềm an toàn được tích hợp và hiệu suất của chúng được giám
sát trong suốt vòng đời phát triển phần mềm
Khả năng phục hồi cơ sở hạ tầng công nghệ (PR.IR): Kiến

trúc bảo mật được quản lý bằng chiến lược rủi ro của tổ chức
để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài sản cũng
như khả năng phục hồi của tổ chức
PR.IR-01: Mạng và môi trường được bảo vệ khỏi việc truy cập và sử dụng logic trái phép (trước đây là PR.AC-03,
PR.AC-05, PR.DS-07, PR.PT-04)
PR.IR-02: Tài sản công nghệ của tổ chức được bảo vệ khỏi các mối đe dọa từ môi trường (trước đây là PR.IP 05)
PR.IR-03: Các cơ chế được triển khai nhằm đạt được yêu cầu về khả năng phục hồi trong các tình huống bình thường và bất
lợi (trước đây là PR.PT-05)
PR.IR-04: Năng lực nguồn lực phù hợp để đảm bảo duy trì tính sẵn sàng (trước đây là PR.DS-04)
39
Bảng 8. DETECT (DE): Tìm và phân tích các cuộc tấn công và xâm phạm an ninh mạng có thể xảy ra
Giám sát liên tục (DE.CM): Tài sản được giám sát để tìm ra những
điểm bất thường, các dấu hiệu xâm phạm và các sự kiện bất lợi tiềm ẩn
khác
DE.CM-01: Mạng và dịch vụ mạng được giám sát để tìm ra các sự kiện bất lợi tiềm ẩn (trước đây là DE.CM-01,
DE.CM-04, DE.CM-05, DE.CM-07)
DE.CM-02: Giám sát môi trường vật lý để phát hiện các biến cố bất lợi tiềm ẩn
DE.CM-03: Hoạt động nhân sự và việc sử dụng công nghệ được giám sát để tìm ra các sự kiện bất lợi có thể xảy ra
(trước đây là DE.CM-03, DE.CM-07)
DE.CM-04: Đã loại bỏ (chuyển sang DE.CM-01, DE.CM-09)
DE.CM-05: Đã loại bỏ (chuyển sang DE.CM-01, DE.CM-09)
DE.CM-06: Các hoạt động và dịch vụ của nhà cung cấp dịch vụ bên ngoài được giám sát để tìm ra các sự kiện bất lợi tiềm
ẩn (trước đây là DE.CM-06, DE.CM-07)
DE.CM-07: Đã loại bỏ (chuyển sang DE.CM-01, DE.CM-03, DE.CM-06, DE.CM-09)
DE.CM-08: Đã loại bỏ (chuyển sang ID.RA-01)
DE.CM-09: Phần cứng và phần mềm máy tính, môi trường thời gian chạy và dữ liệu của chúng được theo dõi để tìm ra các
sự kiện bất lợi tiềm ẩn (trước đây là PR.DS-06, PR.DS-08, DE.CM-04, DE.CM-05, DE.CM-07)
Phân tích sự kiện bất lợi (DE.AE): Các điểm bất thường, dấu hiệu
xâm phạm và các sự kiện bất lợi tiềm ẩn khác được phân tích để mô tả
đặc điểm của sự kiện và phát hiện sự cố an ninh mạng
(trước đây là DE.AE, DE.DP-02)
DE.AE-01: Đã bỏ (chuyển sang ID.AM-03)
DE.AE-02: Các biến cố bất lợi có thể xảy ra được phân tích để hiểu rõ hơn về các hoạt động liên quan
DE.AE-03: Thông tin được tương quan từ nhiều nguồn
DE.AE-04: Tác động và phạm vi ước tính của các biến cố bất lợi được xác định
DE.AE-05: Đã loại bỏ (chuyển sang DE.AE-08)
DE.AE-06: Thông tin về các tác dụng phụ được cung cấp cho nhân viên và công cụ được ủy quyền (trước đây là DE.DP-04)
40
DE.AE-07: Thông tin về mối đe dọa mạng và thông tin theo ngữ cảnh khác được tích hợp vào phân tích
DE.AE-08: Sự cố được khai báo khi các sự cố bất lợi đáp ứng các tiêu chí sự cố đã xác định (trước đây là DE.AE
05)
Quá trình phát hiện (DE.DP): Đã loại bỏ (được chuyển sang

Danh mục và Chức năng khác)
DE.DP-01: Đã loại bỏ (chuyển sang GV.RR-02)
DE.DP-02: Đã bỏ (chuyển sang DE.AE)
DE.DP-03: Đã bỏ (đã chuyển sang ID.IM-02)
DE.DP-04: Đã bỏ (chuyển sang DE.AE-06)
DE.DP-05: Đã bỏ (đã chuyển sang ID.IM-03)
Bảng 9. PHẢN HỒI (RS): Thực hiện hành động liên quan đến sự cố an ninh mạng được phát hiện
Lập kế hoạch ứng phó (RS.RP): Đã bỏ (chuyển sang RS.MA)
RS.RP-01: Đã loại bỏ (chuyển sang RS.MA-01)
Quản lý sự cố (RS.MA): Quản lý phản hồi đối với các sự cố

an ninh mạng được phát hiện (trước đây là RS.RP)
RS.MA-01: Kế hoạch ứng phó sự cố được thực hiện sau khi sự cố được khai báo với sự phối hợp của các bên thứ ba
có liên quan (trước đây là RS.RP-01, RS.CO-04)
RS.MA-02: Báo cáo sự cố được phân loại và xác thực (trước đây là RS.AN-01, RS.AN-02)
RS.MA-03: Sự cố được phân loại và ưu tiên (trước đây là RS.AN-04, RS.AN-02)
RS.MA-04: Sự cố được chuyển cấp hoặc nâng cao khi cần thiết (trước đây là RS.AN-02, RS.CO-04)
RS.MA-05: Áp dụng tiêu chí bắt đầu khắc phục sự cố
41
Phân tích Sự cố (RS.AN): Việc điều tra được tiến hành để đảm bảo ứng
phó hiệu quả và hỗ trợ các hoạt động điều tra cũng như phục hồi
RS.AN-01: Đã loại bỏ (chuyển sang RS.MA-02)
RS.AN-02: Đã loại bỏ (đã chuyển sang RS.MA-02, RS.MA-03, RS.MA-04)
RS.AN-03: Phân tích được thực hiện để xác định điều gì đã xảy ra trong sự cố và nguyên nhân cốt lõi của sự cố
RS.AN-04: Đã loại bỏ (chuyển sang RS.MA-03)
RS.AN-05: Đã loại bỏ (đã chuyển sang ID.RA-08)
RS.AN-06: Các hành động được thực hiện trong quá trình điều tra được ghi lại và tính toàn vẹn cũng như nguồn gốc
của hồ sơ được bảo toàn (trước đây là một phần của RS.AN-03)
RS.AN-07: Dữ liệu sự cố và siêu dữ liệu được thu thập và tính toàn vẹn cũng như nguồn gốc của chúng được bảo toàn
RS.AN-08: Mức độ sự cố được ước tính và xác thực
Báo cáo và Truyền thông Ứng phó Sự cố (RS.CO): Các hoạt động
ứng phó được phối hợp với các bên liên quan bên trong và bên ngoài theo
yêu cầu của pháp luật, quy định hoặc chính sách
RS.CO-01: Đã loại bỏ (chuyển sang PR.AT-01)
RS.CO-02: Các bên liên quan trong và ngoài công ty được thông báo về sự cố
RS.CO-03: Thông tin được chia sẻ với các bên liên quan được chỉ định bên trong và bên ngoài (trước đây là RS.CO-03, RS.CO-05)
RS.CO-04: Đã loại bỏ (chuyển sang RS.MA-01, RS.MA-04)
RS.CO-05: Đã loại bỏ (chuyển sang RS.CO-03)
Giảm thiểu sự cố (RS.MI): Các hoạt động được thực hiện để ngăn chặn
sự mở rộng của một sự kiện và giảm thiểu tác động của nó
RS.MI-01: Sự cố được ngăn chặn
RS.MI-02: Sự cố được loại bỏ
42
RS.MI-03: Đã loại bỏ (đã chuyển sang ID.RA-06)
Cải tiến (RS.IM): Đã bỏ (chuyển sang ID.IM)
RS.IM-01: Đã loại bỏ (đã chuyển sang ID.IM-03)
RS.IM-02: Đã loại bỏ (đã chuyển sang ID.IM-03)
Bảng 10. PHỤC HỒI (RC): Khôi phục tài sản và hoạt động bị ảnh hưởng bởi sự cố an ninh mạng
Thực thi kế hoạch khôi phục sự cố (RC.RP): Các hoạt động

khôi phục được thực hiện để đảm bảo tính sẵn sàng hoạt động
của các hệ thống và dịch vụ bị ảnh hưởng bởi sự cố an ninh mạng
RC.RP-01: Phần khôi phục của kế hoạch ứng phó sự cố được thực thi sau khi bắt đầu từ quá trình ứng phó sự cố
RC.RP-02: Các hành động khôi phục được xác định, xác định phạm vi, ưu tiên và thực hiện
RC.RP-03: Tính toàn vẹn của bản sao lưu và các tài sản khôi phục khác được xác minh trước khi sử dụng chúng để khôi phục
RC.RP-04: Các chức năng nhiệm vụ quan trọng và quản lý rủi ro an ninh mạng được coi là thiết lập các tiêu
chuẩn vận hành sau sự cố
RC.RP-05: Tính toàn vẹn của tài sản được khôi phục được xác minh, hệ thống và dịch vụ được khôi phục và trạng thái
hoạt động bình thường được xác nhận
RC.RP-06: Áp dụng tiêu chí xác định thời điểm kết thúc khắc phục sự cố và hoàn thiện hồ sơ liên quan đến
sự cố
Truyền thông Phục hồi Sự cố (RC.CO): Các hoạt động khôi phục
được phối hợp với các bên nội bộ và bên ngoài
RC.CO-01: Đã bỏ (chuyển sang RC.CO-04)
RC.CO-02: Đã bỏ (chuyển sang RC.CO-04)
RC.CO-03: Các hoạt động khôi phục và tiến độ khôi phục năng lực vận hành được thông báo tới các bên liên
quan được chỉ định trong nội bộ và bên ngoài
43
RC.CO-04: Các cập nhật công khai về khắc phục sự cố được chia sẻ hợp lý bằng các phương pháp và thông báo đã được phê
duyệt (trước đây là RC.CO-01, RC.CO-02)
Cải tiến (RC.IM): Đã loại bỏ (đã chuyển sang ID.IM)
RC.IM-01: Đã loại bỏ (đã chuyển sang ID.IM-03)
RC.IM-02: Đã loại bỏ (đã chuyển sang ID.IM-03)
44

NIST CSWP 29 Ipd

Uploaded by

Copyright:

Available Formats

You might also like

NIST CSWP 29 Ipd

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NIST CSWP 29 Ipd

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

chuẩn và Công nghệ Quốc gia

Lưu ý cho người đánh giá

tham gia từ 69 quốc gia)

tham gia từ 100 quốc gia)

Trưởng chương trình khung an ninh mạng của NIST

• Nhận thức được việc sử dụng rộng rãi Khung này:

mạng cơ sở hạ tầng quan trọng” ban đầu.

• Liên kết CSF với các Khung và tài nguyên khác:

• Tăng cường hướng dẫn thực hiện CSF:

để đạt được các Hạng mục con CSF.

• Nhấn mạnh quản trị an ninh mạng:

• Làm rõ hiểu biết về đo lường, đánh giá an ninh mạng:

Khung bảo mật không

Dự thảo công khai ban đầu

Viện Tiêu chuẩn và Công nghệ

Ấn bản này được cung cấp miễn phí tại: https://doi.org/

Ngày 8 tháng 8 năm 2023

Chính sách chuỗi kỹ thuật của NIST

Tuyên bố về bản quyền, sử dụng và cấp phép

Giai đoạn bình luận công khai

Ngày 8 tháng 8 năm 2023 – ngày 4 tháng 11 năm 2023

Gửi bình luận

Viện Tiêu chuẩn và Công nghệ

22 Tóm tắt điều hành.................................................................. ................................................................. ...................1

23 Giới thiệu ................................................. ................................................................. ......................2

24 Khán giả ................................................. ................................................................. ............3

25 Cấu trúc tài liệu................................................................................. ................................................................. ........4

26 Tìm hiểu về lõi khung................................................................. ...................................4

27 Chức năng, danh mục và tiểu mục................................................................. ............5

28 Ví dụ triển khai và tài liệu tham khảo.................................................. .......7

29 Sử dụng khung................................................................................. ................................................................. .........số 8

30 Tạo và sử dụng Cấu hình khung để hiểu, đánh giá, ưu tiên và

35 ...................................... ................................................................. ...................................14

khung .................................... ................................................................. ............18

41 Bước tiếp theo................................................ ................................................................. ............21

42 Phụ lục A. Mẫu hồ sơ và kế hoạch hành động................................................. ............23

43 A.1. Mẫu hồ sơ tổ chức danh nghĩa.................................................................. ............23

44 A.2. Mẫu kế hoạch hành động danh nghĩa.................................................. ...................................24

45 Phụ lục B. Mô tả bậc khung................................................................. ......................26

46 Phụ lục C. Khung lõi .................................................... .................................................29

47 Danh sách các bảng

48 Bảng 1. Mẫu hồ sơ tổ chức danh nghĩa.................................................. .................................23

60 Danh sách các hình

61 Hình 1. Cốt lõi của Khung An ninh mạng .................................................... ...................................5

69 Tóm tắt điều hành

105 • Hiểu và đánh giá:

120 • Giao tiếp:

144 Khán giả

159 Cấu trúc tài liệu

171 • Phụ lục B mô tả các Bậc Khung.

172 • Phụ lục C cung cấp Framework Core.

173 Hiểu cốt lõi của khung

189 Chức năng, danh mục và danh mục con

năm Chức năng còn lại như thế nào.

244 Ví dụ triển khai và tài liệu tham khảo thông tin

275 Sử dụng khung

313 Có hai loại Hồ sơ: