网络安全原则的目的是为组织如何保护其系统和数据免受网络威胁提供战略指导。这些网络安全原则分为四个关键活动:治理、保护、检测和响应。
治理: 识别和管理安全风险。
保护: 实施安全控制以降低安全风险。
检测: 检测和了解网络安全事件。
响应: 响应网络安全事件并从中恢复。
G1: 首席信息安全官负责领导和监督网络安全。
G2: 确定并记录系统、应用程序和数据的身份和价值。
G3: 确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。
G4: 安全风险管理流程嵌入到组织风险管理框架中。
G5: 在系统和应用程序被授权使用之前,以及在整个运行生命周期中,安全风险都会被识别、记录、管理和接受。
P1: 系统和应用程序根据其价值及其机密性、完整性和可用性要求进行设计、部署、维护和退役。
P2: 系统和应用程序由值得信赖的供应商交付和支持。
P3: 系统和应用程序配置为减少其攻击面。
P4: 系统和应用程序以安全、负责和可审计的方式进行管理。
P5: 及时识别和缓解系统和应用程序中的安全漏洞。
P6: 只有受信任和支持的操作系统、应用程序和计算机代码才能在系统上执行。
P7: 数据在不同系统之间静态加密和传输。
P8: 不同系统之间通信的数据是受控的、可检查的和可审计的。
P9: 数据、应用程序和配置设置会定期以安全且经过验证的方式进行备份。
P10: 只有经过信任和审查的人员才能访问系统、应用程序和数据存储库。
P11: 人员被授予对其职责所需的系统、应用程序和数据存储库的最低访问权限。
P12: 使用多种方法识别系统、应用程序和数据存储库的人员并对其进行身份验证。
P13: 为人员提供持续的网络安全意识培训。
P14: 对系统、支持基础设施和设施的物理访问仅限于授权人员。
D1: 及时检测、收集、关联和分析网络安全事件和异常活动。
响应原则(Respond principles)R1: 网络安全事件及时识别并向相关机构进行内部和外部报告。
R2: 网络安全事件得到及时控制、根除和恢复。
R3: 业务连续性和灾难恢复计划在需要时制定。
在实施网络安全原则时,组织可以使用以下成熟度模型来评估单个原则,原则组或整个网络安全原则的实施情况。成熟度模型中的五个级别是:
不完整: 网络安全原则要么部分实施,要么未实施。
首先: 网络安全原则得到实施,但以不良或临时的方式实施。
发展: 网络安全原则得到了充分的实施,但要逐个项目实施。
管理: 网络安全原则被确立为标准业务实践,并在整个组织中得到强有力的实施。
优化: 为了在整个组织中实施网络安全原则,有意识地关注优化和持续改进。
