信息安全手册：网络安全原则

网络安全原则的目的

网络安全原则的目的是为组织如何保护其信息技术和运营技术系统、应用程序和数据免受网络威胁提供战略指导。这些网络安全原则分为五大功能：

• 治理：发展强大的网络安全文化。

• 识别：识别资产和相关的安全风险。

• 保护：实施控制措施来管理安全风险。

• 检测：检测和分析网络安全事件，以识别网络安全事件。

• 响应：应对网络安全事件并从中恢复。

治理原则

治理原则为：

• 治理-1：首席信息安全官负责领导和监督网络安全。

• 治理-2：系统、应用程序和数据的安全风险管理活动嵌入到组织风险管理框架中。

• 治理-3：系统、应用程序和数据的安全风险在获得使用授权之前就被接受，并且在其整个运行生命周期内持续被接受。

识别原则

识别原则为：

• 识别-1：确定并记录系统、应用程序和数据的业务关键性。

• 识别-2：确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。

• 识别-3：识别并记录系统、应用程序和数据的安全风险。

保护原则

保护原则是：

• 保护-1：系统和应用程序根据其业务关键性及其机密性、完整性和可用性要求进行设计、部署、维护和退役。

• 保护-2：系统和应用程序由值得信赖的供应商交付和支持。

• 保护-3：系统和应用程序的设计和配置可以减少其攻击面。

• 保护-4：系统、应用程序和数据以安全和可靠的方式进行管理。

• 保护-5：及时识别并缓解系统和应用程序中的漏洞。

• 保护-6：只有受信任和支持的操作系统、应用程序和代码才能在系统上执行。

• 保护-7：数据在不同系统之间静止和传输时都经过加密。

• 保护-8：不同系统之间传递的数据受到控制和可检查。

• 保护-9：应用程序、设置和数据定期以安全且经过验证的方式备份。

• 保护-10：只有值得信任且经过审查的人员才被授予访问系统、应用程序和数据的权限。

• 保护-11：人员被授予履行其职责所需的系统、应用程序和数据的最低限度的访问权限。

• 保护-12：使用强大且安全的身份和访问管理来控制对系统、应用程序和数据的访问。

• 保护-13：为人员提供持续的网络安全意识培训。

• 保护-14：只有授权人员才能物理访问系统、支持基础设施和设施。

检测原理

检测原理是：

• 检测-1：及时收集和分析事件日志，以检测网络安全事件。

• 检测-2：及时分析网络安全事件，识别网络安全事故。

响应原则

应对原则为：

• 响应-1：及时向内部和外部相关机构和利益相关者报告网络安全事件。

• 响应-2：及时分析、控制、消除和恢复网络安全事件。

• 响应-3：事件响应、业务连续性和灾难恢复计划支持网络安全事件期间和之后恢复正常业务运营。

成熟度建模

在实施网络安全原则时，组织可以使用以下成熟度模型来评估单个原则、单个功能或整个网络安全原则的实施情况。成熟度模型的五个级别是：

• 不完整：网络安全原则部分实施或尚未实施。

• 初始：网络安全原则已得到实施，但方式不佳或不太规范。

• 发展：网络安全原则已得到充分实施，但具体实施需根据具体项目而定。

• 管理：网络安全原则被确立为标准业务实践，并在整个组织中大力实施。

• 优化：在整个组织中实施网络安全原则时，刻意注重优化和持续改进。

—