美国NIST《网络安全框架》中文版.docxVIP

（水平有限，翻译粗糙，仅供参考） 为改善关键基础设施网络安全框架 Version 1.0 国家标准与技术研究所 February 12, 2014 February 12, 2014 网络安全框架 Version 1.0 ii Table of Contents TOC \o 1-1 \h \z \u  HYPERLINK \l _bookmark0 Executive Summary 1  HYPERLINK \l _bookmark1 1.0 Framework Introduction 3  HYPERLINK \l _bookmark4 2.0 Framework Basics 7  HYPERLINK \l _bookmark6 3.0 How to Use the Framework 13  HYPERLINK \l _bookmark7 Appendix A: Framework Core 18  HYPERLINK \l _TOC_250000 Appendix B: Glossary 37  HYPERLINK \l _bookmark8 Appendix C: Acronyms 39  List of Figures  HYPERLINK \l _bookmark4 Figure 1: Framework Core Structure 7  HYPERLINK \l _bookmark5 Figure 2: Notional Information and Decision Flows within an Organization 12 List of Tables Table 1: Function and Category Unique Identifiers 19 Table 2: Framework Core 20  PAGE 21 执行摘要 美国的国家安全和经济安全取决于关键基础设施的可靠运作的。网络安全威胁攻击日益复杂和关键基础设施系统的连接，把国家的安全，经济，风险公众安全和健康。类似的财务和声誉风险，网络安全风险影响到公司的底线。它可以驱动多达费用及影响收入。它可能会损害一个组织的创新，以获得并保持客户的能力。 为了更好地解决这些风险，总统于2013年2月12日，其中规定“[I] t是美国的政策，加强国家的安全和弹性颁布行政命令13636，”改善关键基础设施的网络安全。“关键基础设施和维护，鼓励高效，创新，和经济繁荣，同时促进安全，保安，商业机密，隐私和公民自由。“在制定这项政策的网络环境，执行命令为自愿风险的发展需要基于网络安全框架 - 一套行业标准和最佳实践，帮助企业管理网络安全风险。由此产生的框架，通过政府和私营部门之间的合作创建的，使用共同的语言，无需放置额外的监管要求，对企业在根据业务需要具有成本效益的方式处理和管理网络安全风险。 该框架着重于使用业务驱动因素，以指导网络安全的活动，并考虑网络安全风险，组织风险管理程序的一部分。该框架由三部分组成：核心框架，该框架配置文件和框架实施层级。该框架的核心是一套网络安全的活动，成果，和翔实的参考资料是通用的重要基础设施行业，为发展个人组织档案的详细指导。通过使用配置文件中，该框架将帮助组织调整其网络安全的活动，其业务需求，风险承受能力和资源。各层提供一个机制，组织查看和了解他们的方法来管理网络安全风险的特性。 该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时，重要的基础设施组织开展网络安全的活动。虽然流程和现有的需求会有所不同，该框架能够帮助组织整合的隐私和公民自由的全面网络安全计划的一部分。 该框架使组织 - 无论大小，网络安全风险程度，或网络安全的复杂性 - 原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种途径，以网络安全组装标准，准则和做法，如今正在有效地业。此外，因为它引用了全球公认的标准，网络安全，该框架还可以用于由位于美国以外的组织，可以作为一个典范加强关键基础设施的网络安全国际合作。 该框架是不是一个尺寸适合所有人的方法来管理网络安全风险的关键基础设施。组织将继续有独特的风险 - 不同的威胁，不同的弱点，不同的风险承受能力 - 以及他们如何实施该框架的行为会有所不同。组织可以决定是很重要的关键服务活动，并可以优先考虑投资，以最大限度地度过每一美元的影响。最终，该框架旨在减少和更好地管理网络安全风险。 该框架是一个活的文件，并会继续进行更新和改善，产业提供了执行的反馈。在架构上付诸实践，经验教训将被整合到未来版本。这将确保它满足关键基础设施的业主和运营商的需求在新的威胁，风险和解决方案，一个充满活力