美国NIST《网络安全框架》中文版.docx

（水平有限，翻译粗糙，仅供参考） 为改善关键基础设施网络平安框架 Version 1.0 国家标准与技术争辩所 February12, 2014 February12, 2014Version 1.0网络平安框架 February12, 2014 Version 1.0 网络平安框架 TableofContents ExecutiveSummary 1 1.0 Framework Introduction 3 2.0 FrameworkBasics 7 3.0 HowtoUsetheFramework 13 AppendixA:FrameworkCore 18 AppendixB:Glossary 37 AppendixC:Acronyms 39 ListofFigures HYPERLINK \l “_TOC_250002“ Figure1:FrameworkCoreStructure 7 HYPERLINK \l “_TOC_250001“ Figure2:NotionalInformationandDecisionFlowswithinanOrganization 12 ListofTables HYPERLINK \l “_TOC_250000“ Table1:FunctionandCategoryUniqueIdentifiers 19 Table2:FrameworkCore 20 ii February12, 2014Version 1.0网络平安框架 February12, 2014 Version 1.0 网络平安框架 PAGE PAGE 10 执行摘要 美国的国家平安和经济平安取决于关键基础设施的牢靠运作的。网络平安威逼攻击日益简单和关键基础设施系统的连接，把国家的平安，经济，风险公众平安和健康。类似的财务和声誉风险，网络平安风险影响到公司的底线。它可以驱动多达费用及影响收入。它可能会损害一个组织的创新，以获得并保持客户的力量。 为了更好地解决这些风险，总统于 2013 年 2 月 12 日，其中规定“[I] t 是美国的政策，加强国家的平安和弹性颁布行政命令 13636，”改善关键基础设施的网络平安。“关键基础设施和维护，鼓舞高效，创新，和经济富强，同时促进平安，保安，商业机密，隐私和公民自由。“在制定这项政策的网络环境，执行命令为自愿风险的进展需要基于网络平安框架 - 一套行业标准和最佳实践，挂念企业管理网络平安风险。由此产生的框架，通过政府和私营部门之间的合作创建的，使用共同的语言，无需放置额外的监管要求，对企业在依据业务需要具有成本效益的方式处理和管理网络平安风险。 该框架着重于使用业务驱动因素，以指导网络平安的活动，并考虑网络平安风险，组织风 险管理程序的一部分。该框架由三部分组成：核心框架，该框架配置文件和框架实施层级。该框架的核心是一套网络平安的活动，成果，和翔实的参考资料是通用的重要基础设施行 业，为进展个人组织档案的具体指导。通过使用配置文件中，该框架将挂念组织调整其网 络平安的活动，其业务需求，风险承受力量和资源。各层供应一个机制，组织查看和了解 他们的方法来管理网络平安风险的特性。 该行政命令还要求该框架包括一个方法来爱护个人隐私和公民自由时，重要的基础设施组织开展网络平安的活动。虽然流程和现有的需求会有所不同，该框架能够挂念组织整合的隐私和公民自由的全面网络平安方案的一部分。 该框架使组织 - 无论大小，网络平安风险程度，或网络平安的简单性 - 原则和风险管理的最佳实践应用到改善关键基础设施的平安性和弹性。该框架供应了组织和结构到今日的多种途径，以网络平安组装标准，准则和做法，如今正在有效地业。此外，由于它引用了全球公认的标准，网络平安，该框架还可以用于由位于美国以外的组织，可以作为一个典范加强关键基础设施的网络平安国际合作。 该框架是不是一个尺寸适合全部人的方法来管理网络平安风险的关键基础设施。组织将继 续有独特的风险 - 不同的威逼，不同的弱点，不同的风险承受力量 - 以及他们如何实施该框架的行为会有所不同。组织可以打算是很重要的关键服务活动，并可以优先考虑投资，以最大限度地度过每一美元的影响。最终，该框架旨在削减和更好地管理网络平安风险。 该框架是一个活的文件，并会连续进行更新和改善，产业供应了执行的反馈。在架构上付诸实践，阅历教训将被整合到将来版本。这将确保它满足关键基础设施的业主和运营商的需求在新的威逼，风险和解决方案，一个布满活力和挑战性的环境。 使用这种自愿框架是下一步要提高我们国家的关键基础设施的网络平安 - 为个别组织的指导，同时增加了国家的关键基础设施作为一个整体的网络平安态势。 1.0 框架简介 美国的国家平安和经济平安取决于关键基础设施的牢靠运作的