网络安全框架CSF 2.0 核心与示例映射

---

安小圈

第618期

网络安全框架

治理

治理（GV）：建立、传达和监控组织的网络安全风险管理战略、期望和政策

·组织背景（GV.OC）：了解围绕组织网络安全风险管理决策的情况——使命、利益相关者期望、依赖关系以及法律、法规和合同要求

GV.OC-01： 理解组织使命并为网络安全风险管理提供信息

例1：分享组织的使命（例如，通过愿景和使命宣言、营销和服务策略），为识别可能阻碍该使命的风险提供基础

GV.OC-02： 了解内部和外部利益相关者，了解和考虑他们对网络安全风险管理的需求和期望

例1：确定相关的内部利益相关者及其与网络安全相关的期望（例如，高级职员、董事和顾问的绩效和风险期望;员工的文化期望）

例2：确定相关的外部利益相关者及其与网络安全相关的期望（例如，客户的隐私期望、合作伙伴关系的业务期望、监管机构的合规期望、社会的道德期望）

GV.OC-03： 理解和管理有关网络安全的法律、监管和合同要求，包括隐私和公民自由义务

例1：确定跟踪和管理有关个人信息保护的法律和法规要求的流程（例如，《健康保险流通与责任法案》、《加州消费者隐私法案》、《通用数据保护条例》）

例2：确定跟踪和管理供应商、客户和合作伙伴信息网络安全管理合同要求的流程

例3：使组织的网络安全战略与法律、法规和合同要求

GV.OC-04： 理解和传达外部利益相关者依赖或期望从组织获得的关键目标、能力和服务

例1：建立标准，以确定内部和外部利益相关者认为的组织能力和服务的重要性

例2：确定（例如，从业务影响分析中）对实现任务目标至关重要的资产和业务运营以及此类运营损失（或部分损失）的潜在影响

例3：建立并传达弹性目标（例如，恢复时间目标），以便在各种运行状态（例如，受到攻击、恢复期间、正常运行）下提供关键功能和服务

GV.OC-05： 理解和传达组织所依赖的结果、能力和服务

例1：创建组织对外部资源（例如设施、基于云的托管提供商）及其与组织资产和业务功能的关系的清单

例2：识别并记录外部依赖关系，这些依赖关系是组织关键功能和服务的潜在故障点，并与适当的人员共享该信息

·风险管理战略（GV.RM）：建立、传达和使用组织的优先事项、约束、风险承受能力和偏好声明以及假设来支持运营风险决策

GV.RM-01： 风险管理目标由组织利益相关者建立并达成一致

例1：更新近期和长期网络安全风险管理目标，作为年度战略规划的一部分，并在发生重大变化时进行更新

例2：建立网络安全风险管理的可衡量目标（例如，管理用户培训的质量，确保工业控制系统的充分风险保护）

例3：高层领导就网络安全目标达成一致，并将其用于衡量和管理风险和绩效

GV.RM-02： 建立、传达和维护风险偏好和风险承受能力声明

例1：确定并传达风险偏好声明，以传达对组织适当风险水平的期望

例2：将风险偏好声明转化为具体、可衡量且易于理解的风险承受能力声明

例3：根据已知风险敞口和剩余风险定期细化组织目标和风险偏好

GV.RM-03： 网络安全风险管理活动和结果包含在企业风险管理流程中

例1：汇总和管理网络安全风险以及其他企业风险（例如，合规、财务、运营、监管、声誉、安全）

例2：将网络安全风险管理人员纳入企业风险管理计划

例3：在企业风险管理中建立不断升级网络安全风险的标准

GV.RM-04： 建立并传达描述适当风险应对方案的战略方向

例1：指定接受和避免各种数据分类的网络安全风险的标准

例2：确定是否购买网络安全保险

例3：记录可接受责任共担模型的条件（例如，外包某些网络安全功能、让第三方代表组织执行金融交易、使用基于公共云的服务）

GV.RM-05： 针对网络安全风险（包括来自供应商和其他第三方的风险）建立整个组织的沟通渠道

例1：确组织在商定的时间间隔内的网络安全态势定如何向高级管理人员、董事和管理层更新

例2：确定组织内所有部门（如管理、运营、内部审计师、法律、采购、物理安全和人力资源）将如何就网络安全风险相互沟通

GV.RM-06： 建立并传达了用于计算、记录、分类和确定网络安全风险优先级的标准化方法

例1：建立使用定量方法进行网络安全风险分析的标准，并指定概率和风险公式

例2：创建和使用模板（例如，风险登记册）来记录网络安全风险信息（例如，风险描述、暴露、处理和所有权）

例3：在企业内的适当级别建立风险优先级标准

例4：使用一致的风险类别列表来支持集成、汇总和比较网络安全风险

GV.RM-07： 对战略机会（即积极风险）进行表征，并将其纳入组织网络安全风险讨论中

例1：定义并传达识别机会并将其纳入风险讨论的指南和方法（例如，优势、劣势、机会和威胁[SWOT]分析）

例2：确定延伸目标并记录下来

例3：计算、记录正面风险和负面风险并确定其优先级

·网络安全供应链风险管理（GV.SC）：网络供应链风险管理流程由组织利益相关者识别、建立、管理、监控和改进

GV.SC-01： 建立网络安全供应链风险管理计划、战略、目标、政策和流程，并由组织利益相关者同意

例1：制定表达网络安全供应链风险管理计划目标的策略

例2：制定网络安全供应链风险管理计划，包括指导计划实施和改进的计划（带有里程碑）、政策和程序，并与组织利益相关者共享政策和程序

例3：根据组织利益相关者商定和执行的战略、目标、政策和程序制定和实施计划流程

例4：建立跨组织机制，确保有助于网络安全供应链风险管理的职能部门（如网络安全、IT、运营、法律、人力资源和工程）之间的一致性

GV.SC-02： 在内部和外部建立、沟通和协调供应商、客户和合作伙伴的网络安全角色和责任

例1：确定一个或多个特定角色或职位，这些角色或职位将负责规划、资源和执行网络安全供应链风险管理活动

例2：记录策略中的网络安全供应链风险管理角色和职责

例3：创建责任矩阵，以记录谁将负责和负责网络安全供应链风险管理活动，以及如何咨询和告知这些团队和个人

例4：在人员描述中包括网络安全供应链风险管理责任和绩效要求，以确保清晰度并提高问责制

例5：记录具有网络安全风险管理特定职责的人员的绩效目标，并定期衡量这些目标以展示和改进绩效

例6：为供应商、客户和业务合作伙伴制定角色和职责，以解决适用网络安全风险的共同责任，并将其集成到组织策略和适用的第三方协议中

例7：对第三方进行内部沟通网络安全供应链风险管理角色和职责

例8：为组织与其供应商之间的信息共享和报告流程建立规则和协议

GV.SC-03： 将网络安全供应链风险管理整合到网络安全和企业风险管理、风险评估和改进流程中

例1：确定与网络安全和企业风险管理一致和重叠的领域

例2：建立网络安全风险管理和网络安全供应链风险管理的综合控制集

例3：将网络安全供应链风险管理整合到改进流程中

例4：将供应链中的重大网络安全风险上报给高级管理层，并在企业风险管理层面加以解决

GV.SC-04： 供应商是已知的，并按重要性确定优先级

例1：根据供应商处理或拥有的数据的敏感性、对组织系统的访问程度以及产品或服务对组织使命的重要性等因素，制定供应商重要性标准

例2：保留所有供应商的记录，并根据关键性标准确定供应商的优先级

GV.SC-05： 建立、优先处理供应链网络安全风险的要求，并将其整合到与供应商和其他相关第三方的合同和其他类型的协议中

例1：为供应商、产品和服务建立与其关键级别和潜在影响相称的安全要求

例2：包括第三方必须遵守的所有网络安全和供应链要求，以及如何以默认合同语言验证是否符合这些要求

例3：定义组织与其供应商和次级供应商之间在协议中共享信息的规则和协议

例4：通过在协议中包含安全要求来管理风险，这些要求基于其重要性和潜在影响（如果遭到入侵）

例5：在服务级别协议（SLA）中定义安全要求，以在整个供应商关系生命周期中监视供应商是否可接受的安全性能

例6：合同要求供应商在产品生命周期或服务期限内披露其产品和服务的网络安全特性、功能和漏洞

例7：合同要求供应商为关键产品提供和维护当前组件库存（例如，软件或硬件物料清单）

例8：合同要求供应商审查其员工并防范内部威胁

例9：合同要求供应商提供证据，证明通过自我证明、符合已知标准、认证或检查等方式执行可接受的安全实践

例10：在合同和其他协议中明确组织、其供应商及其供应链在潜在网络安全风险方面的权利和责任

GV.SC-06： 在建立正式的供应商或其他第三方关系之前，进行规划和尽职调查以降低风险

例1：对潜在供应商进行彻底的尽职调查，与采购计划一致，并与每个供应商关系的风险、关键性和复杂性水平相称

例2：评估潜在供应商的技术和网络安全能力以及风险管理实践的适用性

例3：根据业务和适用的网络安全要求进行供应商风险评估

例4：在获取和使用之前评估关键产品的真实性、完整性和安全性

GV.SC-07： 在关系过程中，对供应商、其产品和服务以及其他第三方构成的风险进行理解、记录、优先排序、评估、响应和监控

例1：根据第三方的评估格式和频率调整声誉及其提供的产品或服务的重要性

例2：评估第三方遵守合同网络安全要求的证据，例如自我证明、保证、认证和其他工件

例3：监控关键供应商，以确保他们使用各种方法和技术（例如检查、审核、测试或其他形式的评估）在整个供应商关系生命周期中履行其安全义务

例4：监控关键供应商、服务和产品的风险状况变化，并相应地重新评估供应商的重要性和风险影响

例5：计划与供应商和供应链相关的意外中断，以确保业务连续性

GV.SC-08： 相关供应商和其他第三方参与事件规划、响应和恢复活动

例1：定义和使用规则和协议来报告事件响应和恢复活动以及组织与其供应商之间的状态

例2：确定并记录组织及其供应商在事件响应中的角色和职责

例3：将关键供应商纳入事件响应练习和模拟

例4：定义和协调组织与其关键供应商之间的危机沟通方法和协议

例5：与关键供应商进行协作经验教训会议

GV.SC-09： 将供应链安全实践整合到网络安全和企业风险管理计划中，并在整个技术产品和服务生命周期中监控其绩效

例1：政策和程序要求所有收购的技术产品和服务都有出处记录

例2：定期向领导者提供风险报告，说明如何证明所购组件是未经篡改的和真实的

例3：定期在网络安全风险经理和运营人员之间沟通，说明是否需要仅从经过身份验证和值得信赖的软件提供商处获取软件补丁、更新和升级

例4：审查策略，以确保它们要求经批准的供应商人员对供应商产品进行维护

例5：策略和程序要求检查关键硬件的升级是否存在未经授权的更改

·角色、责任和权限（GV.RR）：建立并传达网络安全角色、职责和权限，以促进问责制、绩效评估和持续改进

GV.RR-01： 组织领导层对网络安全风险负责，并培养一种具有风险意识、道德和持续改进的文化

例1：领导者（例如董事）就他们在制定、实施和评估组织的网络安全战略

例2：分享领导者对安全和道德文化的期望，尤其是当当前事件有机会突出网络安全风险管理的正面或负面示例时

例3：领导者指示CISO维护全面的网络安全风险战略，并至少每年和重大事件发生后对其进行审查和更新

例4：进行审查，以确保负责管理网络安全风险的人员之间有足够的权限和协调

GV.RR-02： 建立、沟通、理解和执行与网络安全风险管理相关的角色、职责和权限

例1：记录策略中的风险管理角色和职责

例2：记录谁负责和负责网络安全风险管理活动，以及如何咨询和告知这些团队和个人

例3：在人员描述中包括网络安全责任和绩效要求

例4：记录负责网络安全风险管理的人员的绩效目标，并定期衡量绩效以确定需要改进的领域

例5：明确阐明运营、风险职能和内部审计职能中的网络安全责任

GV.RR-03： 根据网络安全风险战略、角色、职责和政策分配足够的资源

例1：定期进行管理评审，确保被赋予网络安全风险管理责任的人员拥有必要的权限

例2：根据风险承受能力和响应能力确定资源分配和投资

例3：提供充足的人员、流程和技术资源来支持网络安全战略

GV.RR-04： 网络安全被纳入人力资源实践

例1：将网络安全风险管理考虑因素整合到人力资源流程中（例如，人员筛选、入职、变更通知、离职）

例2：将网络安全知识视为招聘、培训和保留决策的积极因素

例3：在为敏感角色的新人员入职之前进行背景调查，并定期对具有此类角色的人员重复背景调查

例4：定义和强制执行人员了解、遵守和维护与其角色相关的安全策略的义务

·策略（GV.PO）：建立、传达和执行组织网络安全策略

GV.PO-01： 根据组织环境、网络安全战略和优先事项制定网络安全风险管理策略，并进行沟通和执行

例1：创建、传播和维护易于理解、可用的风险管理政策，并声明管理意图、期望和方向

例2：定期审查政策和支持流程和程序，以确保它们与风险管理战略目标和优先事项以及网络安全政策的高级方向保持一致

例3：需要高级管理层批准政策

例4：在整个组织内传达网络安全风险管理政策以及支持流程和程序

例5：要求员工在首次雇用时、每年以及每次更新政策时确认收到政策

GV.PO-02： 审查、更新、传达和执行网络安全风险管理策略，以反映需求、威胁、技术和组织使命的变化

例1：根据对网络安全风险管理结果的定期审查更新政策，以确保政策和支持流程和程序充分将风险保持在可接受的水平

例2：提供用于查看组织风险更改的时间表环境（例如，风险或组织任务目标的变化），以及传达建议的策略更新

例3：更新策略以反映法律和法规要求的变化

例4：更新政策以反映技术变化（例如，采用人工智能）和业务变化（例如，收购新业务、新合同要求）

·监督（GV.OV）：组织范围内的网络安全风险管理活动和绩效的结果用于通知、改进和调整风险管理策略

GV.OV-01： 审查网络安全风险管理战略结果，为战略和方向提供信息并调整战略和方向

例1：衡量风险管理策略和风险结果对领导者做出决策和实现组织目标的帮助程度

例2：检查是否应调整阻碍运营或创新的网络安全风险策略

GV.OV-02： 审查和调整网络安全风险管理策略，以确保覆盖组织要求和风险

例1：审查审计结果，以确认现有的网络安全策略是否确保符合内部和外部要求

例2：审查网络安全相关角色的绩效监督，以确定是否需要更改策略

例3：根据网络安全事件审查策略

GV.OV-03： 评估和审查组织网络安全风险管理绩效，以进行必要的调整

例1：审查关键绩效指标（KPI），以确保组织范围的政策和程序实现目标

例2：审查关键风险指标（KRI）以确定组织面临的风险，包括可能性和潜在影响

例3：收集网络安全风险管理指标并与高层领导沟通

识别

识别（ID）：了解组织当前的网络安全风险

·资产管理（ID.AM）：根据其对组织目标和组织风险战略的相对重要性，识别和管理使组织能够实现业务目的的资产（例如，数据、硬件、软件、系统、设施、服务、人员）

ID.AM-01： 维护组织管理的硬件清单

例1：维护所有类型硬件的库存，包括IT、IoT、OT和移动设备

例2：持续监控网络以检测新硬件并自动更新库存

ID.AM-02： 维护组织管理的软件、服务和系统的清单

例1：维护所有类型的软件和服务的库存，包括商用现成的、开源的、自定义的应用程序、API服务以及基于云的应用程序和服务

例2：持续监控所有平台（包括容器和虚拟机）的软件和服务清单更改

例3：维护组织系统的清单

ID.AM-03： 维护组织的授权网络通信以及内部和外部网络数据流的表示形式

例1：在组织的有线和无线网络

例2：维护组织与第三方之间的通信和数据流基线

例3：维护组织的通信和数据流基线基础架构即服务（IaaS）使用情况

例4：维护通常在授权系统中使用的预期网络端口、协议和服务的文档

ID.AM-04： 维护供应商提供的服务清单

例1：清点组织使用的所有外部服务，包括第三方IaaS、平台即服务（PaaS）和软件即服务（SaaS）产品;和其他外部托管的应用程序服务

例2：当将使用新的外部服务时，请更新清单，以确保对组织对该服务的使用情况进行充分的网络安全风险管理监控

ID.AM-05： 根据分类、重要性、资源和对任务的影响对资产进行优先级排序

例1：定义对每类资产进行优先级排序的标准

例2：将优先级条件应用于资产

例3：跟踪资产优先级并定期更新它们，或者在组织发生重大变化时更新它们

ID.AM-07： 维护指定数据类型的数据清单和相应的元数据

例1：维护感兴趣的指定数据类型列表（例如，个人身份信息、受保护的健康信息、财务账号、组织知识产权、运营技术数据）

例2：持续发现和分析临时数据，以识别指定数据类型的新实例

例3：通过标记或标签将数据分类分配给指定的数据类型

例4：跟踪指定数据类型的每个实例的来源、数据所有者和地理位置

ID.AM-08： 系统、硬件、软件、服务和数据在其整个生命周期内进行管理

例1：在系统、硬件、软件和服务的整个生命周期中集成网络安全注意事项

例2：将网络安全考虑因素整合到产品生命周期中

例3：确定技术的非官方用途以实现任务目标（即“影子IT”）

例4：定期识别冗余系统、硬件、软件和服务不必要地增加组织的攻击面

例5：在生产环境中部署系统、硬件、软件和服务之前，正确配置和保护它们

例6：在组织内移动或转移系统、硬件、软件和服务时更新清单

例7：根据组织的数据保留策略，使用规定的销毁方法安全地销毁存储的数据，并保存和管理销毁记录

例8：在硬件报废、退役、重新分配或送去维修或更换时安全地清理数据存储

例9：提供销毁纸张、存储介质和其他物理形式的数据存储的方法

·风险评估（ID.RA）：组织了解组织、资产和个人的网络安全风险

ID.RA-01： 识别、验证和记录资产中的漏洞

例1：使用漏洞管理技术识别未打补丁和配置错误的软件

例2：评估网络和系统架构是否存在影响网络安全的设计和实施弱点

例3：审查、分析或测试组织开发的软件，以识别设计、编码和默认配置漏洞

例4：评估存放关键计算资产的设施是否存在物理漏洞和弹性问题

例5：监控网络威胁情报的来源，以获取有关产品和服务中新漏洞的信息

例6：审查流程和程序，以发现可能被利用来影响网络安全的弱点

ID.RA-02： 从信息共享论坛和来源接收网络威胁情报

例1：配置具有检测或响应功能的网络安全工具和技术，以安全地引入网络威胁情报源

例2：接收和审查来自信誉良好的第三方关于当前威胁参与者及其策略、技术和程序（TTP）的建议

例3：监控网络威胁情报的来源，以获取有关新兴技术可能具有的漏洞类型的信息

ID.RA-03： 识别并记录对组织的内部和外部威胁

例1：使用网络威胁情报来保持对可能针对组织的威胁参与者类型以及他们可能使用的TTP的认识

例2：执行威胁搜寻以查找环境中威胁参与者的迹象

例3：实施用于识别内部威胁参与者的流程

ID.RA-04： 识别并记录利用漏洞的威胁的潜在影响和可能性

例1：企业领导者和网络安全风险管理从业者共同评估风险情景的可能性和影响，并将其记录在风险登记册中

例2：列举未经授权访问组织的通信、系统以及在这些系统中或由这些系统处理的数据的潜在业务影响

例3：考虑级联故障对系统系统的潜在影响

ID.RA-05： 威胁、漏洞、可能性和影响用于了解固有风险并为风险响应优先级提供信息

例1：开发威胁模型以更好地了解数据风险并确定适当的风险响应

例2：根据估计的可能性和影响确定网络安全资源分配和投资的优先级

ID.RA-06： 选择风险应对措施、确定优先次序、计划、跟踪和沟通

例1：应用漏洞管理计划的标准来决定是接受、转移、缓解还是避免风险

例2：应用漏洞管理计划的标准进行选择补偿控制以降低风险

例3：跟踪风险响应实施的进度（例如，行动计划和里程碑[POA&M]、风险登记册、风险详细信息报告）

例4：使用风险评估结果为风险响应决策和行动提供信息

例5：按优先级顺序将计划的风险响应传达给受影响的利益相关者

ID.RA-07： 对变更和异常进行管理、风险影响评估、记录和跟踪

例1：实施并遵循正式文档、审查、测试和批准拟议更改和请求的例外的程序

例2：记录进行或不进行每个建议更改的可能风险，并提供有关回滚更改的指导

例3：记录与每个请求的异常相关的风险以及应对这些风险的计划

例4：根据计划的未来行动或里程碑定期审查接受的风险

ID.RA-08： 建立了接收、分析和响应漏洞披露的流程

例1：按照合同中定义的规则和协议，在组织与其供应商之间进行漏洞信息共享

例2：分配责任并验证程序的执行，以处理、分析和响应供应商、客户、合作伙伴和政府网络安全组织的网络安全威胁、漏洞或事件披露

ID.RA-09： 在获取和使用之前，对硬件和软件的真实性和完整性进行评估

例1：在获取和使用之前评估关键技术产品和服务的真实性和网络安全性

ID.RA-10： 在收购前对关键供应商进行评估

例1：根据业务和适用的网络安全要求（包括供应链）进行供应商风险评估

·改进（ID.IM）：在所有CSF职能中确定组织网络安全风险管理流程、程序和活动的改进

ID.IM-01： 从评估中确定改进

例1：对考虑当前威胁和TTP的关键服务进行自我评估

例2：投资于对组织网络安全计划有效性的第三方评估或独立审计，以确定需要改进的领域

例3：通过自动化方式持续评估对选定网络安全要求的合规性

ID.IM-02： 改进是通过安全测试和练习确定的，包括与供应商和相关第三方协调进行的测试和练习

例1：根据事件响应评估的结果（例如，桌面练习和模拟、测试、内部审查、独立审计）确定未来事件响应活动的改进

例2：根据与关键服务提供商和产品供应商协调执行的练习，确定未来业务连续性、灾难恢复和事件响应活动的改进

例3：酌情让内部利益相关者（例如高级管理人员、法务部门、人力资源部门）参与安全测试和练习

例4：执行渗透测试，以确定改进领导层批准的选定高风险系统的安全状况的机会

例5：制定应急计划，以应对产品或服务并非来自签约供应商或合作伙伴或在收到之前被更改的发现并从中恢复

例6：使用安全工具和服务收集和分析性能指标，为网络安全计划的改进提供信息

ID.IM-03： 从操作流程、程序和活动的执行中确定改进

例1：与供应商进行协作经验教训会议

例2：每年审查网络安全政策、流程和程序，以吸取经验教训

例3：使用指标评估一段时间内的运营网络安全绩效

ID.IM-04： 建立、传达、维护和改进影响运营的事件响应计划和其他网络安全计划

例1：制定应急计划（例如，事件响应、业务连续性、灾难恢复），以应对可能干扰运营、泄露机密信息或以其他方式危及组织使命和生存能力的不良事件并从中恢复

例2：在所有应急计划中包括联系人和通信信息、处理常见方案的流程以及优先级、升级和提升的标准

例3：制定漏洞管理计划，以识别和评估所有类型的漏洞，并确定风险响应的优先级、测试和实施风险响应

例4：将网络安全计划（包括更新）传达给负责执行这些计划的人员和受影响的各方

例5：每年审查和更新所有网络安全计划，或在确定需要重大改进时审查和更新所有网络安全计划

保护

保护（PR）：使用保护措施来管理组织的网络安全风险

·身份管理、身份验证和访问控制（PR.AA）：对物理和逻辑资产的访问仅限于授权用户、服务和硬件，并根据评估的未经授权访问的风险进行管理

PR.AA-01： 授权用户、服务和硬件的标识和凭据由组织管理

例1：为员工、承包商和其他人发起新访问权限或额外访问权限请求，并在需要时获得系统或数据所有者的许可，并跟踪、审查和满足这些请求

例2：颁发、管理和吊销加密证书和身份令牌、加密密钥（即密钥管理）和其他凭据

例3：从不可变的硬件特征中为每个设备选择唯一标识符，或从安全配置到设备的标识符中选择

例4：使用标识符对授权硬件进行物理标记，以便进行清点和维修

PR.AA-02： 根据交互的上下文对身份进行验证并绑定到凭据

例1：在注册时使用政府颁发的身份证明（例如护照、签证、驾驶执照）验证一个人声称的身份

例2：为每个人颁发不同的凭据（即不共享凭据）

PR.AA-03： 用户、服务和硬件已通过身份验证

例1：需要多重身份验证

例2：对密码、PIN和类似身份验证器的最小强度强制实施策略

例3：根据风险定期重新验证用户、服务和硬件（例如，在零信任架构中）

例4：确保授权人员可以访问在紧急情况下保护安全所必需的账户

PR.AA-04： 身份断言受到保护、传达和验证

例1：保护用于通过单点登录系统传达身份验证和用户信息的身份断言

例2：保护用于在联合系统之间传递身份验证和用户信息的身份断言

例3：在所有上下文中实施基于标准的身份断言方法，并遵循所有指南来生成（例如，数据模型、元数据）、保护（例如，数字签名、加密）和验证（例如，签名验证）身份断言

PR.AA-05： 访问权限、权利和授权在策略中定义、管理、强制执行和审查，并包含最小权限和职责分离原则

例1：定期查看逻辑和物理访问权限，并在有人更改角色或离开组织时查看，并及时撤消不再需要的权限

例2：在授权决策中考虑请求者和请求资源的属性（例如，地理位置、日期/时间、请求者端点的网络运行状况）

例3：将访问和权限限制为必要的最低限度（例如，零信任架构）

例4：定期查看与关键业务功能关联的权限，以确认职责的正确分离

PR.AA-06： 对资产的物理访问进行管理、监控和实施与风险相称

例1：使用保安人员、安全摄像头、上锁的入口、警报系统和其他物理控制来监控设施并限制访问

例2：对包含高风险资产的区域采用额外的物理安全控制

例3：在包含业务关键型资产的区域内护送客人、供应商和其他第三方

·意识和培训（PR.AT）：为组织的人员提供网络安全意识和培训，以便他们能够执行与网络安全相关的任务

PR.AT-01： 为人员提供意识和培训，使他们具备在考虑网络安全风险的情况下执行一般任务的知识和技能

例1：为员工提供基本的网络安全意识和培训，承包商、合作伙伴、供应商和组织非公共资源的所有其他用户

例2：培训用户识别社会工程尝试和其他常见攻击、报告攻击和可疑活动、遵守可接受的使用策略以及执行基本的网络卫生任务（例如，修补软件、选择密码、保护凭据）

例3：向个人用户和整个组织解释违反网络安全策略的后果

例4：定期评估或测试用户对基本网络安全实践的理解

例5：要求每年进行一次复习，以加强现有做法并引入新做法

PR.AT-02： 为担任专业角色的个人提供意识和培训，以便他们具备在考虑网络安全风险的情况下执行相关任务的知识和技能

例1：确定组织内需要额外网络安全培训的专业角色，例如物理和网络安全人员、财务人员、高级领导以及有权访问关键业务数据的任何人

例2：为所有担任专业角色的人员（包括承包商、合作伙伴、供应商和其他第三方）提供基于角色的网络安全意识和培训

例3：定期评估或测试用户对其专业角色的网络安全实践的理解

例4：要求每年进行一次复习，以加强现有实践并引入新实践

·数据安全（PR.DS）：根据组织的风险策略管理数据，以保护信息的机密性、完整性和可用性

PR.DS-01：