了解在網路風險量化業務自我評估中使用的安全控制家長防護實施等級。
安全控制實施等級描述了您組織的安全控制在多大程度上符合每個 NIST SP 800-53 控制家長防護的要求。在高級業務自我評估的「Security practices」標籤中,為每個控制家長防護選擇最能描述您當前做法的等級。
答案為網路風險量化的控制評估階段提供資訊,該階段評估您的安全控制措施在降低成功攻擊的可能性及事件發生時的金融業影響方面的有效性。更完整的答案,包括由連接的資料來源自動提供的答案,能產生更高信心水平的結果。
下表描述了在網路風險量化安全實踐評估中,適用於所有 NIST SP 800-53 控制家族的五個一般實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
幾乎沒有相關的安全控制措施。
|
|
2 - 基本
|
已實施一些相關的安全控制,並具備基本程序或有限範圍。
|
|
3 - 功能正常
|
相關的安全控制措施已在全球範圍內建立,但不一定得到一致的執行。
|
|
4 - 全面性
|
相關的安全控制已在全球範圍內實施並監控。
|
|
5 - 高級
|
動態、主動的安全控制全面整合到業務運作中。
|
以下部分描述了在網路風險量化安全實踐評估中,每個 NIST SP 800-53 控制家長防護的實施層級。
「AC - Access Control」 NIST SP 800-53 控制家長防護涵蓋管理使用者帳號權限及控制帳號對系統和資訊的存取。
以下 AC - 存取控制 包含在網路風險量化安全實踐評估中:
-
AC-2 帳號管理
-
AC-3 存取強制
-
AC-4 資訊流動強制
-
AC-5 職責分離
-
AC-6 最小權限
-
AC-7 未成功的登入嘗試次數
-
AC-8 系統使用通知
-
AC-10 同時會話控制
-
AC-11 裝置鎖定
-
AC-12 會話終止
-
AC-14 未經識別或驗證允許的操作
-
AC-16 安全和隱私安全屬性
-
AC-17 遠端存取
-
AC-18 無線存取
-
AC-19 行動裝置的存取控制
-
AC-20 使用外部系統
-
AC-21 資訊共享
-
AC-23 資料防護挖掘保護
下表描述了在網路風險量化安全實踐評估中,AC - 存取控制家長防護的實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
未制定正式的用戶訪問政策。帳戶根據需要創建,權限分配不一致,沒有用戶活動監控。
|
|
2 - 基本
|
已制定用戶訪問政策,要求使用唯一的用戶 ID。帳戶創建/刪除流程基於就業狀態,權限分配基於工作角色。
|
|
3 - 功能正常
|
已實施基於角色的存取控制(RBAC)以強制執行最小權限原則。存取會被記錄,並偶爾進行人工審查。
|
|
4 - 全面性
|
在整個組織中設置集中式身份和訪問管理(IAM)系統。根據活動監控自動審查和更新訪問政策,並在所有帳戶變更時觸發通知。
|
|
5 - 高級
|
所有使用者身份在存取時動態驗證,不論權限如何,皆遵循零信任架構。自動化行為分析引擎持續監控存取活動以偵測異常行為。
|
「CA - Assessment, Authorization, and Monitoring」 NIST SP 800-53 控制家長防護涵蓋選擇、實施、維護和改進安全系統及隱私安全控制。
以下 CA - 評估、授權和監控控制措施已納入網路風險量化安全實踐評估:
-
CA-2 控制評估
-
CA-3 資訊交換
-
CA-7 持續監控
-
CA-8 滲透測試
下表描述了在網路風險量化安全實踐評估中,CA - 評估、授權和監控控制家長防護的實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
未設置安全評估或授權流程。安全事件隨發生而處理,沒有正式的程序或監控。
|
|
2 - 基本
|
手動安全評估偶爾會進行,並附有基本的文件和報告。安全評估沒有標準化的範圍。
|
|
3 - 功能正常
|
定期執行正式的安全評估,範圍和目標明確。授權流程以手動方式記錄,並設有基本的監控。
|
|
4 - 全面性
|
專用風險管理系統已到位,使用自動化弱點掃描和深入的安全評估。透過儀表板顯示嚴重警訊和關鍵指標,持續監控關鍵安全控制。
|
|
5 - 高級
|
使用自動化治理、風險和合規解決方案管理評估和授權工作流程。通過AI驅動的監控持續提供實時風險洞察。
|
「CM - Configuration Management」 NIST SP 800-53 控制家長防護涵蓋了系統和軟體配置的實施、管理和執行,以確保安全性和合規性。
以下配置管理(CM)控制已納入網絡風險量化安全實踐評估中:
-
CM-2 基線配置
-
CM-3 配置變更控制
-
CM-5 變更的存取限制
-
CM-6 組態設定
-
CM-7 最少功能
-
CM-8 系統元件清單
-
CM-10 軟體使用限制
-
CM-11 使用者安裝的軟體
-
CM-12 資訊位置資訊
下表描述了在網路風險量化安全實務評估中,CM - 配置管理控制家長防護的實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
未設置標準化的安全配置。未建立系統清單,且進行配置更改時未經測試或批准。
|
|
2 - 基本
|
已建立手動系統清單和配置管理計劃,但文件有限。配置設定僅限授權使用者。
|
|
3 - 功能正常
|
為系統和軟體建立標準化的安全配置基準。所有變更在實施前均需正式記錄、審查並獲得批准。
|
|
4 - 全面性
|
使用自動化工具和範本強制執行安全配置基準。在實施之前,變更會作為定期安全影響分析的一部分進行記錄和驗證。
|
|
5 - 高級
|
完全自動化的安全配置和Compliance Management整合到安全運營中。即時驗證配置變更,並自動修正未授權或不合規的安全配置。
|
「CP - Contingency Planning」 NIST SP 800-53 控制家長防護涵蓋準備及恢復系統中斷、安全事件及災難。
以下 CP - 應急計劃控制已包含在網路風險量化安全實踐評估中:
-
CP-2 應變計劃
-
CP-6 替代儲存地點
-
CP-7 替代處理站點
-
CP-9 系統備份
-
CP-10 系統恢復與重建
下表描述了在網路風險量化安全實踐評估中,CP - 應變計劃控制家長防護的實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
未制定書面準備或復原計劃。資料備份是手動且不定期執行,沒有復原程序。
|
|
2 - 基本
|
已建立但未測試的關鍵系統基本準備和恢復計劃。
|
|
3 - 功能正常
|
正式的復原計劃已記錄,並定義了角色和責任。備份和復原流程定期進行測試。
|
|
4 - 全面性
|
在整個組織中實施自動化備份和恢復流程。定期測試業務連續性和災難恢復計劃,以符合定義的恢復時間目標。
|
|
5 - 高級
|
透過自動化測試持續驗證恢復流程,並透過AI驅動的監控主動識別和緩解業務連續性風險。
|
「IA - Identification and Authentication」 NIST SP 800-53 控制家長防護涵蓋了用戶、系統和裝置身份的驗證和保護。
以下 IA - 身分識別和驗證控制已包含在網路風險量化安全實務評估中:
-
IA-2 身分識別與驗證(組織用戶)
-
IA-3 裝置識別與驗證
-
IA-4 識別碼管理
-
IA-5 驗證器管理
-
IA-6 驗證回饋
-
IA-7 加密模組驗證
-
IA-8 身分識別與驗證(非組織用戶)
-
IA-9 服務識別與驗證
-
IA-11 重新驗證
-
IA-12 身分驗證
下表描述了在網路風險量化安全實踐評估中,IA - 身份識別和驗證控制家長防護的實施級別:
|
層級
|
說明
|
|
1 - 不完整
|
未設置驗證政策。允許使用弱或預設密碼及共享帳戶。
|
|
2 - 基本
|
已強制執行基本密碼政策,要求指定的長度或複雜性。已建立並遵循創建和停用帳戶的流程。
|
|
3 - 功能正常
|
高強度密碼政策包括強制執行密碼歷史和使用期限。需要多因素驗證(MFA)以保護特權帳戶。
|
|
4 - 全面性
|
所有網路、遠端及敏感資料存取均需多重身份驗證。身份管理在整個組織中集中化並自動化。
|
|
5 - 高級
|
所有存取均透過零信任架構進行驗證。AI 驅動的行為分析可實現即時帳戶入侵偵測與回應。
|
「MP - Media Protection」 NIST SP 800-53 控制家長防護涵蓋保護實體和數位媒體,包括資料、記錄和檔案在使用、儲存和處置過程中的安全。
以下 MP - 媒體保護控制措施已包含在網路風險量化安全實務評估中:
-
MP-7 媒體使用
下表描述了在網路風險量化安全實踐評估中,MP - 媒體保護控制家長防護的實施級別:
|
層級
|
說明
|
|
1 - 不完整
|
沒有正式的媒體管理程序。沒有處理、存儲或清理媒體的政策。
|
|
2 - 基本
|
媒體在丟棄前需要進行清理。媒體的存取已記錄並限制於授權使用者。
|
|
3 - 功能正常
|
已記錄並執行安全媒體傳輸、存儲和處置的政策。數位媒體在存儲和傳輸過程中已加密。
|
|
4 - 全面性
|
在整個組織中實施集中式媒體追蹤,並記錄用戶和變更日誌。一般禁止使用可移除媒體如 USB 隨身碟,但已批准的例外情況會被追蹤。
|
|
5 - 高級
|
媒體生命週期自動化並集中執行,敏感資料自動檢測並已加密。允許的可移除媒體使用自動記錄和監控。
|
「RA - Risk Assessment」 NIST SP 800-53 控制家長防護涵蓋識別和分析對組織運作、系統和資產的風險。
以下 RA - 風險評估控制項已包含在網路風險量化安全實踐評估中:
-
RA-5 弱點監控與掃描
-
RA-9 關鍵性分析
-
RA-10 安全威脅狩獵
下表描述了在網路風險量化安全實踐評估中,RA - 風險評估控制家長防護的實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
未進行風險評估。僅在問題出現時才解決安全問題。
|
|
2 - 基本
|
根據需要進行手動風險評估,例如在初始系統實施期間。弱點已識別並記錄,但未持續監控或減輕。
|
|
3 - 功能正常
|
定期在整個組織內進行正式風險評估。透過排定的評估識別出弱點,並優先進行緩解。
|
|
4 - 全面性
|
專門的風險管理團隊使用自動化工具持續評估組織的風險。透過安全威脅資訊源和自動化弱點掃瞄持續監控威脅和弱點。
|
|
5 - 高級
|
AI 驅動的系統使用預測分析來主動識別風險,防患於未然。使用內部和外部安全威脅資訊來對抗新興威脅。
|
「SA - System and Services Acquisition」 NIST SP 800-53 控制家長防護涵蓋將安全性整合到系統和服務的獲取及開發中。
以下 SA - 系統與服務採購控制已包含在網路風險量化安全實務評估中:
-
SA-3 系統開發生命週期
-
SA-4 採購流程
-
SA-8 安全與隱私安全工程原則
-
SA-9 外部系統服務
-
SA-10 開發者配置管理
-
SA-11 開發者測試與評估
-
SA-15 開發流程、標準和工具
-
SA-16 開發者提供的訓練
-
SA-17 開發者安全與隱私安全架構與設計
-
SA-22 不支援的系統元件
下表描述了在網絡風險量化安全實踐評估中,SA - 系統和服務採購控制家長防護的實施級別:
|
層級
|
說明
|
|
1 - 不完整
|
在系統或服務的採購或開發過程中未考慮安全性。新系統在未進行Security Assessment的情況下部署。
|
|
2 - 基本
|
系統和服務採購過程中包含基本安全要求。新系統進行非正式審查。
|
|
3 - 功能正常
|
安全需求已正式記錄並完全整合到系統開發生命週期中。安全需求已納入採購合約並在系統部署前進行測試。
|
|
4 - 全面性
|
詳細的供應鏈風險管理整合到標準化的組織範圍採購流程中。所有服務供應商在簽訂合約前均已通過安全實踐審核。
|
|
5 - 高級
|
安全測試、程式碼掃描和持續監控在開發和採購的所有階段自動化進行。
|
「SC - System and Communications Protection」 NIST SP 800-53 控制家長防護涵蓋保護資訊系統和通信免受未授權的存取和洩露。
以下 SC - 系統和通信保護控制已包含在網絡風險量化安全實踐評估中:
-
SC-2 系統功能與使用者功能分離
-
SC-3 安全功能隔離
-
SC-4 共享系統資源中的資訊
-
SC-6 資源可用性
-
SC-7 邊界保護
-
SC-8 傳輸機密性和完整性
-
SC-10 網路斷線
-
SC-12 密鑰建立與管理
-
SC-13 加密保護
-
SC-16 傳輸安全和隱私安全屬性
-
SC-17 公鑰基礎設施憑證
-
SC-18 行動程式碼
-
SC-20 安全名稱/地址解析服務(權威來源)
-
SC-21 安全名稱/地址解析服務(遞迴或快取解析器)
-
SC-22 名稱/地址解析服務的架構和配置
-
SC-23 會話真實性
-
SC-26 誘餌
-
SC-28 靜態資訊保護
-
SC-29 異質性
-
SC-30 隱藏和誤導
-
SC-31 隱蔽通道分析
-
SC-34 不可修改的可執行程式
-
SC-35 外部惡意代碼識別
-
SC-36 分散式處理與儲存
-
SC-37 帶外通道
-
SC-38 操作安全
-
SC-39 程序隔離
-
SC-41 端口和 I/O 裝置存取
-
SC-43 使用限制
-
SC-44 引爆室
-
SC-46 跨域策略實施
下表描述了在網路風險量化安全實踐評估中,SC - 系統和通信保護控制家長防護的實施級別:
|
層級
|
說明
|
|
1 - 不完整
|
未設置防火牆或其他網路邊界保護。輸出通訊未加密。
|
|
2 - 基本
|
防火牆用於在企業網路和外部網路之間提供基本保護。對某些敏感的輸出通信使用簡單的加密。
|
|
3 - 功能正常
|
所有企業和外部網路流量均受到監控。所有敏感通信和儲存的資料均已加密。
|
|
4 - 全面性
|
入侵防護系統 (IPS) 監控網路流量以偵測可疑或惡意活動。使用防火牆、Proxy 伺服器和閘道器建立周邊網路,以分隔企業網路和外部網路。
|
|
5 - 高級
|
所有企業和外部流量均自動使用零信任原則進行檢查和驗證。強制執行廣泛的網路分段和持續監控。
|
「SI - System and Information Integrity」 NIST SP 800-53 控制家長防護涵蓋了資訊系統的安全性及系統資料完整性的保護。
以下系統與資訊完整性控制已包含在網路風險量化安全實務評估中:
-
SI-2 缺陷修復
-
SI-3 惡意程式碼保護
-
SI-4 系統監控
-
SI-5 安全警報、建議和指令
-
SI-7 軟體、韌體及資訊完整性
-
SI-8 垃圾郵件防護
-
SI-10 資訊輸入驗證
-
SI-12 資訊管理與保存
-
SI-14 非持久性
-
SI-15 資訊輸出正在過濾
-
SI-16 記憶體保護
-
SI-23 資訊碎片化
下表描述了在網絡風險量化安全實踐評估中,SI - 系統和信息完整性控制家長防護的實施級別:
|
層級
|
說明
|
|
1 - 不完整
|
未使用防毒軟體、惡意程式防護或修補管理系統。軟體安裝未經批准且變更未被監控。
|
|
2 - 基本
|
安裝在個別用戶裝置上的防毒或惡意程式保護系統。自動更新已配置,偶爾進行手動修補。
|
|
3 - 功能正常
|
在整個組織中使用集中式防毒和惡意程式保護。已建立正式的補丁管理流程並定期遵循。
|
|
4 - 全面性
|
Advanced Endpoint Protection 解決方案即時監控可疑或惡意活動。系統弱點透過自動化補丁管理迅速解決。
|
|
5 - 高級
|
AI 驅動的安全解決方案能夠檢測並自動回應現有和零日威脅及弱點。系統檔案透過自動化完整性監控持續掃描未經授權的變更。
|
「SR - Supply Chain Risk Management」 NIST SP 800-53 控制家長防護涵蓋管理和減輕與產品和服務供應鏈相關的風險。
以下供應鏈風險管理(SR)控制措施已納入網路風險量化安全實踐評估中:
-
SR-4 來源
-
SR-5 獲取策略、工具和方法
-
SR-6 供應商評估與審查
-
SR-11 元件真實性
下表描述了在網路風險量化安全實務評估中,SR - 供應鏈風險管理控制家長防護的實施層級:
|
層級
|
說明
|
|
1 - 不完整
|
沒有建立審核供應商或評估購買產品安全性的流程。
|
|
2 - 基本
|
供應商合約中包含基本安全條款。新產品進行非正式的安全評估。
|
|
3 - 功能正常
|
正式的供應鏈風險管理流程已記錄並遵循。對關鍵供應商進行盡職調查。
|
|
4 - 全面性
|
專用系統持續評估並減輕供應鏈風險。第三方產品和服務受到監控,安全威脅資訊在組織間共享。
|
|
5 - 高級
|
供應鏈安全狀況自動且持續監控,以獲取實時風險洞察。產品完整性和供應商安全性自動驗證。
|