fbpx
维基百科

網路安全標準

十二月 11, 2023

網路安全標準(Cybersecurity standards)[1]是已用文件方式發佈,為了保護使用者或組織之電腦網路環境而訂定的技術[2]。此處的「環境」包括使用者本身、網路,或是會直接或間接連接網路的設備、所有軟體、程序、儲存或是傳輸的資訊、應用程式、服務以及系統。

網路安全標準的主要目的是降低風險,包括預防及緩解网络攻击。這些發佈的資料中包括了許多工具、策略、安全概念、安全保障、指引、風險管理工具、行動、訓練、最佳實務、確保以及技術。

歷史 编辑

網路安全標準在數十年前即已存在,是由使用者以及網路供應商在許多國內或跨國論壇合作,列出必要的能力、策略以及實務,許多是1990年代史丹佛大學信息安全與政策研究聯盟的工作中出現的[3]

2016年美國安全框架導入研究指出,受訪的組織中,有70%認為NIST網絡安全框架英语NIST Cybersecurity Framework是資訊科技電腦安全中最受歡迎的最佳實務,但也有許多受訪者表示這需要相當大金額的投資[4]。執法者面對跨國界網路滲透活動的執法,對抗暗網的國際犯罪行為的舉動,產生了複雜的執法權問題,有些甚至到現在都還無解[5][6]。各國執法部門為了對抗跨國界網路滲透活動,以及國際執法機關之間的緊張關係,也會讓網路安全標準可以繼續的改善[5][7]

國際標準 编辑

以下章節列出一些常用的國際標準。

ISO/IEC 27001及27002 编辑

主条目:ISO/IEC 27001

ISO/IEC 27001是ISO/IEC 27000系列的一部份,是資訊安全管理系統(ISMS)標準,最新版是在2013年10月由國際標準化組織(ISO)及国际电工委员会(IEC)發佈。其全名是《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)。

ISO/IEC 27001正式的說明一個以明確的管理控制方式加入資訊安全的管理系統。

ISO/IEC 27002主要整合了BS 7799英语BS 7799良好安全管理實務標準的第一部份。BS 7799的最新版本是BS 7799-3。有時會用ISO/IEC 27002來指稱ISO 17799或BS 7799 第1部份,有時則指第1部份以及第7部份。BS 7799第1部份提供了網路安全管理的良好實務指引,而BS 7799第2部份以及ISO/IEC 27001是規範性的,提供認證的框架。ISO/IEC 27002是網路安全的高階指引。針對要取得ISO/IEC 27001認證的單位而言,最適合做為說明用的指引。認證取得後,可以維持三年。依稽核單位的不同,三年內可能不用再稽核,也可能需要有期中的稽核。

ISO/IEC 27001(ISMS)取代了BS 7799第2部份,但若組織在BS 7799第2部份的基礎上工作,法規有向後相容,讓正在取得BS 7799第2部份的組織可以比較容易轉換到ISO/IEC 27001的認證流程。也有轉換用的稽核,讓取得BS 7799第2部份認證的組織可以轉換為ISO/IEC 27001的認證。ISO/IEC 27002提供資訊安全系統的最佳實務,包括資訊安全管理系統(ISMS)的初始、實現以及維護。其中提到了資訊安全系統需實現ISO/IEC 27002的控制目標(controls objectives)。若沒有ISO/IEC 27001,ISO/IEC 27002的控制目標無法達到效果。ISO/IEC 27002的控制目標,整合在在ISO 27001的附錄A中。

ISO/IEC 21827(SSE-CMM – ISO/IEC 21827)是依系統資安工程能力成熟度模型(SSE-CMM)為基礎的國際標準,也可以量測ISO控制目標的成熟度,

ISO 15408 编辑

此一標準的全名是《資訊技術安全評估共同準則》(Common Criteria for Information Technology Security Evaluation),簡稱為Common Criteria,是電腦安全認證的標準。可以讓不同的軟體及硬體產品進行整合,以安全的方式進行測試。

IEC 62443 编辑

主条目:IEC 62443

IEC 62443網路安全標準是依IEC標準產生流程所訂定的,而ANSI/ISA-62443提案是提交給美國的委員會並且進行審核,也在委員會中提出意見。IEC 62443中的許多委員會會審核修訂意見,也會在委員會中討論,若大家同意即進行更改。IEC委員會中的許多成員也是ISA S99委員會的成員。迄今為止,已經使用了ANSI/ISA 62443原始文件的基礎概念[8]

這些標準會由許多不同產業的從業人員使用,以此來設計和評估自動化系統,以提高網絡安全性。許多標準已用在個人、工程流程、產生以及系統網路安全驗證計劃(cybersecurity certification programs,也稱為合格評定計劃,conformity assessment program)中。

 
計劃中及已發行的IACS安全性文件

ISA-62443的標準及技術報告會分為四類,分別是通則(General)、政策及流程(Policies and Procedures)、系統(System)及元件(Component)[9]

  1. 第一層(最上層)是一般性或是基礎的資訊,例如概念、模型及術語,也包括描述IACS安全矩陣及安全生命週期的工作成果。
  2. 第二層的工作成員是針對資產所有者。其中提到有關創建及維持有效IACS安全計劃的許多不同層面。
  3. 第三層包括了控制系統安全整合的系統設計指引以及要求的相關文件。其中的核心是zone及conduit design model。
  4. 第四層包括了有關特定控制系統產品的產品開發以及技術需求。主要是針對控制產品的供應商,不過也可以供整合者及資產所有者使用,以建構其安全性產品。

ANSI/ISA 62443(舊名稱為ISA-99) 编辑

ANSI/ISA 62443是一系列有關實現安全工業自動化控制系統(IACS)的標準、技術報告及相關資料。

這些文件由是國際自動化學會英语International Society of Automation(ISA)所寫,以美國國家標準協會(ANSI)文件公開發佈,因此最早稱為ANSI/ISA-99或ISA99標準。在2010年時,重新編號為ANSI/ISA-62443標準。

ISA99仍然是ISA工業自動化及控制系統安全委員會(Industrial Automation and Control System Security Committee)的名稱。2002年起,此委員會在針對IACS安全性主題,訂定一系列的標準以及技術報告。這些文件會由國際自動化學會核可,最後以ANSI文件發行。這些文件也會提交給IEC,依循IEC的標準開發程序,這些會是IEC62443國際標準的輸入。

ISO/SAE 21434 编辑

ISO/SAE 21434《道路車輛-網路安全工程》(Road vehicles - Cybersecurity engineering)是國際標準化組織(ISO)和国际汽车工程师学会(SAE)工作組聯合開發的新型網路安全標準,是依道路車輛的開發週期進行網路安全的措施。其國際標準草案(Draft international standard、DIS)階段已在2019年12月期滿,最終標準計劃在2020年11月發佈[10]

此一標準和目前正在發展的欧洲联盟網路安全法規有關。為了和歐盟協調,联合国欧洲经济委员会(UNECE)的世界車輛法規協調論壇(WP.29)已在2020年6月發佈網路安全管理系統(UNECE R 155,CSMS)的規範,相關認證是型式認可英语Type approval的強制條件之一。ISO/SAE 21434是汽車開發的技術標準,可以證明符合R155的規範。

各國標準 编辑

NERC 编辑

NERC(北美電力可靠性公司)在2003年建立了電力產業的資訊安全標準,是最早期的相關標準,稱為NERC CSS(北美電力可靠性公司網路安全標準)[11]。在網路安全標準指引之後,NERC在這些要求上持續的改進及強化。目前最廣為使用的現代NERC安全標準是NERC 1300,是由NERC 1200修改及更新後的內容。NERC 1300的最新版本稱為CIP-002-3至CIP-009-3(CIP為關鍵基礎設備保護的簡稱)。這些標準的目的是要保護大宗電力系統,NERC也有在其他領域訂定標準。大宗電力系統標準提供網路安全的管理,也有工業程序上的最佳實務[2]

NIST 编辑

主条目:國家標準技術研究所

隸屬於美國商務部的國家標準技術研究院 (NIST) 負責制定與資訊安全相關的標準與規範。

  • NIST網絡安全框架英语NIST Cybersecurity Framework(NIST CSF)此框架是根據NIST SP800-53,並以事件風險為基礎發展而成。提供美國政府關鍵基礎設施與一套具成本效益、靈活配置,可循序漸進建立網路安全的控制措施,並針對可能面臨的威脅提前制定應變計劃。此框架的組成有3元素、4要素及5項持續活動(識別、保護、偵測、回應、復原),提供了網路安全成果的高層級分類,以及評估及管理成果的方法論。其目的是要幫助提供關鍵基礎建設的私營部門,提供相關保護的指引,也有針對隐私权公民自由的保護[12]
  • Special publication 800-12是電腦安全以及控制領域的簡介,其中也強調資訊安全控制的重要性,以及其實施方式。最早此文件是要給美國聯邦政府使用,但在大部份的實務上,這份文件也可以幫助私營部門。其中內容是特別針對聯邦政府中負責敏感系統的人員[3]
  • Special publication 800-14敘述常用的安全原則。提供了在電腦安全政策中需導入事項的高層次敘述。其中敘述了要提昇安全性,需進行的事務,也說明要如何建立新的安全實務。這份文件中有8個原則以及14個實務[4]
  • Special publication 800-26提供有關IT安全管理的建議。後來被NIST SP 800-53第三版取代。此份文件強調自我評估以及風險評估的重要性[5]
  • Special publication 800-37是在2010年所更新,敘述一種新的風險評估方式:《應用風險管理框架到聯邦資訊系統的指引》(Guide for Applying the Risk Management Framework to Federal Information Systems)。
  • Special publication 800-53第五版,《資訊系統及組織的安全及個人資料控管》(Security and Privacy Controls for Information Systems and Organizations),此文件是在2020年9月發佈,在22020年12月10日更新,較第四版的變更處可參考MITRE所整理的比較表 (页面存档备份,存于互联网档案馆)。NIST的特別出版品SP800-53旨在依公法 (P.L.) 107-347 的美國聯邦資訊安全管理法 (FISMA) 界定其法定責任。美國聯邦資訊安全管理法屬於聯邦法律,規定美國政府機關須訂立及審查能夠優先落實資訊安全且適用於各機關的實務規範,並據此進行通報;NIST 800-53 則明定了聯邦政府和重要基礎架構所需的安全性和隱私權管理具體規範[13]
  • Special publication 800-63-3,《數位身份認證指引》(Digital Identity Guidelines),在2017年6月發佈,在2017年12月1日更新。其中有實行數位身份認證的指引,包括用戶的身份證明(identity proofing)、登記以及認證[6]
  • Special Publication 800-82第二版,《工業控制系統資訊安全指引》(Guide to Industrial Control System (ICS) Security),在2015年5月改版,其中敘述如何讓不同種類的工業控制系統免於網路攻擊,也同時考慮工業控制系統的性能、可靠度以及安全需求[7]

相關條目 编辑

  • 網路安全
  • 201 CMR 17.00英语201 CMR 17.00(麻省個人資訊保護標準)
  • BS 7799英语BS 7799
  • 首席資安技術長英语Chief information security officer
  • Common Criteria
  • 计算机安全
  • 控制系統安全性
  • Cyber Essentials英语Cyber Essentials(英國政府標準)
  • FIPS 140英语FIPS 140
  • 信息安全
  • 信息安全指標英语Information security indicators
  • 信息保障
  • IASME英语IASME
  • ISO/IEC 27002
  • 联邦信息安全办公室
  • 元證書工作組英语Meta-Certificate Working Group
  • 北美電力可靠性公司英语North American Electric Reliability Corporation(NERC)
  • 國家標準技術研究所(NIST)
  • 開放信息安全成熟度模型英语Open Information Security Maturity Model
  • 支付卡行業數據安全標準英语Payment Card Industry Data Security Standard(PCI DSS)
  • 隱私工程英语Privacy engineering
  • 良好實踐標準英语Standard of Good Practice
  • 語義服務型架構英语Semantic service-oriented architecture(SSOA)
  • CIS控制

腳註 编辑

  1. ^ Guidelines for Smart Grid Cyber Security. National Institute of Standards and Technology. 2010-08-01 [2014-03-30]. (原始内容于2021-04-14). 
  2. ^ 存档副本. [2020-12-16]. (原始内容于2021-04-24). 
  3. ^ 存档副本. [2020-12-16]. (原始内容于2021-04-19). 
  4. ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. [2016-08-02]. (原始内容于2021-04-19). 
  5. ^ 5.0 5.1 Ghappour, Ahmed. Tallinn, Hacking, and Customary International Law. AJIL Unbound. 2017-01-01, 111: 224–228 [2020-12-16]. doi:10.1017/aju.2017.59. (原始内容于2021-04-20). 
  6. ^ Ghappour, Ahmed. Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web. Stanford Law Review. 2017-04-01, 69 (4): 1075 [2020-12-16]. (原始内容于2021-04-20). 
  7. ^ Ghappour, Ahmed. Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web. Stanford Law Review. 2017, 69 (4) [2020-12-16]. (原始内容于2021-04-20) (英语). 
  8. ^ Standards and References - IEC-62443. www.iec.ch. [2020-12-22]. (原始内容于2021-03-08). 
  9. ^ More information about the activities and plans of the ISA99 committee is available on the committee Wiki site ()
  10. ^ ISO/SAE DIS 21434 Road vehicles — Cybersecurity engineering. [2021-05-14]. (原始内容于2021-04-08). 
  11. ^ Symantec Control Compliance Suite - NERC and FERC Regulation 互联网档案馆的,存档日期2016-10-22. Subsection: History of NERC Standards
  12. ^ NIST Cybersecurity Framework. [2016-08-02]. (原始内容于2021-05-01). 
  13. ^ NIST SP 800-53 Rev. 5. [2021-03-17]. (原始内容于2021-04-23). 

參考資料 编辑

  1. ^ Department of Homeland Security, A Comparison of Cyber Security Standards Developed by the Oil and Gas Segment. (November 5, 2004)
  2. ^ Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
  3. ^ National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.
  4. ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
  5. ^ Grassi, P.; Garcia, M.; Fenton, J.;National Institute of Standards and Technology; U.S. Department of Commerce., Digital Identity Guidelines (800-63-3).
  6. ^ Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Hahn, A.; National Institute of Standards and Technology; U.S. Department of Commerce., Guide to Industrial Control Systems (ICS) Security (800-82).
  7. ^ The North American Electric Reliability Council (NERC). http://www.nerc.com (页面存档备份,存于互联网档案馆). Retrieved November 12, 2005.
  8. ^ Federal Financial Institutions Examination Council (FFIEC). https://www.ffiec.gov (页面存档备份,存于互联网档案馆). Retrieved April 18, 2018.

外部連結 编辑

  • ISA99 Committee home page (页面存档备份,存于互联网档案馆
  • Securing Cyberspace-Media (页面存档备份,存于互联网档案馆
  • A 10 Minute Guide to the NIST Cybersecurity Framework (页面存档备份,存于互联网档案馆
  • Federal Financial Institutions Examination Council's (FFIEC) Web Site (页面存档备份,存于互联网档案馆

十二月 11, 2023
網路安全標準, cybersecurity, standards, 是已用文件方式發佈, 為了保護使用者或組織之電腦網路環境而訂定的技術, 此處的, 環境, 包括使用者本身, 網路, 或是會直接或間接連接網路的設備, 所有軟體, 程序, 儲存或是傳輸的資訊, 應用程式, 服務以及系統, 的主要目的是降低風險, 包括預防及緩解网络攻击, 這些發佈的資料中包括了許多工具, 策略, 安全概念, 安全保障, 指引, 風險管理工具, 行動, 訓練, 最佳實務, 確保以及技術, 目录, 歷史, 國際標準, 27001及2700. 網路安全標準 Cybersecurity standards 1 是已用文件方式發佈 為了保護使用者或組織之電腦網路環境而訂定的技術 2 此處的 環境 包括使用者本身 網路 或是會直接或間接連接網路的設備 所有軟體 程序 儲存或是傳輸的資訊 應用程式 服務以及系統 網路安全標準的主要目的是降低風險 包括預防及緩解网络攻击 這些發佈的資料中包括了許多工具 策略 安全概念 安全保障 指引 風險管理工具 行動 訓練 最佳實務 確保以及技術 目录 1 歷史 2 國際標準 2 1 ISO IEC 27001及27002 2 2 ISO 15408 2 3 IEC 62443 2 3 1 ANSI ISA 62443 舊名稱為ISA 99 2 4 ISO SAE 21434 3 各國標準 3 1 NERC 3 2 NIST 4 相關條目 5 腳註 6 參考資料 7 外部連結歷史 编辑網路安全標準在數十年前即已存在 是由使用者以及網路供應商在許多國內或跨國論壇合作 列出必要的能力 策略以及實務 許多是1990年代史丹佛大學信息安全與政策研究聯盟的工作中出現的 3 2016年美國安全框架導入研究指出 受訪的組織中 有70 認為NIST網絡安全框架 英语 NIST Cybersecurity Framework 是資訊科技電腦安全中最受歡迎的最佳實務 但也有許多受訪者表示這需要相當大金額的投資 4 執法者面對跨國界網路滲透活動的執法 對抗暗網的國際犯罪行為的舉動 產生了複雜的執法權問題 有些甚至到現在都還無解 5 6 各國執法部門為了對抗跨國界網路滲透活動 以及國際執法機關之間的緊張關係 也會讓網路安全標準可以繼續的改善 5 7 國際標準 编辑以下章節列出一些常用的國際標準 ISO IEC 27001及27002 编辑 主条目 ISO IEC 27001 ISO IEC 27001是ISO IEC 27000系列的一部份 是資訊安全管理系統 ISMS 標準 最新版是在2013年10月由國際標準化組織 ISO 及国际电工委员会 IEC 發佈 其全名是 資訊科技 安全技術 資訊安全管理系統 要求 Information technology Security techniques Information security management systems Requirements ISO IEC 27001正式的說明一個以明確的管理控制方式加入資訊安全的管理系統 ISO IEC 27002主要整合了BS 7799 英语 BS 7799 良好安全管理實務標準的第一部份 BS 7799的最新版本是BS 7799 3 有時會用ISO IEC 27002來指稱ISO 17799或BS 7799 第1部份 有時則指第1部份以及第7部份 BS 7799第1部份提供了網路安全管理的良好實務指引 而BS 7799第2部份以及ISO IEC 27001是規範性的 提供認證的框架 ISO IEC 27002是網路安全的高階指引 針對要取得ISO IEC 27001認證的單位而言 最適合做為說明用的指引 認證取得後 可以維持三年 依稽核單位的不同 三年內可能不用再稽核 也可能需要有期中的稽核 ISO IEC 27001 ISMS 取代了BS 7799第2部份 但若組織在BS 7799第2部份的基礎上工作 法規有向後相容 讓正在取得BS 7799第2部份的組織可以比較容易轉換到ISO IEC 27001的認證流程 也有轉換用的稽核 讓取得BS 7799第2部份認證的組織可以轉換為ISO IEC 27001的認證 ISO IEC 27002提供資訊安全系統的最佳實務 包括資訊安全管理系統 ISMS 的初始 實現以及維護 其中提到了資訊安全系統需實現ISO IEC 27002的控制目標 controls objectives 若沒有ISO IEC 27001 ISO IEC 27002的控制目標無法達到效果 ISO IEC 27002的控制目標 整合在在ISO 27001的附錄A中 ISO IEC 21827 SSE CMM ISO IEC 21827 是依系統資安工程能力成熟度模型 SSE CMM 為基礎的國際標準 也可以量測ISO控制目標的成熟度 ISO 15408 编辑 此一標準的全名是 資訊技術安全評估共同準則 Common Criteria for Information Technology Security Evaluation 簡稱為Common Criteria 是電腦安全認證的標準 可以讓不同的軟體及硬體產品進行整合 以安全的方式進行測試 IEC 62443 编辑 主条目 IEC 62443 IEC 62443網路安全標準是依IEC標準產生流程所訂定的 而ANSI ISA 62443提案是提交給美國的委員會並且進行審核 也在委員會中提出意見 IEC 62443中的許多委員會會審核修訂意見 也會在委員會中討論 若大家同意即進行更改 IEC委員會中的許多成員也是ISA S99委員會的成員 迄今為止 已經使用了ANSI ISA 62443原始文件的基礎概念 8 這些標準會由許多不同產業的從業人員使用 以此來設計和評估自動化系統 以提高網絡安全性 許多標準已用在個人 工程流程 產生以及系統網路安全驗證計劃 cybersecurity certification programs 也稱為合格評定計劃 conformity assessment program 中 nbsp 計劃中及已發行的IACS安全性文件ISA 62443的標準及技術報告會分為四類 分別是通則 General 政策及流程 Policies and Procedures 系統 System 及元件 Component 9 第一層 最上層 是一般性或是基礎的資訊 例如概念 模型及術語 也包括描述IACS安全矩陣及安全生命週期的工作成果 第二層的工作成員是針對資產所有者 其中提到有關創建及維持有效IACS安全計劃的許多不同層面 第三層包括了控制系統安全整合的系統設計指引以及要求的相關文件 其中的核心是zone及conduit design model 第四層包括了有關特定控制系統產品的產品開發以及技術需求 主要是針對控制產品的供應商 不過也可以供整合者及資產所有者使用 以建構其安全性產品 ANSI ISA 62443 舊名稱為ISA 99 编辑 ANSI ISA 62443是一系列有關實現安全工業自動化控制系統 IACS 的標準 技術報告及相關資料 這些文件由是國際自動化學會 英语 International Society of Automation ISA 所寫 以美國國家標準協會 ANSI 文件公開發佈 因此最早稱為ANSI ISA 99或ISA99標準 在2010年時 重新編號為ANSI ISA 62443標準 ISA99仍然是ISA工業自動化及控制系統安全委員會 Industrial Automation and Control System Security Committee 的名稱 2002年起 此委員會在針對IACS安全性主題 訂定一系列的標準以及技術報告 這些文件會由國際自動化學會核可 最後以ANSI文件發行 這些文件也會提交給IEC 依循IEC的標準開發程序 這些會是IEC62443國際標準的輸入 ISO SAE 21434 编辑 ISO SAE 21434 道路車輛 網路安全工程 Road vehicles Cybersecurity engineering 是國際標準化組織 ISO 和国际汽车工程师学会 SAE 工作組聯合開發的新型網路安全標準 是依道路車輛的開發週期進行網路安全的措施 其國際標準草案 Draft international standard DIS 階段已在2019年12月期滿 最終標準計劃在2020年11月發佈 10 此一標準和目前正在發展的欧洲联盟網路安全法規有關 為了和歐盟協調 联合国欧洲经济委员会 UNECE 的世界車輛法規協調論壇 WP 29 已在2020年6月發佈網路安全管理系統 UNECE R 155 CSMS 的規範 相關認證是型式認可 英语 Type approval 的強制條件之一 ISO SAE 21434是汽車開發的技術標準 可以證明符合R155的規範 各國標準 编辑NERC 编辑 NERC 北美電力可靠性公司 在2003年建立了電力產業的資訊安全標準 是最早期的相關標準 稱為NERC CSS 北美電力可靠性公司網路安全標準 11 在網路安全標準指引之後 NERC在這些要求上持續的改進及強化 目前最廣為使用的現代NERC安全標準是NERC 1300 是由NERC 1200修改及更新後的內容 NERC 1300的最新版本稱為CIP 002 3至CIP 009 3 CIP為關鍵基礎設備保護的簡稱 這些標準的目的是要保護大宗電力系統 NERC也有在其他領域訂定標準 大宗電力系統標準提供網路安全的管理 也有工業程序上的最佳實務 2 NIST 编辑 主条目 國家標準技術研究所 隸屬於美國商務部的國家標準技術研究院 NIST 負責制定與資訊安全相關的標準與規範 NIST網絡安全框架 英语 NIST Cybersecurity Framework NIST CSF 此框架是根據NIST SP800 53 並以事件風險為基礎發展而成 提供美國政府關鍵基礎設施與一套具成本效益 靈活配置 可循序漸進建立網路安全的控制措施 並針對可能面臨的威脅提前制定應變計劃 此框架的組成有3元素 4要素及5項持續活動 識別 保護 偵測 回應 復原 提供了網路安全成果的高層級分類 以及評估及管理成果的方法論 其目的是要幫助提供關鍵基礎建設的私營部門 提供相關保護的指引 也有針對隐私权及公民自由的保護 12 Special publication 800 12是電腦安全以及控制領域的簡介 其中也強調資訊安全控制的重要性 以及其實施方式 最早此文件是要給美國聯邦政府使用 但在大部份的實務上 這份文件也可以幫助私營部門 其中內容是特別針對聯邦政府中負責敏感系統的人員 3 Special publication 800 14敘述常用的安全原則 提供了在電腦安全政策中需導入事項的高層次敘述 其中敘述了要提昇安全性 需進行的事務 也說明要如何建立新的安全實務 這份文件中有8個原則以及14個實務 4 Special publication 800 26提供有關IT安全管理的建議 後來被NIST SP 800 53第三版取代 此份文件強調自我評估以及風險評估的重要性 5 Special publication 800 37是在2010年所更新 敘述一種新的風險評估方式 應用風險管理框架到聯邦資訊系統的指引 Guide for Applying the Risk Management Framework to Federal Information Systems Special publication 800 53第五版 資訊系統及組織的安全及個人資料控管 Security and Privacy Controls for Information Systems and Organizations 此文件是在2020年9月發佈 在22020年12月10日更新 較第四版的變更處可參考MITRE所整理的比較表 页面存档备份 存于互联网档案馆 NIST的特別出版品SP800 53旨在依公法 P L 107 347 的美國聯邦資訊安全管理法 FISMA 界定其法定責任 美國聯邦資訊安全管理法屬於聯邦法律 規定美國政府機關須訂立及審查能夠優先落實資訊安全且適用於各機關的實務規範 並據此進行通報 NIST 800 53 則明定了聯邦政府和重要基礎架構所需的安全性和隱私權管理具體規範 13 Special publication 800 63 3 數位身份認證指引 Digital Identity Guidelines 在2017年6月發佈 在2017年12月1日更新 其中有實行數位身份認證的指引 包括用戶的身份證明 identity proofing 登記以及認證 6 Special Publication 800 82第二版 工業控制系統資訊安全指引 Guide to Industrial Control System ICS Security 在2015年5月改版 其中敘述如何讓不同種類的工業控制系統免於網路攻擊 也同時考慮工業控制系統的性能 可靠度以及安全需求 7 相關條目 编辑網路安全 201 CMR 17 00 英语 201 CMR 17 00 麻省個人資訊保護標準 BS 7799 英语 BS 7799 首席資安技術長 英语 Chief information security officer Common Criteria 计算机安全 控制系統安全性 Cyber Essentials 英语 Cyber Essentials 英國政府標準 FIPS 140 英语 FIPS 140 信息安全 信息安全指標 英语 Information security indicators 信息保障 IASME 英语 IASME ISO IEC 27002 联邦信息安全办公室 元證書工作組 英语 Meta Certificate Working Group 北美電力可靠性公司 英语 North American Electric Reliability Corporation NERC 國家標準技術研究所 NIST 開放信息安全成熟度模型 英语 Open Information Security Maturity Model 支付卡行業數據安全標準 英语 Payment Card Industry Data Security Standard PCI DSS 隱私工程 英语 Privacy engineering 良好實踐標準 英语 Standard of Good Practice 語義服務型架構 英语 Semantic service oriented architecture SSOA CIS控制腳註 编辑 Guidelines for Smart Grid Cyber Security National Institute of Standards and Technology 2010 08 01 2014 03 30 原始内容存档于2021 04 14 存档副本 2020 12 16 原始内容存档于2021 04 24 存档副本 2020 12 16 原始内容存档于2021 04 19 NIST Cybersecurity Framework Adoption Hampered By Costs Survey Finds 2016 08 02 原始内容存档于2021 04 19 5 0 5 1 Ghappour Ahmed Tallinn Hacking and Customary International Law AJIL Unbound 2017 01 01 111 224 228 2020 12 16 doi 10 1017 aju 2017 59 原始内容存档于2021 04 20 Ghappour Ahmed Searching Places Unknown Law Enforcement Jurisdiction on the Dark Web Stanford Law Review 2017 04 01 69 4 1075 2020 12 16 原始内容存档于2021 04 20 Ghappour Ahmed Searching Places Unknown Law Enforcement Jurisdiction on the Dark Web Stanford Law Review 2017 69 4 2020 12 16 原始内容存档于2021 04 20 英语 Standards and References IEC 62443 www iec ch 2020 12 22 原始内容存档于2021 03 08 More information about the activities and plans of the ISA99 committee is available on the committee Wiki site 1 ISO SAE DIS 21434 Road vehicles Cybersecurity engineering 2021 05 14 原始内容存档于2021 04 08 Symantec Control Compliance Suite NERC and FERC Regulation 互联网档案馆的存檔 存档日期2016 10 22 Subsection History of NERC Standards NIST Cybersecurity Framework 2016 08 02 原始内容存档于2021 05 01 NIST SP 800 53 Rev 5 2021 03 17 原始内容存档于2021 04 23 參考資料 编辑 Department of Homeland Security A Comparison of Cyber Security Standards Developed by the Oil and Gas Segment November 5 2004 Guttman M Swanson M National Institute of Standards and Technology Technology Administration U S Department of Commerce Generally Accepted Principles and Practices for Securing Information Technology Systems 800 14 September 1996 National Institute of Standards and Technology Technology Administration U S Department of Commerce An Introduction to Computer Security The NIST Handbook Special Publication 800 12 Swanson M National Institute of Standards and Technology Technology Administration U S Department of Commerce Security Self Assessment Guide for Information Technology Systems 800 26 Grassi P Garcia M Fenton J National Institute of Standards and Technology U S Department of Commerce Digital Identity Guidelines 800 63 3 Stouffer K Pillitteri V Lightman S Abrams M Hahn A National Institute of Standards and Technology U S Department of Commerce Guide to Industrial Control Systems ICS Security 800 82 The North American Electric Reliability Council NERC http www nerc com 页面存档备份 存于互联网档案馆 Retrieved November 12 2005 Federal Financial Institutions Examination Council FFIEC https www ffiec gov 页面存档备份 存于互联网档案馆 Retrieved April 18 2018 外部連結 编辑ISA99 Committee home page 页面存档备份 存于互联网档案馆 NERC Standards see CIP 002 009 Securing Cyberspace Media 页面存档备份 存于互联网档案馆 Presentation by Professor William Sanders University of Illinois Global Cybersecurity Policy Conference A 10 Minute Guide to the NIST Cybersecurity Framework 页面存档备份 存于互联网档案馆 Federal Financial Institutions Examination Council s FFIEC Web Site 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title 網路安全標準 amp oldid 79249769, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。