美国NIST网络安全框架中文版

如有你有帮助，请购买下载，谢谢！（水平有限，翻译粗糙，仅供参考）

为改善关键基础设施网络安全框架

Version 1.0

国家标准与技术研究所

February 12, 2014

Table of Contents

Executive Summary (1)

1.0 Framework Introduction (3)

2.0 Framework Basics (7)

3.0 How to Use the Framework (13)

Appendix A: Framework Core (18)

Appendix B: Glossary (37)

Appendix C: Acronyms (39)

List of Figures

Figure 1: Framework Core Structure (7)

Figure 2: Notional Information and Decision Flows within an Organization (12)

List of Tables

Table 1: Function and Category Unique Identifiers (19)

Table 2: Framework Core (20)

执行摘要

美国的国家安全和经济安全取决于关键基础设施的可靠运作的。网络安全威胁攻击日益复

杂和关键基础设施系统的连接，把国家的安全，经济，风险公众安全和健康。类似的财务

和声誉风险，网络安全风险影响到公司的底线。它可以驱动多达费用及影响收入。它可能

会损害一个组织的创新，以获得并保持客户的能力。

为了更好地解决这些风险，总统于2013年2月12日，其中规定“[I] t是美国的政策，加

强国家的安全和弹性颁布行政命令13636，”改善关键基础设施的网络安全。“关键基础

设施和维护，鼓励高效，创新，和经济繁荣，同时促进安全，保安，商业机密，隐私和公

民自由。“在制定这项政策的网络环境，执行命令为自愿风险的发展需要基于网络安全框

架 - 一套行业标准和最佳实践，帮助企业管理网络安全风险。由此产生的框架，通过政府

和私营部门之间的合作创建的，使用共同的语言，无需放置额外的监管要求，对企业在根

据业务需要具有成本效益的方式处理和管理网络安全风险。

该框架着重于使用业务驱动因素，以指导网络安全的活动，并考虑网络安全风险，组织风

险管理程序的一部分。该框架由三部分组成：核心框架，该框架配置文件和框架实施层级。该框架的核心是一套网络安全的活动，成果，和翔实的参考资料是通用的重要基础设施行业，为发展个人组织档案的详细指导。通过使用配置文件中，该框架将帮助组织调整其网

络安全的活动，其业务需求，风险承受能力和资源。各层提供一个机制，组织查看和了解

他们的方法来管理网络安全风险的特性。

该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时，重要的基础设施组

织开展网络安全的活动。虽然流程和现有的需求会有所不同，该框架能够帮助组织整合的

隐私和公民自由的全面网络安全计划的一部分。

该框架使组织 - 无论大小，网络安全风险程度，或网络安全的复杂性 - 原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种

途径，以网络安全组装标准，准则和做法，如今正在有效地业。此外，因为它引用了全球

公认的标准，网络安全，该框架还可以用于由位于美国以外的组织，可以作为一个典范加

强关键基础设施的网络安全国际合作。

该框架是不是一个尺寸适合所有人的方法来管理网络安全风险的关键基础设施。组织将继

续有独特的风险 - 不同的威胁，不同的弱点，不同的风险承受能力 - 以及他们如何实施该框