網絡安全原則的目的是為組織如何保護其系統和數據免受網絡威脅提供戰略指導。這些網絡安全原則分為四個關鍵活動：治理、保護、檢測和響應。

治理： 識别和管理安全風險。

保護： 實施安全控制以降低安全風險。

檢測： 檢測和了解網絡安全事件。

響應： 響應網絡安全事件并從中恢複。

G1： 首席信息安全官負責領導和監督網絡安全。

G2： 确定并記錄系統、應用程序和數據的身份和價值。

G3： 确定并記錄系統、應用程序和數據的機密性、完整性和可用性要求。

G4： 安全風險管理流程嵌入到組織風險管理框架中。

G5： 在系統和應用程序被授權使用之前，以及在整個運行生命周期中，安全風險都會被識别、記錄、管理和接受。

P1： 系統和應用程序根據其價值及其機密性、完整性和可用性要求進行設計、部署、維護和退役。

P2： 系統和應用程序由值得信賴的供應商交付和支持。

P3： 系統和應用程序配置為減少其攻擊面。

P4： 系統和應用程序以安全、負責和可審計的方式進行管理。

P5： 及時識别和緩解系統和應用程序中的安全漏洞。

P6： 隻有受信任和支持的操作系統、應用程序和計算機代碼才能在系統上執行。

P7： 數據在不同系統之間靜态加密和傳輸。

P8： 不同系統之間通信的數據是受控的、可檢查的和可審計的。

P9： 數據、應用程序和配置設置會定期以安全且經過驗證的方式進行備份。

P10： 隻有經過信任和審查的人員才能訪問系統、應用程序和數據存儲庫。

P11： 人員被授予對其職責所需的系統、應用程序和數據存儲庫的最低訪問權限。

P12： 使用多種方法識别系統、應用程序和數據存儲庫的人員并對其進行身份驗證。

P13： 為人員提供持續的網絡安全意識培訓。

P14： 對系統、支持基礎設施和設施的物理訪問僅限于授權人員。

D1： 及時檢測、收集、關聯和分析網絡安全事件和異常活動。

R1： 網絡安全事件及時識别并向相關機構進行内部和外部報告。

R2： 網絡安全事件得到及時控制、根除和恢複。

R3： 業務連續性和災難恢複計劃在需要時制定。

在實施網絡安全原則時，組織可以使用以下成熟度模型來評估單個原則，原則組或整個網絡安全原則的實施情況。成熟度模型中的五個級别是：

不完整： 網絡安全原則要麼部分實施，要麼未實施。

首先： 網絡安全原則得到實施，但以不良或臨時的方式實施。

發展： 網絡安全原則得到了充分的實施，但要逐個項目實施。

管理： 網絡安全原則被确立為标準業務實踐，并在整個組織中得到強有力的實施。

優化： 為了在整個組織中實施網絡安全原則，有意識地關注優化和持續改進。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!