Security – management – Framework -1

0. Framework

  • Core: Function -> categories -> subcategories – Informative References

Capture cybersecurities framework core… Response (funct.): Response Planning; Communications; Analysis; Mitigation; and Improvements

  • Profile: Profile là các phân loại (category). The Framework Profile (“Profile”) is the alignment of the Functions, Categories, and Subcategories with the business requirements, risk tolerance, and resources of the organization

1. Sử dụng framework cho tổ chức

-B.1 Ưu tiên và xác định phạm vi (Prioritize and Scope) – Ưu tiên và mục đích kinh doanh, chiến lược
-B.2: Định hướng (Orient) – Nhận diện các hệ thống, tài sản, qui định liên quan + Nguy cơ và điểm yếu cả các hệ thống/tài sản này
-B.3: Tạo dựng profile hiện tại (hình ảnh hiện tại) – chỉ ra những loại (category & subcategory) trong Framework core mà doanh nghiệp đang đạt được
-B.4: Tiến hành đánh giá rủi ro – Việc đánh giá có thể được dẫn dắt bởi quy trình quản lý rủi ro chung (overall risk management process) hay các hoạt động đánh giá trước đây. Tổ chức phân tích môi trường hoạt động để nhận thức (discern) xác suất của một sự kiện an toàn không gian mạng và tác động của nó lên tổ chức. Quan trọng là tổ chức cần tìm kiếm nhằm phối hợp rủi ro (risk) – mối nguy hiểm (thread) – điểm yếu (vulnerability) để làm cho việc hiểu được nguy cơ và ảnh hưởng của an toàn không gian mạng dễ dàng hơn (facilitate)
-B.5: Tạo profile mục tiêu (hình ảnh mong muốn) – Tạo profile mong muốn tập trung vào việc đánh giá Phân loại (category and subcategory) của Framwork core (theo rủi ro). Tổ chức có thể phát triển các phân loại của riêng mình theo rủi ro đặc thù.
-B.6: Xác định, Phân tích và Ưu tiên khoảng cách (Gaps) – So sánh giữa profile hiện tại (current) với profile mục tiêu (target). Ưu tiên hóa kế hoạch hành động để xử lý các khoảng cách: nguồn lực.
-B.7: Triển khai kế hoạch hành động: Tiến hành và theo dõi (monitor) các hoạt động (practice) so sánh với profile mục tiêu. Tham chiếu Informative references liên quan các phân loại (category and subcategory)

Một ví dụ về profile chi tiết (category và subcategory) trong chức năng (function) định danh:

capture-frw core-cat and subcat sample

2. Quản lý rủi ro (Risk management)

The Framework is adaptive to provide a flexible and risk-based implementation that can be used with a broad array of cybersecurity risk management processes. Examples of cybersecurity risk management processes include International Organization for Standardization (ISO) 31000:20093 , ISO/IEC 27005:20114 , National Institute of Standards and Technology (NIST) Special Publication (SP) 800-395 , and the Electricity Subsector Cybersecurity Risk Management Process (RMP) guideline6 .

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s