五个最令人沮丧的子类别
Posted: Mon Feb 10, 2025 10:46 am
1. [ID.BE-2] 确定并传达组织在关键基础设施及其行业领域中的地位
第二次被提名!我实在无法想象,一个网络安全专家竟然向高管团队和董事会宣讲网络安全的重要性,这是多么奇怪。是的,这应该由他们来做;是的,对于那些重要的公司来说,这已经是了。
2. [PR.IP-8] 共享保护技术的有效性
没有人衡量过保护技术的有效性,那么他们如何分享呢?
3. [RS.CO-5] 与外部利益相关者自愿共享信息,以实现更广泛的网络安全态势感知
“现在请听我们的赞助商发言。”你看,我认为自己是一个非常关心社区的人,我通常认为组织应该分享他们知道可能会影响他人的重要信息。但将其纳入旨在保护组织的控制框架的想法是荒谬的,更不用 医生数据库 说自私自利了。公司经常保守秘密,通常是出于很好的理由。监管机构和选民之间的关系在许多情况下可能很脆弱。而且它对组织的风险状况完全没有影响。
4. [RC.CO-2] 事件发生后声誉得到修复
声誉是变化无常的。声誉良好的公司在事件发生后通常无需做任何事情来“修复”其声誉——他们已经知道如何与关键客户沟通、解决问题并继续建立关系。但声誉是否得到修复不受任何组织的控制;这取决于其他相关方。
5. 所有包含“理解”一词的子类别
“回去吧,这是个陷阱!”在某个时候,如果这些子类别中的任何一个被测试,它们唯一能做的就是展示人类如何频繁地沟通不畅。无论是被受害者用作借口,还是被网络安全专家用作控诉,事后看来,“谁理解了什么”总是存在争议。
毫无疑问,NIST CSF 是大多数组织网络安全战略的重要组成部分。与之保持一致的最佳方式是通过 NIST CSF 准备情况评估,该评估确定了可操作项目中的优先子类别,并将该计划与同一行业中其他类似规模的公司进行对比。如需更详细地分析如何开发和实施最适合您组织安全计划的 NIST CSF 框架,请阅读新电子书《使用 NIST 网络安全框架构建全面的网络安全计划》。
下载电子书
第二次被提名!我实在无法想象,一个网络安全专家竟然向高管团队和董事会宣讲网络安全的重要性,这是多么奇怪。是的,这应该由他们来做;是的,对于那些重要的公司来说,这已经是了。
2. [PR.IP-8] 共享保护技术的有效性
没有人衡量过保护技术的有效性,那么他们如何分享呢?
3. [RS.CO-5] 与外部利益相关者自愿共享信息,以实现更广泛的网络安全态势感知
“现在请听我们的赞助商发言。”你看,我认为自己是一个非常关心社区的人,我通常认为组织应该分享他们知道可能会影响他人的重要信息。但将其纳入旨在保护组织的控制框架的想法是荒谬的,更不用 医生数据库 说自私自利了。公司经常保守秘密,通常是出于很好的理由。监管机构和选民之间的关系在许多情况下可能很脆弱。而且它对组织的风险状况完全没有影响。
4. [RC.CO-2] 事件发生后声誉得到修复
声誉是变化无常的。声誉良好的公司在事件发生后通常无需做任何事情来“修复”其声誉——他们已经知道如何与关键客户沟通、解决问题并继续建立关系。但声誉是否得到修复不受任何组织的控制;这取决于其他相关方。
5. 所有包含“理解”一词的子类别
“回去吧,这是个陷阱!”在某个时候,如果这些子类别中的任何一个被测试,它们唯一能做的就是展示人类如何频繁地沟通不畅。无论是被受害者用作借口,还是被网络安全专家用作控诉,事后看来,“谁理解了什么”总是存在争议。
毫无疑问,NIST CSF 是大多数组织网络安全战略的重要组成部分。与之保持一致的最佳方式是通过 NIST CSF 准备情况评估,该评估确定了可操作项目中的优先子类别,并将该计划与同一行业中其他类似规模的公司进行对比。如需更详细地分析如何开发和实施最适合您组织安全计划的 NIST CSF 框架,请阅读新电子书《使用 NIST 网络安全框架构建全面的网络安全计划》。
下载电子书