资产管理标准与技术英国国家网络安全中心(NCSC)发布的3.0版网络评估框架(Cyber Assessment Framework: CAF),为负责重要服务和活动的组织提供指导,即运营关键国家基础设施的组织,如能源、供水、运输、电信和卫生等领域。该框架包含了组织治理(Governance)、风险管理(Risk Management)、供应链(Supply chain)、数据安全(Data Security)等14个合规领域,资产管理(Asset management)是其中关键评估领域。
网络评估框架推荐遵守ISO 55001资产管理体系以实现基础设施网络安全。NCSC指出:资产管理体系应该考虑所有相关资产,以及资产之间的依赖关系。要使资产有效管理,必须在资产的全寿命周期中保持资产信息的及时更新。资产管理在实现基础设施网络安全中发挥关键作用,只有了解资产发挥的关键作用,才能有效地管理风险。
此外,NCSC还发布了《网络防卫评估框架》,目的是通过基于风险的方法,评估认可机构的网络风险状况及防范网络攻击所需达到的能力水平。评估结果将作为制定提高网络防卫能力方案的依据。通过该框架,认可授权机构根据控制原则评估内在风险和网络安全措施的成熟度,更好地理解、评估、加强并不断提高网络弹性。
更多详情,见NCSC网络评估框架3.0版。
