美國證券交易委員會(huì)（SEC）一直關(guān)注網(wǎng)絡(luò)安全問題，尤其在市場(chǎng)體系、客戶數(shù)據(jù)保護(hù)、重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事故的披露，以及遵守聯(lián)邦證券法規(guī)定的法律和監(jiān)管義務(wù)等領(lǐng)域。[1]網(wǎng)絡(luò)安全也是美國證券交易委員會(huì)合規(guī)監(jiān)察辦公室OCIE的一個(gè)關(guān)鍵優(yōu)先事項(xiàng)。OCIE強(qiáng)調(diào)信息安全是證券市場(chǎng)參與者面臨的一個(gè)重大風(fēng)險(xiǎn)并發(fā)布了8個(gè)與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)警報(bào)。[2]通過對(duì)經(jīng)紀(jì)商、投資顧問、清算機(jī)構(gòu)、國家證券交易所和其他SEC注冊(cè)人的數(shù)千次檢查，OCIE找到了管理和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及維護(hù)和增強(qiáng)運(yùn)營彈性的各種行業(yè)的實(shí)踐和方法。其中包括治理和風(fēng)險(xiǎn)管理、訪問權(quán)限和控制、數(shù)據(jù)丟失預(yù)防、移動(dòng)安全、事件響應(yīng)和恢復(fù)能力、供應(yīng)商管理以及培訓(xùn)和安全意識(shí)等領(lǐng)域的實(shí)踐。OCIE提供下述意見，以協(xié)助市場(chǎng)參與者考慮如何加強(qiáng)網(wǎng)絡(luò)安全準(zhǔn)備和運(yùn)營彈性。

　　from pixabay

　　美國證券交易委員會(huì)合規(guī)監(jiān)察辦公室

　　（OCIE）：網(wǎng)絡(luò)安全和彈性觀察

　　譯 / 北京師范大學(xué)法學(xué)院碩士研究生 張齡元

　　網(wǎng)絡(luò)安全威脅在本質(zhì)上是全球性的，具有多個(gè)來源，不因證券和金融市場(chǎng)以及市場(chǎng)參與者的區(qū)別而有所不同。對(duì)投資者、發(fā)行人和其他證券市場(chǎng)參與者，以及更普遍的金融市場(chǎng)和經(jīng)濟(jì)而言，威脅的嚴(yán)重性和潛在后果是顯著的，而且在不斷增加。隨著市場(chǎng)、市場(chǎng)參與者及其供應(yīng)商越來越依賴包括數(shù)字連接和系統(tǒng)在內(nèi)的技術(shù)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理變得至關(guān)重要。事實(shí)上，在一個(gè)網(wǎng)絡(luò)威脅實(shí)施者變得越來越激進(jìn)和老練的環(huán)境中，并且在某些情況下，他們獲得了包括國家行為體在內(nèi)的大量資源的支持。參與證券市場(chǎng)的公司、市場(chǎng)基礎(chǔ)設(shè)施提供商和供應(yīng)商都應(yīng)適當(dāng)?shù)乇O(jiān)督、評(píng)估和管理包括運(yùn)營彈性在內(nèi)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況。

　　治理和風(fēng)險(xiǎn)管理

　　有效的網(wǎng)絡(luò)安全項(xiàng)目始于高層的正確基調(diào)，高層領(lǐng)導(dǎo)致力于通過與他人合作來了解、優(yōu)先考慮、溝通和減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而改善組織的網(wǎng)絡(luò)態(tài)勢(shì)。雖然任何給定的網(wǎng)絡(luò)安全項(xiàng)目的有效性都是特定于事實(shí)的，但我們注意到，有效項(xiàng)目的一個(gè)關(guān)鍵要素是納入治理和風(fēng)險(xiǎn)管理程序，該程序通常包括以下內(nèi)容：（i）風(fēng)險(xiǎn)評(píng)估，以識(shí)別、分析和優(yōu)先考慮組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；（ii）應(yīng)對(duì)上述風(fēng)險(xiǎn)的書面網(wǎng)絡(luò)安全政策及程序；以及（iii）這些政策和程序的有效實(shí)施和執(zhí)行。

　　OCIE觀察到各組織采用了以下風(fēng)險(xiǎn)管理和治理措施：

　　高層介入。將董事會(huì)和高級(jí)領(lǐng)導(dǎo)層的注意力適當(dāng)?shù)赝度氲街贫☉?zhàn)略和監(jiān)督組織的網(wǎng)絡(luò)安全和彈性計(jì)劃上。

　　風(fēng)險(xiǎn)評(píng)估。制定和實(shí)施風(fēng)險(xiǎn)評(píng)估流程，以識(shí)別、管理和減少與組織業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。作為確定風(fēng)險(xiǎn)評(píng)估方法的一部分，需要考慮本組織的商業(yè)模式，并努力識(shí)別和優(yōu)先考慮潛在的安全隱患，包括遠(yuǎn)程或出差員工、內(nèi)部威脅、國際業(yè)務(wù)和地緣政治風(fēng)險(xiǎn)等。

　　政策和程序。采用和實(shí)施全面的書面政策和程序，處理以下討論的領(lǐng)域和確定的風(fēng)險(xiǎn)。

　　測(cè)試和監(jiān)控。建立全面的測(cè)試和監(jiān)測(cè)機(jī)制，定期、頻繁地驗(yàn)證網(wǎng)絡(luò)安全政策和程序的有效性。測(cè)試和監(jiān)控可以基于網(wǎng)絡(luò)威脅情報(bào)進(jìn)行。

　　持續(xù)評(píng)估和適應(yīng)變化。及時(shí)針對(duì)測(cè)試和監(jiān)測(cè)結(jié)果作出反應(yīng)，更新政策和程序，以解決任何差距或弱點(diǎn)，并讓董事會(huì)和高級(jí)領(lǐng)導(dǎo)層適當(dāng)參與。

　　溝通。建立內(nèi)部和外部溝通政策和程序，及時(shí)向決策者、客戶、員工、其他市場(chǎng)參與者和監(jiān)管機(jī)構(gòu)（視情況而定）提供信息。

　　訪問權(quán)限和控制

　　訪問權(quán)限和控件用于根據(jù)工作職責(zé)確定組織系統(tǒng)的合適用戶，并部署控制以限制授權(quán)用戶的訪問。訪問控制通常包括：（i）掌握包括客戶信息在內(nèi)的整個(gè)組織的數(shù)據(jù)位置；（ii）限制授權(quán)用戶訪問系統(tǒng)和數(shù)據(jù)；以及（iii）建立適當(dāng)?shù)目刂拼胧苑乐购捅O(jiān)測(cè)未經(jīng)授權(quán)的訪問。

　　OCIE在執(zhí)行以下任務(wù)的組織中觀察到了與訪問權(quán)限和控制相關(guān)的策略：

　　用戶訪問。明確系統(tǒng)和數(shù)據(jù)的訪問需求。這包括根據(jù)用戶在本組織信息系統(tǒng)上進(jìn)行合法和授權(quán)活動(dòng)的需要，限制對(duì)敏感系統(tǒng)和數(shù)據(jù)的訪問，并要求定期審查賬戶。

　　訪問管理。通過以下系統(tǒng)和程序管理用戶訪問：（i）適當(dāng)限制訪問，包括在入職、轉(zhuǎn)崗和終止期間；（ii）對(duì)用戶準(zhǔn)入審批實(shí)行職責(zé)分離；（iii）定期恢復(fù)用戶訪問權(quán)限（特別注意用戶、管理員和服務(wù)帳戶等特權(quán)級(jí)別較高的賬戶）；（iv）要求使用安全強(qiáng)度高的密碼并定期更改；（v）以利用應(yīng)用程序或密鑰鏈生成額外的驗(yàn)證碼的方式進(jìn)行多因素認(rèn)證；以及（vi）立即撤銷不再受雇于本組織的個(gè)人（包括前承包商）的系統(tǒng)訪問權(quán)限。

　　訪問監(jiān)控。監(jiān)控用戶訪問并制定以下程序：（i）監(jiān)控失敗的登錄嘗試和帳戶鎖定；（ii）確保妥善處理客戶的用戶名和密碼的更改請(qǐng)求，以及驗(yàn)證異常或不尋?？蛻粽?qǐng)求的程序；（iii）持續(xù)審查系統(tǒng)硬件和軟件變更，以識(shí)別何時(shí)發(fā)生更改；以及（iv）確保任何變更均獲批準(zhǔn)并正確實(shí)施，并對(duì)任何異常情況進(jìn)行調(diào)查。

　　數(shù)據(jù)丟失預(yù)防

　　數(shù)據(jù)丟失預(yù)防通常包括一組工具和流程，組織使用這些工具和流程可以確保敏感數(shù)據(jù)（包括客戶端信息）不會(huì)丟失、濫用或被未經(jīng)授權(quán)的用戶訪問。

　　OCIE觀察到各組織采用了以下數(shù)據(jù)丟失預(yù)防措施：

　　漏洞掃描。建立漏洞管理程序，包括對(duì)組織內(nèi)和適用第三方提供商的軟件代碼、web應(yīng)用程序、服務(wù)器和數(shù)據(jù)庫、工作站和終端的例行掃描。

　　周邊安全。實(shí)現(xiàn)能夠控制、監(jiān)視和檢查所有傳入和傳出網(wǎng)絡(luò)流量的功能，以防止未經(jīng)授權(quán)或有害的流量。這些功能包括防火墻、入侵檢測(cè)系統(tǒng)、電子郵件安全功能以及帶有內(nèi)容過濾功能的web代理系統(tǒng)。實(shí)施企業(yè)數(shù)據(jù)丟失預(yù)防解決方案，能夠監(jiān)控和阻止對(duì)個(gè)人電子郵件、基于云的文件共享服務(wù)、社交媒體網(wǎng)站和可移動(dòng)媒體（如USB和CD）的訪問。

　　安全偵測(cè)。實(shí)現(xiàn)能夠檢測(cè)端點(diǎn)上的威脅的功能。考慮使用可以同時(shí)利用簽名和基于行為的功能并且可以識(shí)別傳入的欺詐通信、以防止未經(jīng)授權(quán)的軟件或惡意軟件運(yùn)行的產(chǎn)品。制定策略和具體步驟，從系統(tǒng)和應(yīng)用程序中捕獲和保留系統(tǒng)日志，以進(jìn)行聚合和分析。對(duì)于提供自動(dòng)操作（如宏和腳本）的軟件，啟用可選的安全功能或遵循第三方軟件提供商提供的安全指南。

　　補(bǔ)丁管理。建立涵蓋所有軟件（即內(nèi)部開發(fā)、定制現(xiàn)成軟件和其他第三方軟件）和硬件的補(bǔ)丁管理程序，包括防病毒和反惡意軟件安裝。

　　盤點(diǎn)硬件和軟件。維護(hù)硬件和軟件資產(chǎn)清單，包括關(guān)鍵資產(chǎn)和信息的標(biāo)識(shí)（即知道它們位于何處，以及如何保護(hù)它們）。

　　加密和網(wǎng)絡(luò)分割。使用工具和程序保護(hù)數(shù)據(jù)和系統(tǒng)，包括：（i）對(duì)內(nèi)部和外部“運(yùn)行中”的數(shù)據(jù)進(jìn)行加密；（ii）加密所有系統(tǒng)上的“靜態(tài)”數(shù)據(jù)，包括筆記本電腦、臺(tái)式機(jī)、移動(dòng)電話、平板電腦和服務(wù)器；以及（iii）實(shí)施網(wǎng)絡(luò)分段和訪問控制列表，以將數(shù)據(jù)可用性限制為僅授權(quán)的系統(tǒng)和網(wǎng)絡(luò)。

　　監(jiān)控內(nèi)部威脅。創(chuàng)建內(nèi)部威脅程序，以識(shí)別可疑行為，包括酌情將問題上報(bào)給高級(jí)領(lǐng)導(dǎo)層。增加業(yè)務(wù)系統(tǒng)測(cè)試的深度和頻率，并進(jìn)行滲透測(cè)試。制定規(guī)則以識(shí)別和阻止敏感數(shù)據(jù)（例如，賬號(hào)、社會(huì)安全號(hào)碼、交易信息和源代碼）的傳輸離開組織。根據(jù)測(cè)試和監(jiān)控結(jié)果、業(yè)務(wù)運(yùn)營或技術(shù)的重大變化以及任何其他重大事件，來跟蹤糾正措施。

　　保留遺留系統(tǒng)和設(shè)備的安全。通過使用以下程序驗(yàn)證硬件和軟件的退役和處置不會(huì)產(chǎn)生系統(tǒng)漏洞：（i）刪除退役硬件和軟件的敏感信息并及時(shí)處置；以及（ii）隨著遺留系統(tǒng)被更現(xiàn)代化的系統(tǒng)所取代，重新評(píng)估計(jì)算機(jī)安全隱患和風(fēng)險(xiǎn)評(píng)估。

　　移動(dòng)安全

　　移動(dòng)設(shè)備和應(yīng)用程序可能會(huì)產(chǎn)生額外的獨(dú)特漏洞。OCIE在使用移動(dòng)應(yīng)用程序的組織中觀察到以下移動(dòng)安全措施：

　　政策和程序。制定使用移動(dòng)設(shè)備的政策和程序。

　　管理移動(dòng)設(shè)備的使用。將移動(dòng)設(shè)備管理（MDM）應(yīng)用程序或類似技術(shù)用于組織的業(yè)務(wù)，包括電子郵件通信、日歷、數(shù)據(jù)存儲(chǔ)和其他活動(dòng)。如果使用“自帶設(shè)備”策略，請(qǐng)確保MDM解決方案適用于所有移動(dòng)電話/設(shè)備操作系統(tǒng)。

　　實(shí)施安全措施。要求所有內(nèi)部和外部用戶使用MFA。采取措施防止將信息打印、復(fù)制、粘貼或保存到個(gè)人擁有的計(jì)算機(jī)、智能手機(jī)或平板電腦上。確保能夠遠(yuǎn)程清除屬于前員工的設(shè)備或丟失的設(shè)備上的數(shù)據(jù)和內(nèi)容。

　　培訓(xùn)員工。對(duì)員工進(jìn)行移動(dòng)設(shè)備政策和有效實(shí)踐方面的培訓(xùn)，以保護(hù)移動(dòng)設(shè)備。

　　事件響應(yīng)和恢復(fù)能力

　　事件響應(yīng)包括：（i）及時(shí)發(fā)現(xiàn)并適當(dāng)披露與事件有關(guān)的重大信息；以及（ii）評(píng)估針對(duì)事故采取的糾正措施的適當(dāng)性。事件響應(yīng)計(jì)劃的一個(gè)重要組成部分包括業(yè)務(wù)連續(xù)性和恢復(fù)能力（即如果發(fā)生事件，組織能夠以多快的速度恢復(fù)并再次安全地為客戶服務(wù)）。

　　OCIE觀察到，許多制定事故應(yīng)對(duì)計(jì)劃的組織往往包括以下要素：

　　制定計(jì)劃。針對(duì)各種情況制定風(fēng)險(xiǎn)評(píng)估事件響應(yīng)計(jì)劃，包括拒絕服務(wù)攻擊、惡意造謠、勒索軟件、核心員工繼任以及極端但合理的情況。在制定業(yè)務(wù)連續(xù)性計(jì)劃、政策和程序時(shí)，考慮過去的網(wǎng)絡(luò)安全事件和當(dāng)前的網(wǎng)絡(luò)威脅情報(bào)。建立和維持程序，包括：（i）事件發(fā)生時(shí)及時(shí)通知和響應(yīng)；（ii）將事件升級(jí)到適當(dāng)管理級(jí)別的流程，包括法律和合規(guī)職能部門；以及（iii）與核心利益相關(guān)者的溝通。

　　適用報(bào)告需求的處理。確定并遵守適用的聯(lián)邦和州網(wǎng)絡(luò)事件或事件報(bào)告要求，如金融機(jī)構(gòu)提交可疑活動(dòng)報(bào)告或上市公司披露重大風(fēng)險(xiǎn)和事件的要求。例如，組織應(yīng)考慮：

　　? 如果發(fā)現(xiàn)或懷疑攻擊/數(shù)據(jù)泄露，請(qǐng)聯(lián)系地方當(dāng)局或聯(lián)邦調(diào)查局。

　　? 通知監(jiān)管機(jī)構(gòu)并與相關(guān)組織共享信息，包括危害指標(biāo)（在網(wǎng)絡(luò)或操作系統(tǒng)上觀察到的表明潛在入侵的工件）。

　　? 及時(shí)通知數(shù)據(jù)遭到泄露的顧客、客戶和員工。

　　指派人員執(zhí)行計(jì)劃的特定區(qū)域。在發(fā)生網(wǎng)絡(luò)事件時(shí)，指定具有特定角色和責(zé)任的員工。在此過程中，提前確定其他網(wǎng)絡(luò)安全和恢復(fù)專業(yè)知識(shí)。

　　測(cè)試和評(píng)估計(jì)劃。使用各種方法（包括桌面練習(xí)）測(cè)試事件響應(yīng)計(jì)劃和潛在恢復(fù)時(shí)間。如果發(fā)生事故，實(shí)施計(jì)劃并評(píng)估事故后的反應(yīng)，以確定是否有必要對(duì)程序進(jìn)行任何更改。

　　OCIE觀察到了以下應(yīng)對(duì)彈性的策略：

　　維護(hù)核心業(yè)務(wù)操作和系統(tǒng)的庫存。確定核心業(yè)務(wù)服務(wù)并確定其優(yōu)先級(jí)。了解單個(gè)系統(tǒng)或流程故障對(duì)業(yè)務(wù)服務(wù)的影響。計(jì)劃支持業(yè)務(wù)服務(wù)的系統(tǒng)和流程，包括組織可能無法直接控制的系統(tǒng)和流程。

　　評(píng)估風(fēng)險(xiǎn)并確定業(yè)務(wù)運(yùn)營的優(yōu)先級(jí)。制定運(yùn)營彈性戰(zhàn)略，并根據(jù)組織的具體情況確定風(fēng)險(xiǎn)容限。在制定戰(zhàn)略時(shí)，組織會(huì)考慮：（i）確定哪些系統(tǒng)和流程可以在中斷期間被替換，以便繼續(xù)提供業(yè)務(wù)服務(wù)；（ii）確保備份數(shù)據(jù)的地理分離，避免集中風(fēng)險(xiǎn)；以及（iii）業(yè)務(wù)中斷對(duì)機(jī)構(gòu)利益相關(guān)者和其他組織的影響。

　　額外的保障措施。在不同的網(wǎng)絡(luò)和離線狀態(tài)下維護(hù)備份數(shù)據(jù)。評(píng)估網(wǎng)絡(luò)安全保險(xiǎn)是否適合組織的業(yè)務(wù)。

　　供應(yīng)商管理

　　與供應(yīng)商管理相關(guān)的實(shí)踐和控制通常包括以下政策和程序：（i）對(duì)供應(yīng)商選擇進(jìn)行盡職調(diào)查；（ii）監(jiān)督供應(yīng)商和合同條款；（iii）評(píng)估如何將供應(yīng)商關(guān)系視為組織持續(xù)風(fēng)險(xiǎn)評(píng)估過程的一部分，以及組織如何確定對(duì)供應(yīng)商進(jìn)行適當(dāng)?shù)谋M職調(diào)查；以及（iv）評(píng)估供應(yīng)商如何保護(hù)任何可訪問的客戶信息。

　　OEIC觀察到各組織在供應(yīng)商管理領(lǐng)域采取了以下做法：

　　供應(yīng)商管理程序。制定供應(yīng)商管理計(jì)劃，以確保供應(yīng)商滿足安全要求，并實(shí)施適當(dāng)?shù)谋Ｕ洗胧?。利用基于行業(yè)標(biāo)準(zhǔn)（如SOC 2、SSAE 18）審查和獨(dú)立審計(jì)的調(diào)查問卷。建立終止或更換供應(yīng)商（包括基于云的服務(wù)提供商）的程序。

　　了解供應(yīng)商關(guān)系。理解所有合同條款，包括權(quán)利、責(zé)任、期望和其他特定條款，以確保各方對(duì)如何應(yīng)對(duì)風(fēng)險(xiǎn)和安全有相同的理解。掌握和管理與供應(yīng)商外包相關(guān)的風(fēng)險(xiǎn)，包括供應(yīng)商使用基于云的服務(wù)。

　　供應(yīng)商監(jiān)控和測(cè)試。監(jiān)控供應(yīng)商關(guān)系，確保供應(yīng)商繼續(xù)滿足安全要求，并了解供應(yīng)商服務(wù)或人員的變化。

　　培訓(xùn)和安全意識(shí)

　　培訓(xùn)和安全意識(shí)是網(wǎng)絡(luò)安全項(xiàng)目的關(guān)鍵組成部分。培訓(xùn)為員工提供有關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)和責(zé)任的信息，并提高對(duì)網(wǎng)絡(luò)威脅的認(rèn)識(shí)。OCIE觀察到各組織在網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)領(lǐng)域采用了以下做法：

　　作為培訓(xùn)指南的政策和程序。培訓(xùn)員工實(shí)施組織的網(wǎng)絡(luò)安全政策和程序，并動(dòng)員員工參與建立網(wǎng)絡(luò)安全準(zhǔn)備和運(yùn)營彈性的文化。

　　將示例和聯(lián)系囊括在培訓(xùn)中。提供具體的網(wǎng)絡(luò)安全和恢復(fù)能力培訓(xùn)，包括網(wǎng)絡(luò)釣魚練習(xí)，以幫助員工識(shí)別網(wǎng)絡(luò)釣魚電子郵件。在培訓(xùn)中包括預(yù)防措施，如識(shí)別和應(yīng)對(duì)違規(guī)指標(biāo)，以及在行為可疑時(shí)獲得客戶確認(rèn)。

　　培訓(xùn)效果。監(jiān)督確保員工參加培訓(xùn)并評(píng)估培訓(xùn)的有效性。基于網(wǎng)絡(luò)威脅情報(bào)不斷重新評(píng)估和更新的培訓(xùn)計(jì)劃。

　　額外的資源

　　我們致力于與聯(lián)邦和地方合作伙伴、市場(chǎng)參與者和其他人合作，監(jiān)測(cè)事態(tài)發(fā)展并有效應(yīng)對(duì)網(wǎng)絡(luò)威脅。除了查看SEC的網(wǎng)絡(luò)安全聚焦頁面（www.SEC.gov/Spotlight/Cybersecurity）外，OCIE還鼓勵(lì)SEC注冊(cè)者、發(fā)行人、其他受監(jiān)管實(shí)體和投資專業(yè)人士以及網(wǎng)絡(luò)安全社區(qū)的其他成員注冊(cè)隸屬于美國國土安全部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全局（CISA）發(fā)布的警報(bào)。CISA負(fù)責(zé)保護(hù)國家的關(guān)鍵基礎(chǔ)設(shè)施免受物理和網(wǎng)絡(luò)威脅，并在廣泛的政府和私營部門組織之間進(jìn)行合作和協(xié)調(diào)。

　　以下鏈接可用于注冊(cè)CISA警報(bào)：https://public.govdelivery.com/ accounts/USDHSUSCERT/subscriber/new。

　　除了接收CISA網(wǎng)絡(luò)警報(bào)外，許多組織還通過金融服務(wù)信息共享和分析中心（FS-ISAC，www.fsisac.com）等行業(yè)協(xié)會(huì)參與信息共享小組。參與這些信息共享小組為跨行業(yè)和政府的合作提供了一種機(jī)制，使人們能夠獲得有關(guān)網(wǎng)絡(luò)最佳做法和與網(wǎng)絡(luò)威脅相關(guān)的早期預(yù)警指標(biāo)的特定部門信息。通過這種信息共享安排，OCIE相信組織能夠?qū)崿F(xiàn)更大的網(wǎng)絡(luò)安全彈性。

　　通過政府和行業(yè)之間的合作開發(fā)的另一個(gè)關(guān)鍵資源是國家標(biāo)準(zhǔn)與技術(shù)研究所網(wǎng)絡(luò)安全框架（https://www.nist.gov/cyberframework）。這一非官方的框架將網(wǎng)絡(luò)安全控制目標(biāo)映射到旨在促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的行業(yè)標(biāo)準(zhǔn)、指導(dǎo)方針和實(shí)踐中。該框架的優(yōu)先級(jí)、靈活性、可重復(fù)和經(jīng)濟(jì)高效的方法有助于關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營商管理與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)。

　　結(jié) 論

　　在分享上述觀察結(jié)果的同時(shí)，我們鼓勵(lì)市場(chǎng)參與者回顧他們?cè)诰W(wǎng)絡(luò)安全和運(yùn)營彈性方面的做法、政策和程序。我們相信，評(píng)估您的準(zhǔn)備水平并實(shí)施上述部分或全部措施將使您的組織更加安全。OCIE將繼續(xù)致力于與各組織合作，以識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并鼓勵(lì)市場(chǎng)參與者積極參與監(jiān)管機(jī)構(gòu)和執(zhí)法部門的這項(xiàng)工作。