©2023国际云安全联盟大中华区版权所有 1 ©2023国际云安全联盟大中华区版权所有 2@2023云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网 （https://cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网(http://www.c-csa.cn)。您可 在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人 信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、 版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全 联盟。 ©2023国际云安全联盟大中华区版权所有 3致谢 《CSA对CI保护框架的评论建议汇总》一文由CSA专家编写，CSA大中华区隐私与 个人信息保护法律工作组组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：原浩 翻译组：高健凯贺志生黄鹏华邢海韬张元恺赵晔 感谢以下单位对本文档的支持与贡献：北京奇虎科技有限公司 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅 正! 联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023国际云安全联盟大中华区版权所有 4《关键信息基础设施安全保护条例》施行一周年回顾： NIST关键基础设施安全保护框架升级研讨问题引荐 2022年8月17日，NIST举行了一次升级关键基础设施安全保护框架（本文统称“安 全框架”或CSF）研讨会，旨在将框架从1.1版本升级到2.0。全球100多国家的3900 多位专家人士参加了会议建言献策。另NIST通过评论征集（RFI）的方式收集了100 多家单位、个人的评论和建议，包括云安全联盟CSA等对框架的运行和不足提出了诸 多建议。 本报告转引了CSA的评论建议（14条分析建议和3条整体建议），适逢中国《关 键信息基础设施安全保护条例》施行一周年，也期待能为中国条例的落地和进一步细化、 完善有所启示或参考。 一、CSA的分析建议 1、云安全的忽略和应通过整合云控制矩阵提升解决云安全的能力 NIST安全框架中的五项功能框架能够帮助组织开展网络安全工作，组织可以利用 这五项功能进行积极的风险管理，以降低现在和未来的风险。遵循NIST安全框架，将 使组织更容易在未来实施（保护）时采用以CSF为基础的安全程序。 然而我们也认为，云安全风险被（部分）忽略，或者未从明确的通用控制角度进行解决。 如果将CSA的云控制矩阵添加到框架中，将有助于解决这一关键问题，实际上组织可 能会发现有进一步的机会修订和完善这五项功能，以解决云安全问题。 2、使用NIST安全框架的当前优势和CSA的报告发现 组织和实体（如供应链伙伴、客户或保险公司）内部和之间的沟通是否得到改善？ 该框架是否允许更好地评估风险，更有效地管理风险，和/或增加管理风险的潜在方法 的数量？在实施该框架后，哪些可能是改进网络安全的相关指标?如上所述，我们认为 该框架不足以解决云风险。 ©2023国际云安全联盟大中华区版权所有 5CSA开展了研究，并发布了“云安全联盟关于识别云计算快速采用的差距和风险的 云风险管理报告” 该文件列出了五个问题，以激发讨论并促进可能的解决方案。 •目前可用的风险管理方法是否足以管理云风险? •企业是否意识到云计算引入的共同责任模式，以及这些责任是否适当地反映在 风险管理流程和计划中? •企业是否意识到云计算所带来的间接/失去控制的概念和影响，以及其对风险缓 解程序的设计和验证所带来的挑战? •企业是否充分认识到云计算对其供应链传播的影响，以及评估和监测第三方/第 四方的综合剩余风险的难度? •当前的治理实践是否足以有效识别、评估并向利益相关者报告相关的云风险？ 风险管理应用于云计算运营时，在企业的所有流程中发挥着重要作用，对企业的整 体业务改进战略至关重要。因此，这必须是一个顶层的、企业范围内的流程，而不是一 个孤立的或部门性的工作。虽然不管是在云端还是在本地，风险管理的方法都是相同的， 但在战术和实施上有很大的不同，这是必须要解决的问题。 有效的风险管理计划将解决与经济价值、流程改进、合规性、信息安全和隐私有关的问 题，包括： •迁移到云所产生的新的运营安全风险 •与未能解决云计算合规性有关的成本 •与云计算市场增长有关的风险 •缓解措施 3、可能阻碍组织使用NIST安全框架或更容易或更广泛地使用该框架的挑战（例如： 资源考虑、信息共享限制、组织因素、劳动力差距或复杂性） NIST安全框架中一个大议题，也是我们认为的一个非常容易更新迭代的领域就是 云计算。NIST目前更偏向本地部署。问题是今天许多公司在确保云安全方面没有管理 ©2023国际云安全联盟大中华区版权所有 6或理解共同责任模式。事实上，许多公司甚至没有保护自己的云基础设施。相反，将 SaaS或PaaS的使用外包给第三方公司，试图将风险转移给第三方，使其承担管理云的 所有法律和运营责任，这往往事与愿违。在供应商、客户和第三方的责任之间虽然有明 确的界限，但这些都没有明确的定义或解决方案。 在这方面，NIST并没有真正处理共同责任的问题。该框架似乎假定了一种更为谨 慎的工作方式。遵守NIST意味着组织正在设法解决自己管理的系统部分，但不幸的是 可能没有对那些远程管理的部分实施任何控制。 为什么这很重要？认真对待网络安全的公司可能缺乏内部资源来开发自己的系统， 所以面临着相互矛盾的解决方案。安全往往是大企业关注云计算的首要原因，但同时大 企业缺乏对共同责任的理解。 CSA云控制矩阵分解了SSRM以及范围适用性映射，以及典型的控制适用性和所 有权。采用这种指导将极大地改进框架，并填补我们认为该框架中的一个巨大漏洞。 此外，（目前的框架）没有NIST认可的问责途径。我们如何知道各组织是否符合 要求?英国标准协会（BSI）为NISTCSF创建了第一条认证途径，并在发布前的三个不 同的NIST研讨会上进行了讨论，但认证或任何其他问责途径或有效性证明在文件中没 有得到认可或鼓励。 4、NIST安全框架的任何特征都应该（可以被）改变、增加或删除和建议的式样 这些可能包括对以下内容的增加或修改：功能、类别或子类别；层级；配置模板； 参考标准、框架、模型和指南；关于如何使用网络安全框架的指导；或对关键基础设施 的引用与框架更广泛的使用（另见对第3条的回答）。 此外，框架中的层级需要被描述为是什么，并形成一个成熟度模型。假设一个组织在各 层中的定位没有任何重要的声明，这是不能接受的。 建议增加的子类别包括： 识别：资产管理（ID.AM）——具体参照第三方、外部和云应用程序和服务 ID.AM-2:...包括云服务和SaaS应用的第三方服务 ID.AM-3:...包括映射到第三方和云供应链的数据流 ©2023国际云安全联盟大中华区版权所有 7ID.AM-4:...包括IaaS云、第三方对云的使用 风险评估——风险评估频率和节奏，如采购、采购后（评估）等。 5、对NIST安全框架的可用性和向后兼容性的影响 如果功能、类别、子类别等框架的结构修改或改变了，任何影响可能将转变为重大 变化。这就需要一个采用框架的组织建立相应的过渡期，以免中断运营并允许系统化和 有组织的过渡。 6、NIST可以改进安全框架或使其更加完善的其他可行方式 （需要）更多关于云安全的专门指导以及认证途径。附加信息参考：CSACCM（此 参考还包括映射到多种法规和框架）；NIST安全框架与其他风险管理资源的关系。CSA 评论（请参阅我们在供应链风险下的评论）。 7、改进NIST安全框架与其他NIST风险管理的资源 作为回复的一部分，单独使用这些资源或与安全框架结合使用这些资源同样面临益 处和挑战。 这些资源包括： 风险管理资源，例如NIST风险管理框架、NIST隐私框架，以及集成网络安全 和企业风险管理（NIST8286）。 值得信赖的技术资源，例如NIST安全软件开发框架、NIST物联网（IoT）网络 安全能力基线，以及工业控制系统网络安全指南。 劳动力管理资源，例如国家网络安全倡议网络安全教育（NICE）劳动力框架。 CSF是一个用于快速风险评估的高级框架。映射CSF的子类别到8286、物联网 和其他框架以允许进行更深入和更审慎的风险评估。 8、结合NIST的框架和使用非NIST的方法或框架 NIST框架与其他自愿的、共识的框架或资源是否存在共性或冲突？NIST与来自政 府机构的其他框架、网络安全相关任务或资源是否存在共性或冲突？是否有方法改进 NIST框架与其他框架的一致性或集成，例如像ISO/IEC2700、ISO/IECTS27110系列 ©2023国际云安全联盟大中华区版权所有 8等国际标准？NISTCSF作为高级别的框架，可以在多个类别中找到共性。但是，扩展 的子类别（如问题4所示）和附加则需要其他参考资料和方法。CSA的CCM可以将大 多数（标准）引用与框架对齐，例如ISO/IEC27000系列、NIST800-53、AICPATSP 等等。 9、框架的国际化应用 国际上有许多国家对安全框架进行适用调整的例子。继续使用将重点放在互操作性、 安全性、可用性和弹性上的网络安全的国际标准，可以提升创新和竞争力，同时使组织 能够更容易和有效地整合新技术和服务。鉴于这种重要性，NIST应该考虑哪些步骤来 确保任何更新都能增加安全框架的国际化使用? 国际上适用的调整有用更新包括在（数据）主权和隐私权的身份类别覆盖中增加数 据