닫기
정부는 중요한 국가 인프라의 사이버 바카라사이트 순위을 개선 해야하는 경우 부문 간 종속성에 중점을두고 준수 평가에 대한 접근 방식을 개선해야합니다..
이 브리핑에 대해
NIS (Network and Information Systems) 규정은 2018 년 5 월에 발효되었습니다. CNI (Crittic National Infrastructure) 부문에서 사이버 위험이 관리되는 방식을 개선하는 것을 목표로합니다..
이 브리핑은 2018 년 3 월에서 8 월 사이에 수행 된 연구를 기반으로합니다. 그 목적은 규정에 따라 영국의 CNI 부문에서 사이버 탄력성 위험 관리가 어떻게 구현되는지 탐구하는 것이 었습니다. 목표는 영국의 CNI 부문에서 사이버 바카라사이트 순위 위험 관리에 대한 단계 변화를 가져 오는 NIS 규정의 효과를 연구하는 것이 었습니다.
7234_7469
주요 결과
위험 관리 기능 향상
정부는 중요한 국가 인프라를위한 네트바카라사이트 순위 및 정보 시스템의 보안 수준을 높이는 대상의 목표를 측정 할 수있는 방법이 없습니다. 이 목적을 위해 일련의 주요 성능 표시기 (KPI) 세트가 개발되어야한다고 제안합니다.
사이버 평가 프레임 바카라사이트 순위 (CAF)는 조직이 탄력성을 향상시킬 수있는 방법을 이해하는 데 도움이되는 좋은 첫 단계를 제공합니다. 조직은 이제 개선을위한보다 맞춤형 로드맵이 필요하다는 것이 좋습니다.이 단계는 조직이 엔드 투 엔드 서비스를 유지하는 데 얼마나 중요한지에 대한 명확한 이해와 CAF 내에서 각 결과가 해당 조직 운영을 유지하는 데 얼마나 중요한지에 대한 명확한 이해를 기반으로해야합니다.
교차 부문 바카라사이트 순위 및 탄력성
다른 관할 당국 (CAS)은 NIS 규정이 다루는 6 개의 각 부문에서 감독과 집행을 담당합니다. 그러나 일부 서비스는 여러 유형의 인프라에 의존합니다. 예를 들어, 기차 서비스는 운송 인프라뿐만 아니라 에너지 및 디지털 인프라에도 의존합니다. 현재 엔드 투 엔드 서비스의 탄력성을 이해하거나 측정 할 수있는 방법은 없으며, 교차 부문 의존성은 NIS의 구현에 더 잘 이해하고 통합되어야합니다..
부문간에 배운 교훈을 공유하는 메커니즘이 필요합니다. 우리는 모든 자기 평가에 통합 될 수있는 '학습 한 프레임 바카라사이트 순위'를 개발하는 것이 좋습니다.
NIS 준수 평가
9660_9828
둘째, 감사인은 적절한 기술 (사이버 바카라사이트 순위, 위험 관리, 비즈니스 보증 및 감사 기술 포함)을 가져야합니다. 학제 간 팀을 사용하는 것이이를 달성하는 한 가지 방법 일 수 있습니다.
용어집
CA 관할 기관
CAF 사이버 평가 프레임 바카라사이트 순위
CNI Critical National Infrastructure
10730_10778
DSPT 데이터 바카라사이트 순위 및 보호 툴킷
igps 모범 사례 지표
IT 바카라사이트 순위 기술
NIS 네트바카라사이트 순위 및 정보 보안
11398_11466
OES Essential Services 운영자
OT 운영 기술
11808_11861
소개
CNI (Critical National Infrastructure)에 대한 공격이 점점 일반화되고 있습니다.사이버-물리적 공격의 위협이 커지는 인식으로 EU는 2016 년 7 월 6 일에 네트바카라사이트 순위 및 정보 보안 (NIS) 지침을 시작하여“EU의 사이버 공격 준비를 개선”.[i]
NIS 지침의 목표는 다음과 같이 요약 될 수 있습니다.
- 사이버 위험 관리 방식을 감독하고 단계적으로 변화를 가져와 필수 서비스 (OES) 및 관련 디지털 서비스 제공 업체 (RDSP)의 CNI 운영자의 바카라사이트 순위 수준과 탄력성을 높이기 위해.
- EU 국가간에 포럼을 만들기 위해 사이버 바카라사이트 순위 사고와 관련된 커뮤니케이션을 수립하여 보호 수준을 개선하고 모든 EU 국가를 다루는 중요한 규제를 제공합니다.
- OES와 RDSP가 국가 법적 프레임 바카라사이트 순위를 사용하여 OES와 RDSP가“적절하고 비례 보안 조치”를 취하고 관련 국가 당국에 심각한 사건을 알리도록합니다..[ii]
NIS 지침에 따라 OES 또는 RDSP로 식별 된 조직은“네트바카라사이트 순위 및 정보 시스템에 대한 위험을 관리하기 위해 적절하고 비례 보안 조치를 취해야합니다.”.[iii]13867_14225
NIS 지침은 2018 년 네트바카라사이트 순위 및 정보 시스템 (NIS) 규정으로 영국 법률에 전달되었으며 건강, 운송, 에너지, 물, 디지털 인프라 및 디지털 서비스 부문에서 OES를 다루었습니다.[IV]
RDSP (클라우드 서비스 제공 업체, 온라인 시장 및 검색 엔진 등)의 요구 사항에 대한 요구 사항은 더 가벼워집니다.ex postOES에 대한 훨씬 능동적이고 관련된 접근 방식과 달리 RDSP의 감독.
CAS는 OES/RDSP가 원칙을 달성하는지 여부를 평가하고 해당 부문에서 "적절하고 비례적인 조치"를 구성하는 요소를 결정해야합니다. 이를 달성하기 위해 NCSC (National Cyber Security Center)는 CAS, OESS 및 RDSP가 평가에 사용할 수있는 사이버 평가 프레임 바카라사이트 순위 (CAF)를 개발했습니다.[V]CAF는 "결과 기반"사이버 바카라사이트 순위 위험 관리 접근법을 사용합니다. 이는 OES/RDSP가 따라야하는 규범적인 규칙을 제공하기보다는 CAF가 좋은 사이버 바카라사이트 순위 관행을 집합 적으로 설명하기 위해 설계된 14 개의 최상위 사이버 바카라사이트 순위 원칙 세트를 제공한다는 것을 의미합니다. 14 개의 원칙 각각에 따라 각 결과에 대한 모범 사례 (IGP) 지표 (IGP)와 함께 39 개의 하위 수준 결과가 있으며, 결과가 '달성되지', '부분적으로 달성 된'또는 '달성 된'것인지 평가하는 데 사용할 수 있습니다. 표 1은 네 가지 중요한 목표 각각에서 원칙과 결과의 예를 제공합니다.
2018 년 5 월부터 OESS 및 RDSP는 해당 부문의 CA에서 제공 한 지침을 사용하여 자체 평가를 수행하고 있습니다. CAS는 OES와 협력하여 자체 평가를 통해 식별 된 격차를 이해하고 NIS 규정 준수를 결정합니다. 그들은 첫해에 부문을 규제하기위한 행동 계획과 전략을 정리했습니다.
표 1 : 관련 CAF 결과와 관련된 목표 및 원칙
| 목표 | 예제 원칙 (최상위 결과) | 예제 CAF 결과 (하위 수준 결과) |
|---|---|---|
| A : 바카라사이트 순위 위험 관리 17045_17255 | A1 : 거버넌스 조직에는 네트바카라사이트 순위 및 정보 시스템의 보안에 대한 접근 방식을 관리하기위한 적절한 관리 정책과 프로세스가 있습니다. A2 : 위험 관리 A3 : 자산 관리 A4 : 공급망 | A1.A 보드 방향 효과적인 조직 바카라사이트 순위 관리는 보드 수준에서 이끌고 해당 정책에서 명확하게 설명했습니다. A1.B 역할 및 책임 A1.C 의사 결정 |
| B : 사이버 공격으로부터 보호 사이버 공격으로부터 필수 서비스와 시스템을 보호하기 위해 비례 바카라사이트 순위 조치가 마련되었습니다. | B1. 서비스 보호 정책 및 프로세스 조직은 필수 서비스의 전달을 지원하는 시스템과 데이터를 보호하기위한 전반적인 접근 방식을 지시하는 적절한 정책 및 프로세스를 정의, 구현, 통신 및 시행합니다. B2. 신원 및 액세스 제어 B3. 데이터 바카라사이트 순위 B4. 시스템 바카라사이트 순위 B5. 탄력성 네트바카라사이트 순위 및 시스템 B6. 직원 인식 및 교육 | B1.A 정책 및 프로세스 개발 당신은 사이버 바카라사이트 순위 관련 중단의 필수 서비스에 대한 위험을 관리하고 완화하는 일련의 서비스 보호 정책 및 프로세스를 개발하고 계속 개선했습니다. B1.B 정책 및 프로세스 구현 |
| C : 사이버 바카라사이트 순위 이벤트 감지 바카라사이트 순위 방어를 계속 유지하고 필수 서비스에 영향을 미치거나 영향을 줄 수있는 사이버 바카라사이트 순위 이벤트를 감지하는 기능. | C1. 바카라사이트 순위 모니터링 C2. 사전 바카라사이트 순위 이벤트 발견 | C1.A 모니터링 범위 모니터링에 포함 된 데이터 소스를 통해 필수 서비스 제공에 영향을 줄 수있는 바카라사이트 순위 이벤트를 적시에 식별 할 수 있습니다. C1.B 바카라사이트 순위 로그 C1.C 생성 경고 C1.D 바카라사이트 순위 사고 식별 C1.E 모니터링 도구 및 기술 |
| D : 사이버 바카라사이트 순위 사고의 영향 최소화 필요한 경우 서비스의 복원을 포함하여 필수 서비스의 전달에 대한 사이버 바카라사이트 순위 사고의 영향을 최소화하는 기능. | d1. 응답 및 복구 계획 필요한 경우 해당 서비스의 복원을 포함하여 필수 서비스의 전달에 대한 사이버 바카라사이트 순위 사고의 영향을 최소화하는 기능. D2. 배운 교훈 | D1.A 응답 계획 20116_20276 D1.B 응답 및 복구 기능 D1.C 테스트 및 운동 |
NIS 규정은 얼마나 효과적입니까?
NIS 규정은 영국의 건강, 운송, 에너지, 물, 디지털 인프라 및 디지털 서비스의 바카라사이트 순위 및 탄력성을 향상시키기위한 것입니다. 그러나 정부는 현재이 목표가 충족되었는지 여부를 측정 할 수있는 방법이 없습니다.
추천 :
정부는 NIS 규제 준수가 OES/RDSP 내에서 서비스 탄력성을 향상시키는 정도를 측정하고 분석하기 위해 일련의 주요 성과 지표 (KPI)를 제공해야합니다..
개선을위한 로드맵
현재 CAF에서 모범 사례 (IGP) 지표를 사용하여 OES가 39 개의 결과 각각의 '달성'또는 '달성되지 않은'지 여부를 결정할 수 있습니다 (일부 결과에는 '부분적으로 달성 된'범주도 포함). 처음에 OES는 자체 평가를 완료하고 CA에 개선 로드맵을 개발하고 제출해야합니다. 그러나 CAF 결과를 기능 개선으로 변환하기에 충분한 지침이 부족합니다.
NCSC와 CAS는 CAF 결과의 해석에 접근하는 방법을 고려하고 있습니다.[i]한 가지 옵션은 CAF 프로파일을 고려하는 것입니다. 이는 CAF 프로파일을 고려하는 것입니다. 이는 OES가 지원하는 필수 서비스 및 이러한 우선 순위 결과에 대한 준수 목표를 설정하는 데 따라 특정 OES에 대해 39 개의 하위 수준 결과 중 어느 것이 가장 중요한지를 식별하는 것입니다. 이는 우선 순위가 낮은 결과가 '부분적으로 달성 된'수준에서만 필요하거나 해당 OES에 대해 '적용 할 수 없다'는 것을 의미 할 수 있습니다.[II]22559_22670[iii]
NIST (National Institute of Standards and Technology) 프레임 바카라사이트 순위에서도 비슷한 접근 방식이 작동했으며, 이는 조직의 위험 관리 관행을 기반으로 4 개의 구현을 제공합니다 (상자 참조). 조직은 조직의 위험 요구 사항과 관련된 적절한 구현 계층에 매핑되는 현재 및 대상 위험 프로파일을 정의합니다..
23341_24130[i]
위의 2.1 절에서 주장한 바와 같이, 정부는이를 뒷받침하는 개별 OE가 아니라 엔드 투 엔드 서비스의 바카라사이트 순위을 평가할 수 있어야합니다. 서비스 수준의 관점을 취하면 CAS는 동일한 서비스를 지원하는 조직이 동일한 수준의 규정 준수에 있지 않은 것을 이해할 수 있습니다. 이를 통해 특정 서비스의 바카라사이트 순위을 보장하는 데 필요한 표준까지 모든 관련 OE를 가져올 로드맵을 개발할 수 있습니다.
권장 사항 :
우리는 서비스 유지에 대한 각 결과의 중요도를 평가 한 CAF 프로파일을 도입한다는 아이디어를 지원합니다. NCSC는 또한 CAF IGP에 여러 레벨을 도입하는 것을 고려해야합니다. 그런 다음 CAS를 사용하여 필요한 준수 수준을 결정할 수 있습니다 (CAF를 사용하기로 선택한 경우).
CAS는 전반적인 탄력성에 기여하는 모든 OE의 그림을 구축하기 위해 엔드 투 엔드 서비스를 살펴 봐야합니다. 전반적인 탄력성을 제공하는 데 얼마나 중요한지 이해하기 위해 다른 구성 요소를 평가해야합니다. 그런 다음이 지식을 사용하여 개별 OES/RDSP에 대한 CAF 프로파일과 각 조직의 진보적 인 로드맵을 개발할 수 있습니다. 특정 서비스에 기여하는 모든 OES/RDSP가 원하는 수준의 사이버 바카라사이트 순위을 제공하는 기능을 개발하는 방법에 대한 명확한 이해가 있어야합니다.
교차 부문 바카라사이트 순위 및 탄력성
NIS 규정에 의해 다루는 중요한 국가 인프라
- 건강
- 운송
- 에너지
- 물
- 디지털 인프라
- 디지털 서비스
교차 부문에 대한 이해 향상 상호 의존성
다른 중요한 부문 간의 종속성의 출현은 부문 간 사이버 바카라사이트 순위에서 점점 더 많은 관심사입니다. 사이버 공격은 다른 상호 연결된 시스템 및 서비스에 대한 단일 시스템의 실패의 파급 효과로 인해 치명적인 결과를 초래할 수 있습니다. 예를 들어, 일반 전기 공급에 실패하면 중요한 운송 또는 의료 서비스에 해를 끼칠 수 있습니다.
27149_27461
영국의 '다중 CA'접근 방식에 따라 각 CA는 해당 부문 내의 바카라사이트 순위 평가가 적절하고 비례하는지 확인해야합니다. CAS는 단일 부문에 중점을두고 있으며,이 부문에 대한 친밀한 지식과 그 필수 서비스에 대한 위험에 대한 깊은 지식과 이해를 가지고 있습니다. 그러므로 그들은 그들의 부문 내에서 '적절하고 비례하는'것을 결정하기 위해 잘 배치되어 있습니다. 그러나이 접근법의 단점은 끝에서 끝에서 발생합니다서비스27996_28857[i]
교차 부문 복원력을 이해하고 강화하기 위해 부문 간 종속성에 대한 NIS 규정의 구현 내에서 더 많은 초점이 필요합니다. UKRN (Uk Regulators Network)과 같은 부문 간 규제 협업 포럼 회원은 이에 대한 촉진자이지만 규제 조직의 전문가들은 현재 포럼에 적극적으로 참여하지 않습니다..
추천 :
29529_29818
학습 한 교훈 공유
NIS 규정은 OES가이를 인식 한 후 72 시간 이내에 적절한 CA에 대한 정의 된 임계 값 이상의 영향과 함께 사고에 대한 세부 바카라사이트 순위를 공유하도록 요구합니다. 이후 CA는 그러한 사건에 대한 사과 후 분석을 수행 할 것으로 예상된다.
또한 NIS 원칙 D2는 다음과 같습니다.
“사건이 발생하면 근본 원인을 이해하고 미래의 사고로부터 보호하기 위해 적절한 조치 조치를 취하는 단계를 수행하는 단계가 취해집니다.”
30527_30907
권장 사항 :
NCSC는 모든 OES/RDSPS의 자체 평가에 통합 될 수있는 '학습 된 프레임 바카라사이트 순위'를 개발해야합니다. 이것은 CAS가 부문간에 학습을 공유 할 수있는 공통적 인 기초를 제공합니다. 그런 다음 CAS는 해당 부문 내 조직에 일반화 된 (따라서 익명) 수업을 공유 할 수 있습니다. 이는 조직, 부문 내에서 및 부문 간 수준에서 사용할 수있는 지식 기반을 구축하는 데 도움이됩니다. 정보 공유, 보안, 기밀성 및 탄력성 간의 균형을 고려해야합니다.
준수 평가
31674_32049
규정 준수에 대한 일관되고 독립적 인 평가
OES 및 RDSP는 반드시 CAF에 명시된 39 개의 결과를 모두 달성 할 필요는 없으며 각 부문의 관련 규제 기관의 책임은“적절하고 비례적인 사이버 바카라사이트 순위 및 추방”을 나타내는 것을 정의하는 것이 좋습니다..[ii]32641_33078
또한, 중요한 서비스의 공통 구성 요소는 동일한 공급망 회사에서 운영되며, 이는 부문간에 일관된 사이버 보안 프레임 바카라사이트 순위의 부족 문제를 증폭시킵니다.
동일한 규제 기관이 사이버 바카라사이트 순위 법률 준수를 평가하고 다른 서비스 제공 목표를 달성하기 위해 동일한 규제 기관이 책임이있는 경우에 문제가 발생하여 상충되는 요구를 고려할 필요가 있습니다. 예를 들어, 사이버 바카라사이트 순위을 준수하지 않도록 부과 된 재정적 처벌은 핵심 서비스에 예산을 줄일 수 있습니다.
권장 사항 :
중앙 감사 감독 팀은 서비스 회복력을위한 사이버 위험 관리 조치가 부문 전체에 효과적이고 일관되게 구현되도록 모범 사례 및 지표를 정의하는 사용자 친화적 도구를 개발하기 위해 설정되어야합니다.
효과적인 준수 평가
영국은 NIS에 대한 결과 기반 접근 방식을 채택했습니다. 이는 감사 수행을 담당하는 CA 감사 팀도 평가에 기반한 접근 방식을 취해야 함을 의미합니다..
NCSC는 CAS가 평가에 사용할 수있는 CAF를 개발했습니다. 그러나 CAF의 사용은 자발적이며 CAS는 원하는 경우 평가를위한 다른 접근법을 선택할 수 있습니다.
우리의 연구는 CAF를 사용하지 않은 규제 기관의 발견을 발견하지 못했습니다 (보건 부문 사례 연구 상자 참조). 위험은 평가 연습이 OES 내의 사이버 위험 관리에 대한 더 깊은 문화적 변화를 주도하지 않는 'Tickbox'활동이 될 것입니다. 정확히 결과 기반 접근법이 피하기위한 것입니다.
35946_35965
정부는 NIS 자체 평가 또는 CA 감사 (금융 부문에서 잘 작동 한 접근법)를 수행하기위한 중앙 감사 방법론을 만들어야합니다. 주요 사이버 위험 관리 제어의 설계 및 운영 효율성을 평가하기 위해 NIS 감사 방법론을 구축해야합니다. 감사 프로세스는 NCSC CAF의 예상 결과를 확인할 수 있어야합니다. 일반적인 감사 방법과 지침은 감사가 사이버 위험 관리 제어의 품질을 평가하고 부문에서 일관되며 결과 기반 NCSC CAF의 목적을 충족시킬 수 있도록합니다. 이로 인해 NIS 규정의 평가가 부문간에 일관되게됩니다.
감사의 기술과 기능
사이버 기술의 부족은 NIS 규정에 의해 다루는 OES 및 RDSP에게 문제가 될뿐만 아니라 준수 평가를 평가하기 위해 감사를 담당하는 사람들에게도 문제가 될뿐만 아니라
37026_37783
37814_38139
표 2 : 결과에 대한 모범 사례의 지표 A1.B (역할 및 책임)
| 달성되지 않음 | 달성 |
|---|---|
| 마지막 진술 중 하나는 사실입니다 | 다음 진술은 모두 참입니다 |
| 주요 역할이 사라지거나 비어 있거나 비공식적으로 비어 있거나 성취되었습니다. 직원에게는 바카라사이트 순위 책임이 배정되지만이를 이행 할 수있는 적절한 권한이나 자원이 없습니다. 직원은 필수 서비스의 바카라사이트 순위에 대한 책임이 무엇인지 확실하지 않습니다. | 필수 서비스를 지원하는 네트바카라사이트 순위 및 정보 시스템의 보안에 필요한 역할 및 책임이 확인되었습니다. 이들은 목적에 적합한 상태를 유지하기 위해 정기적으로 검토됩니다. 적절하고 지식이 풍부한 직원이 이러한 역할을 채우고 의무를 수행 할 시간, 권한 및 자원이 주어집니다. 귀하의 조직에서 필수 서비스를 지원하는 네트바카라사이트 순위 및 정보 시스템의 보안에 대한 전반적인 책임이있는 사람에 대한 명확성이 있습니다. |
표 3 : 영국에서 NIS 구현을위한 부문, CAS 및 감사관
| 섹터 | 지정된 CA (영국) | 감사관 (영국) |
|---|---|---|
| 건강 | 보건 국무 장관 |
|
| 운송 | 교통 및 민간 항공 당국 국무 장관 (공동 연기) |
|
| 에너지 | 비즈니스, 에너지 및 산업 전략 (BEIS) 국무 장관 |
|
| 물 | 환경, 식품 및 농촌 문제 (DEFRA) 국무 장관 |
|
| 디지털 인프라 | 커뮤니케이션 사무소 (OFCOM) |
|
| 디지털 서비스 제공 업체 | 바카라사이트 순위 커미셔너 사무실 (ICO) |
|
감사인 중 어느 누구도 사이버 바카라사이트 순위 감사에 대한 이전 경험이 없으며 HSE (Health and Safety Executive) 및 식수 검사관 (DWI)과 같은 일부 감사인은 점검 목록 및 공차 기반 감사 접근법에 더 익숙 할 수 있으므로 결과 기반 감사를 전달하는 데 필요한 경험이 없을 수 있습니다.
사이버 바카라사이트 순위 기술의 국가 부족은 잘 문서화되어 있으며 국가 사이버 바카라사이트 순위 기술 전략의 개발을 환영합니다. 그러나 기술 바카라사이트 순위 기술이 효과적인 감사를 수행하는 데 필요한 유일한 기술은 아닙니다. 또한 프로그램 관리, 위험 관리 및 비즈니스/서비스 보증을 이해하는 전문가가 필요합니다.
NIS 감사를위한 다 분야 팀을 개발하는 것은 잠재적으로 기술 부족 문제를 해결하고 체크리스트 기반 감사 접근 방식을 결과 기반으로 전환 할 수 있습니다..
권장 사항 :
DCMS는 NIS 감사를위한 역량 프레임 바카라사이트 순위를 개발해야합니다. 개별 감사인이 필요한 기술 (사이버 보안, 위험 관리, 비즈니스 보증 및 감사 기술 포함)을 모두 가지고 있지 않으면 학제 간 팀을 사용하여 감사를 수행해야합니다. 학제 간 팀은 CAF를 효과적으로 해석하고 적용 할 수있을 가능성이 높습니다.
결론
영국의 NIS 지침 구현의 많은 측면은 목적에 적합합니다. 특히 규정 준수에 대한 결과 기반 접근 방식, NCSC의 CAF 컬렉션 개발을 결정하기로 결정했습니다.
영국의 CNI 제공 업체에 대한 NIS의 바카라사이트 순위 및 탄력성을 향상시키기 위해 구현을 개선 할 수있는 몇 가지 영역이 있습니다.
첫째, 중요한 서비스가 여러 유형의 중요한 인프라에 의존하는 경우 부문 간 종속성을 더 많이 고려해야합니다..
둘째, 규정이 단순히 박스 틱 연습으로 이어질뿐만 아니라 규제 조직 간의 사이버 바카라사이트 순위 관행에서 식별 가능한 개선을 주도하는 데 효과적이라는 감사 프로세스의 개선이 필요합니다.
마지막으로, 규정 준수에 대한 미묘한 평가는 법이 적용되는 조직의 개선을위한 현실적인 로드맵의 개발을 허용 할 것입니다..
추천 요약
NIS 규정은 얼마나 효과적입니까?
정부는 NIS 규정 준수가 OES/RDSP 내에서 서비스 복원력을 향상시키는 정도를 측정하고 분석하기 위해 일련의 주요 성과 지표 (KPI) 세트를 제공해야합니다.
우리는 서비스 유지에 대한 각 결과의 중요도를 평가 한 CAF 프로파일을 도입한다는 아이디어를 지원합니다. NCSC는 또한 CAF IGP에 여러 레벨을 도입하는 것을 고려해야합니다. 그런 다음 CAS를 사용하여 필요한 준수 수준을 결정할 수 있습니다 (CAF를 사용하기로 선택한 경우).
- CAS는 전반적인 탄력성에 기여하는 모든 OE의 그림을 구축하기 위해 엔드 투 엔드 서비스를 살펴 봐야합니다. 전반적인 탄력성을 제공하는 데 얼마나 중요한지 이해하기 위해 다른 구성 요소를 평가해야합니다. 그런 다음이 지식을 사용하여 개별 OES/RDSP에 대한 CAF 프로파일과 각 조직의 진보적 인 로드맵을 개발할 수 있습니다. 특정 서비스에 기여하는 모든 OES/RDSP가 원하는 수준의 사이버 바카라사이트 순위을 제공하는 기능을 개발하는 방법에 대한 명확한 이해가 있어야합니다.
교차 부문 탄력성 보장
- DCMS는 엔드 투 엔드 서비스 탄력성 및 교차 부문 의존성을 더 잘 이해하고, 관리 및 개선 할 수 있는지 탐구하고 측정하는 계획을 개발해야합니다. 그런 다음 DCM은 엔드 투 엔드 서비스 탄력성을 미래의 NIS 규정에 통합하는 방법을 고려해야합니다.
- NCSC는 모든 OES/RDSP의 자체 평가에 통합 될 수있는 '학습 된 교훈 프레임 바카라사이트 순위'를 개발해야합니다. 이것은 CAS가 부문간에 학습을 공유 할 수있는 공통적 인 기초를 제공합니다. 그런 다음 CAS는 해당 부문 내 조직에 일반화 된 (따라서 익명) 수업을 공유 할 수 있습니다. 이는 조직, 부문 내에서 및 부문 간 수준에서 사용할 수있는 지식 기반을 구축하는 데 도움이됩니다. 정보 공유, 보안, 기밀성 및 탄력성 간의 균형을 고려해야합니다.
규정 준수 평가
중앙 감사 감독 팀은 서비스 복원을위한 사이버 위험 관리 조치가 부문 전체에 효과적이고 일관되게 구현되도록 모범 사례 및 지표를 정의하는 사용자 친화적 인 도구를 개발하기 위해 설정되어야합니다.
- 정부는 NIS 자체 평가 또는 CA 감사 (금융 부문에서 잘 작동 한 접근법)를 수행하기위한 중앙 감사 방법을 만들어야합니다. 주요 사이버 위험 관리 제어의 설계 및 운영 효율성을 평가하기 위해 NIS 감사 방법론을 구축해야합니다. 감사 프로세스는 NCSC CAF의 예상 결과를 확인할 수 있어야합니다. 일반적인 감사 방법과 지침은 감사가 사이버 위험 관리 제어의 품질을 평가하고 부문에서 일관되며 결과 기반 NCSC CAF의 목적을 충족시킬 수 있도록합니다. 이로 인해 NIS 규정의 구현이 부문간에 일관되게됩니다.
- 47003_47372
우리의 연구
이 브리핑은 Jill Dando Institute of Security and Crime Science가 수행 한 작업의 일부로 UCL Steapp의 정책 영향 부서와 제휴하여 제작되었습니다.
문의
Meha Shukla는 바카라사이트 순위 및 범죄 과학과에서 스마트 시티의 사이버 및 물리적 바카라사이트 순위 위험을 전문으로합니다. Meha는에서 연락 할 수 있습니다.meha.shukla.17@ucl.ac.uk
Shane D. Johnson 교수는 UCL에서 미래 범죄를위한 Dawes Center의 이사입니다. Shane은 다음과 같이 연락 할 수 있습니다.shane.johnson@ucl.ac.uk
48362_48531peter.jones@ucl.ac.uk
www.ucl.ac.uk/security-crime-science
/steapp/Collaborate/Policy-Impact-Unit-1
[i]HM 정부,네트바카라사이트 순위 및 정보 시스템 규정의 구현 후 검토 2018, 2020 년 5 월
[i]50100_50108사이버 보안 프레임 바카라사이트 순위, 2019 년 11 월 17 일 액세스
[iii] 식수 검사관 (2019)‘네트바카라사이트 순위 및 정보 시스템 구현 (NIS) 규정 (NIS) 규정 2018’, 버전 1.1, 2019 년 3 월
51482_51485
[i] 유럽 의회와 2016 년 7 월 6 일 협의회의 Directive (EU) 2016/1148 Union 전역의 네트바카라사이트 순위 및 정보 시스템의 높은 수준의 보안 수준에 대한 조치에 관한 2016/1148 협의회.가능 :https : //eur-lex.europa.eu/legal-content/en/txt/? uri = uriserv : oj.l_.2016.194.01.0001.01.eng & toc = oj : l : 2016 : 194 : toc, (2019 년 11 월 17 일 액세스)
[ii]Enisa (2017) NIS 지침. 2018 년 7 월 11 일 검색
[iii]DCMS,“유능한 당국을위한 네트바카라사이트 순위 및 정보 시스템 지침”, 2018
[IV] 네트바카라사이트 순위 및 정보 시스템 규정 2018(2018/506) 사용 가능 :http : //www.legislation.gov.uk/uksi/2018/506/made(2019 년 11 월 17 일 액세스