（2）Risk Assessment风险评估 (ID.RA):

The cybersecurity risk to the organization, assets, and individuals is understood by the organization
了解组织、资产和个人面临的网络安全风险

ID.RA-01:

Vulnerabilities in assets are identified, validated, and recorded
识别、验证和记录资产中的漏洞

• Ex1: Use vulnerability management technologies to identify unpatched and misconfigured software
  使用漏洞管理技术来识别未打补丁和配置错误的软件
• Ex2: Assess network and system architectures for design and implementation weaknesses that affect cybersecurity
  评估网络和系统架构的设计和实现中影响网络安全的弱点
• Ex3: Review, analyze, or test organization-developed software to identify design, coding, and default configuration vulnerabilities
  审查、分析或测试组织开发的软件，以识别设计、编码和默认配置的漏洞
• Ex4: Assess facilities that house critical computing assets for physical vulnerabilities and resilience issues
  评估存放关键计算资产的设施的物理漏洞和韧性（可复原性）问题
• Ex5: Monitor sources of cyber threat intelligence for information on new vulnerabilities in products and services
  监控网络威胁情报来源，获取有关产品和服务新漏洞的信息
• Ex6: Review processes and procedures for weaknesses that could be exploited to affect cybersecurity
  审查过程和规程中可能被利用来影响网络安全的弱点

🧡检查落实

🌹文件和台账

• 测试或演练结果
• IT资产清单
• 系统警报样本
• 网络安全策略

🌹预期结果

• 执行测试以识别漏洞的记录。
• 漏洞测试应以合理频次覆盖所有资产。
• 组织识别、评估和记录与资产相关的风险和潜在漏洞，包括人力资源、数据、技术、设施、服务和连接。
• 组织的业务单元及时与合适的管理者或指定联系点分享、报告、沟通有关网络风险的信息，并成为风险管理或管理评审的输入。
• 组织建设了持续漏洞管理的标准和能力，包括自动化技术工具或合理设计的审计活动。

ID.RA-02:

Cyber threat intelligence is received from information sharing forums and sources
从信息共享论坛和其他来源获得网络威胁情报

• Ex1: Configure cybersecurity tools and technologies with detection or response capabilities to securely ingest cyber threat intelligence feeds
  配置具有检测或响应功能的网络安全工具和技术，以安全地摄取网络威胁情报馈送
• Ex2: Receive and review advisories from reputable third parties on current threat actors and their tactics, techniques, and procedures (TTPs)
  接收和评审来自信誉良好的第三方关于当前威胁行为者及其战术、技术和规程(TTPs)的建议
• Ex3: Monitor sources of cyber threat intelligence for information on the types of vulnerabilities that emerging technologies may have
  监控网络威胁情报来源，获取有关新兴技术可能存在的漏洞类型的信息

🧡检查落实

🌹文件和台账

• 网络安全策略（信息共享方面）

🌹预期结果

• 组织建设了定期从合理的网络威胁情报的来源获取信息的标准和能力；
• 制定了正式的规程，将威胁和脆弱性信息传递给具有专业知识和授权的机构或个人
• 组织与受信任的外部利益相关方共享关于韧性和安全措施有效性的授权信息，相互理解各方保护系统、应对威胁的方法。
• 收集、分发和分析有关网络实践、网络威胁以及与网络威胁有关的预警指标的信息。

ID.RA-03:

Internal and external threats to the organization are identified and recorded
识别和记录组织面临的内部和外部威胁

• Ex1: Use cyber threat intelligence to maintain awareness of the types of threat actors likely to target the organization and the TTPs they are likely to use
  使用网络威胁情报来保持对可能针对组织的威胁行为者的警觉，包括威胁行为者类型和他们可能使用的TTP
• Ex2: Perform threat hunting to look for signs of threat actors within the environment
  执行威胁搜索，在环境中寻找威胁行为者的迹象
• Ex3: Implement processes for identifying internal threat actors
  实施识别内部威胁参与者的流程

🧡检查落实

🌹文件和台账

• 网络安全风险评估

🌹预期结果

• 组织在持续的识别、分析、关联、报告来自组织内部和外部的威胁。
• 组织征求并利用威胁情报。
• 组织的威胁分析中考虑了可能发生的极端情况，即使这些情况被认为发生概率很低，以及过去从未发生过。
• 组织定期审查和更新其威胁分析方法、威胁信息源和支持工具。

ID.RA-04:

Potential impacts and likelihoods of threats exploiting vulnerabilities are identified and recorded
识别和记录利用漏洞的威胁的潜在影响和可能性

• Ex1: Business leaders and cybersecurity risk management practitioners work together to estimate the likelihood and impact of risk scenarios and record them in risk registers
  企业领导者和网络安全风险管理从业者共同评估风险情景的可能性和影响，并将其记录在风险登记册中
• Ex2: Enumerate the potential business impacts of unauthorized access to the organization’s communications, systems, and data processed in or by those systems
  列举未经授权访问组织的通信、系统、在或由这些系统中处理的数据的潜在业务影响
• Ex3: Account for the potential impacts of cascading failures for systems of systems
  考虑系统级联故障对各系统的潜在影响

🧡检查落实

🌹文件和台账

• 网络安全风险评估
• 风险登记册
• 业务连续性计划

🌹预期结果

• 组织的风险分析呈现了威胁场景的潜在影响和可能性的组合，并记录在风险登记册中。

ID.RA-05:

Threats, vulnerabilities, likelihoods, and impacts are used to understand inherent risk and inform risk response prioritization
用威胁、漏洞、可能性和影响理解固有风险，为风险响应的优先排序提供信息

• Ex1: Develop threat models to better understand risks to the data and identify appropriate risk responses
  开发威胁模型以更好地理解数据的风险并确定适当的风险响应措施
• Ex2: Prioritize cybersecurity resource allocations and investments based on estimated likelihoods and impacts
  根据估计的可能性和影响，按优先顺序分配网络安全资源和投资

🧡检查落实

🌹文件和台账

• 数据分级体系
• IT资产清单

🌹预期结果

• 使用威胁、脆弱性、可能性和影响四个要素评估组织的网络安全风险。
• 组织使用威胁建模方法，确定威胁代理可能破坏关键资产的方式和原因，需要对这些关键资产进行哪个级别的保护，以及如果保护失败将产生怎样的影响。
• 组织的业务部门持续评估与业务活动相关的技术、网络安全和韧性风险。
• 组织使用场景推演等事件分析技术来识别漏洞，并确定对关键基础设施、技术和业务流程的潜在影响。

ID.RA-06:

Risk responses are chosen, prioritized, planned, tracked, and communicated
风险响应措施得到选定、优先排序、计划、跟踪和沟通

• Ex1: Apply the vulnerability management plan’s criteria for deciding whether to accept, transfer, mitigate, or avoid risk
  应用漏洞管理计划的标准来决定是否接受、转移、减轻或避免风险
• Ex2: Apply the vulnerability management plan’s criteria for selecting compensating controls to mitigate risk
  应用漏洞管理计划的标准来选择补偿控制以减轻风险
• Ex3: Track the progress of risk response implementation (e.g., plan of action and milestones [POA&M], risk register, risk detail report)
  跟踪风险响应措施实施的进度(例如，行动计划和里程碑，风险登记册，风险细节报告)
• Ex4: Use risk assessment findings to inform risk response decisions and actions
  利用风险评估结果为风险响应措施的决策和行动提供信息
• Ex5: Communicate planned risk responses to affected stakeholders in priority order
  按优先顺序与受影响的利益相关者沟通规划的风险应对措施

🧡检查落实

🌹文件和台账

• 风险管理计划
• 管理评审记录
• 风险登记册
• 风险偏好声明

🌹预期结果

• 风险管理计划和风险评估产生可操作的建议，被组织用来选择、设计、优先排序、实施、维护、评估和修改网络安全与技术控制。
• 制定、评估、记录应对措施，以应对已识别的风险，并根据业务的关键程度进行优先排序。
• 评估可能对组织持续提供服务的能力产生不利影响的风险，制定韧性[恢复能力]要求和应对计划
• 应对措施的选择应与风险偏好相协调。

ID.RA-07:

Changes and exceptions are managed, assessed for risk impact, recorded, and tracked
变更和例外将被管理、评估风险影响、记录并跟踪。

• Ex1: Implement and follow procedures for the formal documentation, review, testing, and approval of proposed changes and requested exceptions
  实施并遵循相应规程，正式文件记录、评审、测试和批准建议的变更和请求的例外
• Ex2: Document the possible risks of making or not making each proposed change, and provide guidance on rolling back changes
  将进行或不进行每个建议变更的可能风险记录下来，并提供回滚变更的指南
• Ex3: Document the risks related to each requested exception and the plan for responding to those risks
  记录与每个请求的例外相关的风险，以及响应这些风险的规划
• Ex4: Periodically review risks that were accepted based upon planned future actions or milestones
  根据计划的未来行动或里程碑，定期评审已接受的风险

🧡检查落实

🌹文件和台账

• 网络安全策略
• 变更管理例外程序

🌹预期结果

• 组织定义并实施变更管理标准和程序，包括紧急变更程序，确保变更的风险被识别，以及审批机构(如变更管理委员会)。应具备如下特征：
  • 建议的变更被记录在案并得到批准
  • 在收到指定的批准之前禁止更改
  • 变更在实施之前要进行测试和验证
  • 准备好回滚过程
  • 变更记录在案并在完成时报告
• 变更失败或变更后被迫撤回的记录和lessons learned。
• 技术项目和系统变更过程包含或关联了安全态势、数据分类和流、架构、支持文档、业务流程和业务恢复计划等方面的必要的变更。
• 对例外情况进行正式管理，包含对各种例外情况的评估，审批，升级(提升到规定的管理级别进行审批)，跟踪。
• 建立并维护针对无法在目标时间范围内缓解的已识别漏洞的异常管理流程。

ID.RA-08:

Processes for receiving, analyzing, and responding to vulnerability disclosures are established
建立了接收、分析和响应漏洞披露的过程

• Ex1: Conduct vulnerability information sharing between the organization and its suppliers following the rules and protocols defined in contracts
  根据合同规定的规则和协议，在组织和供应商之间进行漏洞信息共享
• Ex2: Assign responsibilities and verify the execution of procedures for processing, analyzing the impact of, and responding to cybersecurity threat, vulnerability, or incident disclosures by suppliers, customers, partners, and government cybersecurity organizations
  分配责任并验证过程的执行情况，以对供应商、客户、合作伙伴和政府网络安全组织等披露的网络安全威胁、漏洞或事件进行处理、分析影响和作出响应

🧡检查落实

🌹文件和台账

• 事件响应规程
• 供应商管理程序
• 网络安全策略
• 合同和协议

🌹预期结果

• 合同要求供应商在指定的时间范围内向本组织通知漏洞情况。
• 存在用于接收、记录和分析关于潜在漏洞的信息的规程。
• 事件响应规程定义了分析和响应漏洞的角色和职责。

ID.RA-09:

The authenticity and integrity of hardware and software are assessed prior to acquisition and use
在购买和使用任何软硬件之前进行评估其真实性和完整性

• Ex1: Assess the authenticity and cybersecurity of critical technology products and services prior to acquisition and use
  在购买和使用前评估关键技术产品和服务的真实性和安全性

🧡检查落实

🌹文件和台账

• 供应商管理程序

🌹预期结果

• 具备完整性验证工具和机制用于验证软件、固件等的完整性和真实性。
• 硬件和软件在获取和使用之前要进行评估，包括源代码评审、供应链评审、安全测试报告、软件签名检查等。

ID.RA-10:

Critical suppliers are assessed prior to acquisition
在采购前对关键供应商进行评估

• Ex1: Conduct supplier risk assessments against business and applicable cybersecurity requirements, including the supply chain
  根据业务和适用的网络安全要求对供应商(包括供应链)实施风险评估

🧡检查落实

🌹文件和台账

• 供应商管理程序

🌹预期结果

• 在采购前是否对关键供应商进行了评估:
  • 正式的计划、选择和尽职调查程序，评估潜在关键供应商的适宜性。
  • 风险管理中涉及识别和评估由外部关系可能导致的风险。
  • 定期和不定期的供应商评审记录，具备根据风险、重要性和关系的复杂性等实施尽职调查的表征。