Identifiser og dokumentere maskin- og programvare, rutiner og personell. Avgjøre hvilken verdier disse har for virksomheten
| Identifisere (ID) | ||
|---|---|---|
| Kategori | Underkategori | Referanse |
|
Asset Management (ID.AM)
Dataene, personellet, enhetene, |
ID.AM-1: Fysiske enheter og systemer i organisasjonen er lagerført |
CIS CSC 1 |
| COBIT 5 BAI09.01, BAI09.02 | ||
| ISA 62443-2-1:2009 4.2.3.4 | ||
| ISA 62443-3-3:2013 SR 7.8 | ||
| ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 | ||
| NIST SP 800-53 Rev. 4 CM-8, PM-5 | ||
| ID.AM-2: Plattformer, systemer og applikasjoner er identifisert og dokumentert | CIS CSC 2 | |
| COBIT 5 BAI09.01, BAI09.02, BAI09.05 | ||
| ISA 62443-2-1:2009 4.2.3.4 | ||
| ISA 62443-3-3:2013 SR 7.8 | ||
| ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1 | ||
| NOR SP 800-53 Rev. 4 CM-8, PM-5 | ||
| ID.AM-3: Kommunikasjons og dataflyt i organisasjonen kartlegges | CIS CSC 12 | |
| COBIT 5 DSS05.02 | ||
| ISA 62443-2-1:2009 4.2.3.4 | ||
| ISO/IEC 27001:2013 A.13.2.1, A.13.2.2 | ||
| NOR SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8 | ||
| ID.AM-4: Eksterne informasjonssystemer er katalogisert | CIS CSC 12 | |
| COBIT 5 APO02.02, APO10.04, DSS01.02 | ||
| ISO/IEC 27001:2013 A.11.2.6 | ||
| NOR SP 800-53 Rev. 4 AC-20, SA-9 | ||
| ID.AM-5: Ressurser (f.eks. maskinvare, enheter, data, tid, personell og programvare) prioriteres basert på deres klassifisering, kritikkverdighet og forretningsverdi |
CIS CSC 13, 14 | |
| COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02 | ||
| ISA 62443-2-1:2009 4.2.3.6 | ||
| ISO/IEC 27001:2013 A.8.2.1 | ||
| NOR SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6 | ||
| ID.AM-6: Cybersikkerhetsroller og -ansvar for hele arbeidsstyrken og tredjepartsinteressenter (f.eks. leverandører, kunder og partnere) er etablert |
CIS CSC 17, 19 | |
| COBIT 5 APO01.02, APO07.06, APO13.01, DSS06.03 | ||
| ISA 62443-2-1:2009 4.3.2.3.3 | ||
| ISO/IEC 27001:2013 A.6.1.1 | ||
| NOR SP 800-53 Rev. 4 CP-2, PS-7, PM-11 | ||
| Forretningsmiljø (ID.BE): Organisasjonens oppdrag, mål, interessenter og aktiviteter blir forstått og prioritert; denne informasjonen brukes til å informere om cybersikkerhetsroller, ansvar og beslutninger om risikostyring. |
ID.BE-1: Organisasjonens rolle i forsyningskjeden identifiseres og kommuniseres |
COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05 |
| ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2 | ||
| NIST SP 800-53 Rev. 4 CP-2, SA-12 | ||
| ID.BE-2: Organisasjonens plass i kritisk infrastruktur og dens industrisektor er identifisert og kommunisert |
COBIT 5 APO02.06, APO03.01 | |
| ISO/IEC 27001:2013 Clause 4.1 | ||
| NIST SP 800-53 Rev. 4 PM-8 | ||
| ID.BE-3: Prioriteringer for organisasjonsoppdrag, mål og aktiviteter etableres og kommuniseres |
COBIT 5 APO02.01, APO02.06, APO03.01 | |
| ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6 | ||
| NIST SP 800-53 Rev. 4 PM-11, SA-14 | ||
| ID.BE-4: Avhengigheter og kritiske funksjoner for levering av kritiske tjenester etableres |
COBIT 5 APO10.01, BAI04.02, BAI09.02 | |
| ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3 | ||
| NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14 | ||
| ID.BE-5: Krav til motstandskraft for å støtte levering av kritiske tjenester er etablert for alle driftstilstander (f.eks. under tvang/angrep, under utvinning, normal drift) |
COBIT 5 BAI03.02, DSS04.02 | |
| ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1 | ||
| NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14 | ||
| Governance (ID.GV): Retningslinjene, prosedyrene og prosessene for å administrere og overvåke organisasjonens regulatoriske, juridiske, risiko-, miljø- og operasjonelle krav er forstått og informerer ledelsen om cybersikkerhetsrisiko |
ID.GV-1: Organisatorisk cybersikkerhetspolicy er etablert og kommunisert |
CIS CSC 19 |
| COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02 | ||
| ISA 62443-2-1:2009 4.3.2.6 | ||
| ISO/IEC 27001:2013 A.5.1.1 | ||
| NOR SP 800-53 Rev. 1-1. Kontroller fra alle sikkerhetskontrollfamilier | ||
| ID.GV-2: Cybersikkerhetsroller og -ansvar er koordinert og på linje med interne roller og eksterne partnere | CIS CSC 19 | |
| COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04 | ||
| ISA 62443-2-1:2009 4.3.2.3.3 | ||
| ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1 | ||
| NOR SP 800-53 Rev. 4 PS-7, PM-1, PM-2 | ||
| ID.GV-3: Juridiske og regulatoriske krav angående nettsikkerhet, inkludert forpliktelser om personvern og sivile friheter, er forstått og administrert |
CIS CSC 19 | |
| COBIT 5 BAI02.01, MEA03.01, MEA03.04 | ||
| ISA 62443-2-1:2009 4.4.3.7 | ||
| ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5 | ||
| NIST SP 800-53 Rev. 4 -1 controls from all security control families | ||
| ID.GV-4: Styrings- og risikostyringsprosesser adresserer cybersikkerhetsrisikoer |
COBIT 5 EDM03.02, APO12.02, APO12.05, DSS04.02 | |
| ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3 | ||
| ISO/IEC 27001:2013 Clause 6 | ||
| NOR SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM-9, PM-10, PM-11 | ||
| Risikostyring (ID.RA): Organisasjonen forstår cybersikkerhetsrisikoen for organisasjonsdrift (inkludert oppdrag, funksjoner, image eller omdømme), organisatoriske eiendeler og enkeltpersoner |
ID.RA-1: Verdi- / eiendelssårbarheter er identifisert og dokumentert | CIS CSC 4 |
| COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, DSS05.01, DSS05.02 | ||
| ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12 | ||
| ISO/IEC 27001:2013 A.12.6.1, A.18.2.3 | ||
| NOR SP 800-53 Rev. 4 CA-2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5 | ||
| ID.RA-2: Etterretning om cybertrusler mottas fra fora og kilder for informasjonsdeling |
CIS CSC 4 | |
| COBIT 5 BAI08.01 | ||
| ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 | ||
| ISO/IEC 27001:2013 A.6.1.4 | ||
| NOR SP 800-53 Rev. 4 SI-5, PM-15, PM-16 | ||
| ID.RA-3: Trusler, både interne og eksterne, identifiseres og dokumenteres |
CIS CSC 4 | |
| COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04 | ||
| ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 | ||
| ISO/IEC 27001:2013 Clause 6.1.2 | ||
| NOR SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16 | ||
| ID.RA-4: Potensielle forretningspåvirkninger og sannsynligheter er identifisert |
CIS CSC 4 | |
| COBIT 5 DSS04.02 | ||
| ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 | ||
| ISO/IEC 27001:2013 A.16.1.6, Clause 6.1.2 | ||
| NOR SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9, PM-11 | ||
| ID.RA-5: Trusler, sårbarheter, sannsynligheter og påvirkninger brukes til å bestemme risiko |
CIS CSC 4 | |
| COBIT 5 APO12.02 | ||
| ISO/IEC 27001:2013 A.12.6.1 | ||
| NOR SP 800-53 Rev. 4 RA-2, RA-3, PM-16 | ||
| ID.RA-6: Risikoreaksjoner identifiseres og prioriteres |
CIS CSC 4 | |
| COBIT 5 APO12.05, APO13.02 | ||
| ISO/IEC 27001:2013 Clause 6.1.3 | ||
| NOR SP 800-53 Rev. 4 PM-4, PM-9 | ||
|
Risikostyringsstrategi (ID.RM): risikotoleranser og forutsetninger er etablert og brukt til å støtte beslutninger om operasjonellrisiko |
ID.RM-1: Risikostyringsprosesser er etablert, administrert og godkjent av organisasjonsinteressenter |
CIS CSC 4 |
| COBIT 5 APO12.04, APO12.05, APO13.02, BAI02.03, BAI04.02 | ||
| ISA 62443-2-1:2009 4.3.4.2 | ||
| ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, Clause 9.3 | ||
| NIST SP 800-53 Rev. 4 PM-9 | ||
| ID.RM-2: Organisatorisk risikotoleranse er bestemt og tydelig uttrykt |
COBIT 5 APO12.06 | |
| ISA 62443-2-1:2009 4.3.2.6.5 | ||
| ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3 | ||
| NIST SP 800-53 Rev. 4 PM-9 | ||
| ID.RM-3: Organisasjonens bestemmelse av risikotoleranse er informert om dens rolle i kritisk infrastruktur og sektorspesifikk risikoanalyse |
COBIT 5 APO12.02 | |
| ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3 | ||
| NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11 | ||
|
Risikostyring i
|
ID.SC-1: Risikostyringsprosesser for cyberforsyningskjeden identifiseres, etableres, vurderes, administreres og godkjennes av organisasjonens interessenter |
CIS CSC 4 |
| COBIT 5 APO10.01, APO10.04, APO12.04, APO12.05, APO13.02, BAI01.03, BAI02.03, BAI04.02 | ||
| ISA 62443-2-1:2009 4.3.4.2 | ||
| ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2 | ||
| NIST SP 800-53 Rev. 4 SA-9, SA-12, PM-9 | ||
| ID.SC-2: Leverandører og tredjepartspartnere av informasjonssystemer, komponenter og tjenester blir identifisert, prioritert og vurdert ved hjelp av en risikovurderingsprosess for cyberforsyningskjeden |
COBIT 5 APO10.01, APO10.02, APO10.04, APO10.05, APO12.01, APO12.02, APO12.03, APO12.04, APO12.05, APO12.06, APO13.02, BAI02.03 | |
| ISA 62443-2-1:2009 4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4, 4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10, 4.2.3.12, 4.2.3.13, 4.2.3.14 | ||
| ISO/IEC 27001:2013 A.15.2.1, A.15.2.2 | ||
|
Risikostyring i
|
NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-12, SA-14, SA-15, PM-9 | |
| ID.SC-3: Kontrakter med leverandører og tredjepartspartnere brukes til å implementere passende tiltak utformet for å oppfylle målene til en organisasjons cybersikkerhetsprogram og Cyber Supply Chain |
COBIT 5 APO10.01, APO10.02, APO10.03, APO10.04, APO10.05 | |
| ISA 62443-2-1:2009 4.3.2.6.4, 4.3.2.6.7 | ||
| ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3 | ||
| NIST SP 800-53 Rev. 4 SA-9, SA-11, SA-12, PM-9 | ||
| ID.SC-4: Leverandører og tredjepartspartnere vurderes rutinemessig ved å bruke revisjoner, testresultater eller andre former for evalueringer for å bekrefte at de oppfyller sine kontraktsmessige forpliktelser. |
COBIT 5 APO10.01, APO10.03, APO10.04, APO10.05, MEA01.01, MEA01.02, MEA01.03, MEA01.04, MEA01.05 | |
| ISA 62443-2-1:2009 4.3.2.6.7 | ||
| ISA 62443-3-3:2013 SR 6.1 | ||
| ISO/IEC 27001:2013 A.15.2.1, A.15.2.2 | ||
| NIST SP 800-53 Rev. 4 AU-2, AU-6, AU-12, AU-16, PS-7, SA-9, SA-12 | ||
| ID.SC-5: Planlegging og testing av respons og gjenoppretting utføres med leverandører og tredjepartsleverandører |
CIS CSC 19, 20 | |
| COBIT 5 DSS04.04 | ||
| ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11 | ||
| ISA 62443-3-3:2013 SR 2.8, SR 3.3, SR.6.1, SR 7.3, SR 7.4 | ||
| ISO/IEC 27001:2013 A.17.1.3 | ||
| NIST SP 800-53 Rev. 4 CP-2, CP-4, IR-3, IR-4, IR-6, IR-8, IR-9 | ||