Правительство работает с промышленностью над улучшением управления цифровыми рисками и повышением киберустойчивости в экономике. В рамках этого правительство запустило новый Кодекс практики киберуправления. Чтобы поддержать принятие этого Кодекса, Департамент науки, инноваций и технологий ( DSIT ) создал документ «Картографирование киберуправления» для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц).

Документ сопоставления был разработан в партнерстве с промышленностью и международными заинтересованными сторонами. Он был создан в ответ на отзывы от промышленности, полученные в ходе консультаций по Кодексу практики киберуправления (Кодекс), в которых говорилось, что необходимо больше разъяснений относительно того, как Кодекс вписывается в текущий ландшафт киберстандартов. Документ сопоставления решает эту проблему, иллюстрируя, где есть сходства и различия между Кодексом и другими внутренними и международными киберстандартами и структурами.

Этот справочный документ может использоваться организациями для понимания того, какие действия Кодекса они уже реализуют посредством соблюдения других стандартов и рамок в области кибербезопасности.

Ознакомьтесь с Кодексом практики киберуправления .

DSIT работал с организациями, включенными в сопоставление, для обеспечения точности. DSIT продолжает работать с NSIT, пока сопоставление с NIST Cybersecurity Framework ( NIST CSF ) рассматривается Национальной программой онлайн-информативных ссылок NIST ( NOIRP ). После завершения проверок, проведенных NOIRP , мы удалим отказ от ответственности «черновик».

Документ по картированию является живым документом. Дополнительные внутренние и международные киберстандарты и фреймворки будут включены по мере их завершения. Документ будет периодически пересматриваться время от времени и обновляться соответствующим образом, включая включение любых новых опубликованных стандартов и фреймворков.

Документ сопоставления является иллюстративным и должен использоваться только в качестве справочной информации. Он не предназначен для того, чтобы быть авторитетным или восприниматься как юридическая консультация по соблюдению упомянутых стандартов или рамок.

Опубликовано 8 апреля 2025 г.

Последнее обновление: 16 апреля 2025 г. показать все обновления

Политический документ

Сопоставление кода киберуправления с платформой кибероценки NCSC

Обновлено 16 апреля 2025 г.

Введение

Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет понять Кодекс практики киберуправления (далее — Кодекс).

Документ сопоставления иллюстрирует, где есть сходства и различия между Кодексом и NCSC Cyber Assessment Framework . Он может использоваться организациями для понимания того, какие действия Кодекса они уже могут внедрять посредством присоединения к NCSC Cyber Assessment Framework.

Документ сопоставления является иллюстративным и должен использоваться только в качестве справочного материала. Он не предназначен для использования в качестве авторитетного документа или юридической консультации по соблюдению упомянутой структуры.

Если у вас есть комментарии или вопросы по карте киберуправления, свяжитесь с нами по адресу cybergovernance@dsit.gov.uk

Принцип А: Управление рисками

Действие A1 : Получить уверенность в том, что технологические процессы, информация и услуги, имеющие решающее значение для целей организации, определены, расставлены по приоритетам и согласованы.

Соответствие NCSC CAF : Принцип A3 — Управление активами

Действие A2 : Согласовать руководство рисками кибербезопасности и получить гарантии того, что они интегрированы в более широкую систему управления корпоративными рисками и внутреннего контроля организации.

Соответствие NCSC CAF : Принцип A1 – Управление

Действие A3 : Определите и четко сообщите о готовности организации к риску в области кибербезопасности и получите уверенность в том, что у организации есть план действий по удовлетворению этих ожиданий в отношении риска.

Соответствие NCSC CAF : Принцип A2 — Управление киберрисками

Действие A4 : Получите уверенность в том, что информация о поставщиках регулярно оценивается пропорционально уровню их риска и что организация устойчива к рискам кибербезопасности со стороны своей цепочки поставок и деловых партнеров.

Соответствие NCSC CAF : Принцип A4 — Цепочка поставок

Действие A5 : Получите уверенность в том, что оценки рисков проводятся регулярно и что меры по снижению рисков учитывают недавние или ожидаемые изменения в организации, технологиях, правилах или более широком ландшафте угроз.

Соответствие NCSC CAF : Принцип A2 — Управление киберрисками

Принцип Б: Стратегия

Действие B1 : Получите уверенность в том, что организация разработала киберстратегию, которая согласуется с более широкой организационной стратегией и включена в нее.

Соответствие NCSC CAF : Принцип A1 – Управление

Действие B2 : Получить уверенность в том, что киберстратегия соответствует согласованному уровню киберрисков (действие A3), соответствует соответствующим нормативным обязательствам и учитывает текущие или ожидаемые изменения (действие A5).

Соответствие NCSC CAF : Принцип A1 – Управление

Действие B3 : Получить уверенность в том, что ресурсы распределяются эффективно для управления согласованными киберрисками (действия A3 и A5).

Соответствие NCSC CAF : нет сравнения

Действие B4 : Получить уверенность в том, что киберстратегия реализуется эффективно и достигает запланированных результатов.

Соответствие NCSC CAF : нет сравнения

Принцип C: Люди

Действие C1 : Продвигать культуру кибербезопасности, которая поощряет позитивное поведение и ответственность на всех уровнях. Это должно соответствовать стратегии организации (Действие B1).

Соответствие NCSC CAF : Принцип B6 — Осведомленность и обучение персонала

Действие C2 : Получите уверенность в наличии четких политик, поддерживающих позитивную культуру кибербезопасности.

Соответствие NCSC CAF : принцип A1 – Управление, принцип: B1 – Политики, процессы и процедуры защиты услуг

Действие C3 : Пройдите обучение, чтобы повысить свою собственную киберграмотность и взять на себя ответственность за безопасность данных и цифровых активов, которые вы используете.

Соответствие NCSC CAF : Принцип B6 — Осведомленность и обучение персонала

Действие C4 : Получите уверенность с помощью подходящих показателей в том, что в организации имеется эффективная программа обучения, образования и повышения осведомленности в области кибербезопасности.

Соответствие NCSC CAF : Принцип B6 — Осведомленность и обучение персонала

Принцип D: Инцидент, планирование реагирования и восстановления

Действие D1 : Получите уверенность в том, что у организации есть план реагирования и восстановления после киберинцидента, влияющего на критически важные для бизнеса технологические процессы, информацию и услуги.

Согласование с NCSC CAF : Принцип первый: Кибербезопасность как стратегический риск, Инструмент E: Реагирование на инциденты

Действие D2 : Получить уверенность в том, что по крайней мере ежегодно проводятся учения по плану с участием соответствующих внутренних и внешних заинтересованных сторон, и что уроки, извлеченные из учений, отражены в плане действий по инцидентам (действие D1) и оценках рисков (действие A5).

Соответствие NCSC CAF : Принцип первый: Кибербезопасность как стратегический риск, Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Инструмент E: Реагирование на инциденты

Действие D3 : В случае инцидента возьмите на себя ответственность за выполнение индивидуальных нормативных обязательств, таких как предоставление отчетности, и поддержите организацию в принятии важных решений и осуществлении внешних коммуникаций.

Согласование с NCSC CAF : Инструмент E: Реагирование на инциденты, Принцип два: Юридические последствия и последствия раскрытия информации

Действие D4 : Получите уверенность в том, что процесс анализа после инцидента внедрен для включения извлеченных уроков в будущие оценки рисков (действие A5), планы реагирования и восстановления (действие D1) и учения (действие D2).

Соответствие NCSC CAF : Инструмент E: Реагирование на инциденты, Принцип один: Кибербезопасность как стратегический риск, Принцип два: Правовые последствия и последствия раскрытия информации, Принцип три: Структура надзора за советом директоров и доступ к экспертным знаниям

Принцип E: Гарантия и надзор

Действие E1 : Создать структуру управления киберпространством, которая встроена в более широкую структуру управления организации. Это должно включать четкое определение ролей и обязанностей, включая владение киберпространством на уровне исполнительных и неисполнительных директоров.

Соответствие NCSC CAF : Принцип четвертый: Корпоративная структура управления киберрисками

Действие E2 : Требовать формальную отчетность по крайней мере ежеквартально, установить подходящие метрики для отслеживания и согласовать допуски для каждой из них. Они должны быть согласованы с киберстратегией (действие B1) и основаны на согласованном аппетите к киберрискам (действие A3).

Соответствие NCSC CAF : Принцип пятый: Измерение и отчетность по кибербезопасности

Действие E3 : Установить регулярный двусторонний диалог с соответствующими старшими руководителями, включая, помимо прочего, главного сотрудника по информационной безопасности (или эквивалентное лицо).

Согласование с NCSC CAF : Принцип третий: Структура надзора за советом директоров и доступ к экспертным знаниям, Инструмент H: Построение отношений с CISO

Действие E4 : Получить уверенность в том, что аспекты кибербезопасности (включая действия, изложенные в настоящем кодексе) интегрированы и соответствуют существующим механизмам внутреннего и внешнего аудита и обеспечения гарантий.

Соответствие NCSC CAF : Принцип пятый: Измерение и отчетность по кибербезопасности

Действие E5 : Получить уверенность в том, что руководители высшего звена осведомлены о соответствующих нормативных обязательствах, а также о передовой практике, содержащейся в других кодексах практики.

Согласование с NCSC CAF : Принцип второй: Юридические последствия и последствия раскрытия информации

WikiVisa — ВикиВиза — VikiVisa

Политический документ

Сопоставление кода киберуправления с ISACA COBIT-19

Обновлено 16 апреля 2025 г.

Введение

Документ сопоставления иллюстрирует, где есть сходства и различия между Кодексом и структурой ISACA COBIT-19 . Он может использоваться организациями для понимания того, какие действия Кодекса они уже могут внедрять посредством присоединения к структуре ISACA COBIT-19.

Если у вас есть комментарии или вопросы по карте киберуправления, свяжитесь с нами по адресу cybergovernance@dsit.gov.uk

Принцип А: Управление рисками

Соответствие ISACA COBIT-19 : BAI09.02 Управление критически важными активами, DSS04.01 Определение политики, целей и области действия непрерывности бизнеса

Соответствие ISACA COBIT-19 : EDM01 Установка и поддержание гарантированной структуры управления, APO01.05 Установление ролей и обязанностей

Соответствие ISACA COBIT-19 : EDM03.01 Оценка управления рисками, APO12.02 Анализ риска, APO13.02 Определение и управление планом обработки рисков информационной безопасности и конфиденциальности, BAI02.03 Управление рисками требований

Соответствие ISACA COBIT-19 : APO10.05 Мониторинг производительности и соответствия поставщика

Соответствие ISACA COBIT-19 : APO01.11 Управление постоянным совершенствованием системы управления ИТ, MEA04.08 Отчет и последующие действия по инициативе по обеспечению качества, MEA04.09 Последующие действия по рекомендациям и действиям

Принцип Б: Стратегия

Соответствие ISACA COBIT-19 : APO02.06 Информирование о стратегии и направлении развития ИТ, APO02.05 Определение стратегического плана и дорожной карты

Соответствие ISACA COBIT-19 : EDM03.01 Оценка управления рисками, EDM03.02 Прямое управление рисками, APO12.02 Анализ риска, APO12.03 Ведение профиля риска, MEA03 Управляемое соответствие внешним требованиям

Соответствие ISACA COBIT-19 : APO06.02 Приоритетное распределение ресурсов, EDM04.02 Прямое управление ресурсами

Соответствие ISACA COBIT-19 : EDM02.04 Оптимизация значения монитора

Принцип C: Люди

Соответствие ISACA COBIT-19 : APO01.01 Разработка системы управления для корпоративных ИТ-систем, APO01.02 Информирование о целях, направлениях и принятых решениях управления

Соответствие ISACA COBIT-19 : сравнение не проводилось

Соответствие ISACA COBIT-19 : APO07.03 Поддержание навыков и компетенций персонала, DSS04.06 Проведение обучения по плану непрерывности

Принцип D: Инцидент, планирование реагирования и восстановления

Соответствие ISACA COBIT-19 : сравнение не проводилось

Соответствие ISACA COBIT-19 : DSS04.04 Отработка, тестирование и обзор плана обеспечения непрерывности бизнеса (BCP) и плана реагирования на чрезвычайные ситуации (DRP)

Соответствие ISACA COBIT-19 : DSS02 — управляемые запросы на обслуживание и инциденты

Соответствие ISACA COBIT-19 : DSS04.08 Проведение обзора после возобновления

Принцип E: Гарантия и надзор

Соответствие ISACA COBIT-19 : EDM01.02 Руководство системой управления, APO01.04 Определение и внедрение организационных структур

Соответствие ISACA COBIT-19 : MEA01 — Управляемый мониторинг производительности и соответствия

Соответствие ISACA COBIT-19 : EDM05 — гарантированное взаимодействие с заинтересованными сторонами

Соответствие ISACA COBIT-19 : MEA04 — Управляемое обеспечение

Соответствие ISACA COBIT-19 : MEA03 — Управляемое соответствие внешним требованиям

WikiVisa — ВикиВиза — VikiVisa

Политический документ

Сопоставление кода киберуправления с фреймворком кибербезопасности NIST

Обновлено 16 апреля 2025 г.

Введение

Документ сопоставления иллюстрирует, где есть сходства и различия между Кодексом и NIST Cyber Security Framework . Он может использоваться организациями для понимания того, какие действия Кодекса они уже могут внедрять посредством присоединения к NIST Cyber Security Framework.

Если у вас есть комментарии или вопросы по карте киберуправления, свяжитесь с нами по адресу cybergovernance@dsit.gov.uk

Принцип А: Управление рисками

Соответствие CSF NIST : GV.OC-02, GV.OC-03, GV.OC-04, GV.RM-01, ID.AM-05

Соответствие CSF NIST : GV.RR.01, GV.RM.03

Соответствие CSF NIST : GV.OC.01, GV.RM.02

Соответствие CSF NIST : GV.SC.01, GV.SC.02, GV.SC.03, GV.SC.04, GV.SC.05, GV.SC.06, GV.SC.07, GV.SC.08, GV.SC.09, GV.SC.10, ID.RA.10

Соответствие CSF NIST : ID.RA.01, ID.RA.02, ID.RA.03, ID.RA.04, ID.RA.05, ID.RA.06, ID.RA.07, ID.RA.08, ID.RA.09

Принцип Б: Стратегия

Соответствие CSF NIST : GV.RM.04

Соответствие CSF NIST : GV-RR.03

Соответствие CSF NIST : GV.RR.02

Принцип C: Люди

Соответствие CSF NIST : GV.RR.01, GV.RR.04

Соответствие CSF NIST : GV.PO.01, GV.PO.02

Соответствие CSF NIST : GV.PO.01, PR.AT.01, PR.AT.02

Соответствие CSF NIST : PR.AT.01, PR.AT.02

Принцип D: Инцидент, планирование реагирования и восстановления

Соответствие CSF NIST : RS.MA.01, RC.RP-01

Соответствие CSF NIST : ID.IM.02

Соответствие CSF NIST : GV.OC.03, RS.MA.02

Соответствие CSF NIST : RS.AN.03

Принцип E: Гарантия и надзор

Соответствие CSF NIST : GV.RR.02, GV.PO-02, GV.OV-01, GV.OV-02, GV.OV-03

Соответствие CSF NIST : GV.RR.02, GV.OC-02, GV.OC-03

Соответствие CSF NIST : GV.RR.01, GV.OC-02, GV.OC-03

Соответствие CSF NIST : GV.OC-03

Политический документ

Сопоставление кода киберуправления с IASME Cyber Assurance

Обновлено 16 апреля 2025 г.

Введение

Документ сопоставления иллюстрирует, где есть сходства и различия между Кодексом и стандартом IASME Cyber Assurance . Он может использоваться организациями для понимания того, какие действия Кодекса они уже могут внедрять посредством соблюдения стандарта IASME Cyber Assurance.

Если у вас есть комментарии или вопросы по карте киберуправления, свяжитесь с нами по адресу cybergovernance@dsit.gov.uk

Принцип А: Управление рисками

Соответствие требованиям IASME Cyber Assurance : Тема 3 – Активы, Тема 4 – Правовая и нормативная среда, Тема 12 – Безопасные бизнес-операции: мониторинг, обзор и управление изменениями, Тема 13 – Устойчивость: непрерывность бизнеса, управление инцидентами и восстановление после сбоев

Соответствие требованиям IASME Cyber Assurance : Тема 5 — Оценка и обработка рисков

Принцип Б: Стратегия

Соответствие требованиям IASME Cyber Assurance : Тема 1 — Планирование информационной безопасности

Соответствие требованиям IASME Cyber Assurance : Тема 1 — Планирование информационной безопасности, Тема 5 — Оценка и обработка рисков

Соответствие требованиям IASME Cyber Assurance : Тема 1 — Планирование информационной безопасности, Тема 2 — Организация, Тема 7 — Люди

Соответствие требованиям IASME Cyber Assurance : Тема 2 – Организация, Тема 5 – Оценка и обработка рисков, Тема 8 – Реализация политики, Тема 12 – Безопасные бизнес-операции: мониторинг, обзор и управление изменениями

Принцип C: Люди

Соответствие требованиям IASME Cyber Assurance : Тема 7 – Люди, Тема 12 – Безопасные бизнес-операции: мониторинг, обзор и управление изменениями

Согласование с IASME Cyber Assurance : Тема 8 — Реализация политики

Соответствие требованиям IASME Cyber Assurance : Тема 2 – Организация, Тема 3 – Активы, Тема 7 – Люди

Соответствие требованиям IASME Cyber Assurance : Тема 2 – Организация, Тема 7 – Люди

Принцип D: Инцидент, планирование реагирования и восстановления

Соответствие требованиям IASME Cyber Assurance : Тема 13 — Устойчивость: непрерывность бизнеса, управление инцидентами и восстановление после сбоев

Принцип E: Гарантия и надзор

Согласование с IASME Cyber Assurance : Тема 2 — Организация

Соответствие требованиям IASME Cyber Assurance : Тема 12 — Безопасные бизнес-операции: мониторинг, обзор и управление изменениями

Согласование с IASME Cyber Assurance : Тема 2 — Организация

Соответствие требованиям IASME Cyber Assurance : Тема 2 – Организация, Тема 4 – Правовая и нормативная среда, Тема 7 – Люди, Тема 8 – Реализация политики, Тема 12 – Безопасные бизнес-операции: мониторинг, обзор и управление изменениями

Соответствие требованиям IASME Cyber Assurance : Тема 4 – Правовая и нормативная среда

image description

Политический документ

Сопоставление кода киберуправления со Справочником директоров ISA

Обновлено 16 апреля 2025 г.

Введение

Документ сопоставления иллюстрирует, где есть сходства и различия между Кодексом и Справочником директора ISA по надзору за киберрисками. Он может быть использован организациями для понимания того, какие действия Кодекса они уже могут внедрять посредством соблюдения Справочника директора ISA по надзору за киберрисками.

Если у вас есть комментарии или вопросы по карте киберуправления, свяжитесь с нами по адресу cybergovernance@dsit.gov.uk

Принцип А: Управление рисками

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск

Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Принцип шестой: Поощрение системной устойчивости и сотрудничества

Соответствие ISA-2023 : Принцип два: Юридические последствия и последствия раскрытия информации, Принцип три: Структура надзора совета директоров и доступ к экспертным знаниям

Принцип Б: Стратегия

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск

Соответствие ISA-2023 : Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Принцип четвертый: Корпоративная структура управления киберрисками

Принцип C: Люди

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск

Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками

Соответствие ISA-2023 : Инструмент H: Построение отношений с CISO

Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками

Принцип D: Инцидент, планирование реагирования и восстановления

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Инструмент E: Реагирование на инциденты

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Инструмент E: Реагирование на инциденты

Соответствие ISA-2023 : Принцип два: Юридические последствия и последствия раскрытия информации, Инструмент E: Реагирование на инциденты

Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Принцип второй: Юридические последствия и последствия раскрытия информации, Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Инструмент E: Реагирование на инциденты

Принцип E: Гарантия и надзор

Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками

Соответствие ISA-2023 : Принцип пятый: Измерение и отчетность по кибербезопасности

Соответствие ISA-2023 : Принцип третий: Структура надзора за советом директоров и доступ к экспертным знаниям, Инструмент H: Построение отношений с CISO

Соответствие ISA-2023 : Принцип пятый: Измерение и отчетность по кибербезопасности

Соответствие ISA-2023 : Принцип второй: Юридические последствия и последствия раскрытия информации

Политический документ

Сопоставление кода киберуправления с ANSSI

Обновлено 16 апреля 2025 г.

Введение

Документ сопоставления иллюстрирует, где есть сходства и различия между Кодексом и французской структурой ANSSI – Controlling the Digital Risk – A Trust Advantage . Он может использоваться организациями для понимания того, какие действия Кодекса они уже могут внедрять посредством присоединения к структуре цифрового риска ANSSI .

Если у вас есть комментарии или вопросы по карте киберуправления, свяжитесь с нами по адресу cybergovernance@dsit.gov.uk

Принцип А: Управление рисками

Соответствие ANSSI Управление цифровыми рисками : Шаг второй: Понимание своей цифровой активности

Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг первый: Определение структуры управления цифровыми рисками

Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг третий: узнайте свой порог принятия риска

Соответствие ANSSI Управление цифровыми рисками : Шаг третий: Определите свой порог принятия риска, Шаг девятый: Создание своей защиты

Соответствие стандартам ANSSI Управление цифровыми рисками : Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность

Принцип Б: Стратегия

Согласование с ANSSI по контролю цифровых рисков : Шаг четвертый: построение наихудшего сценария риска, Шаг пятый: определение стратегии цифровой безопасности и продвижения

Соответствие ANSSI Управление цифровыми рисками : Шаг пятый: Определение стратегии цифровой безопасности и продвижения, Шаг тринадцатый: Приверженность: от присоединения к действию

Принцип C: Люди

Согласование с ANSSI по контролю цифровых рисков : Шаг седьмой: Люди в центре игры

Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг первый: Определение структуры управления цифровыми рисками, Шаг тринадцатый: Приверженность: от присоединения к действию

Согласование с ANSSI по контролю цифровых рисков : Шаг седьмой: Люди в центре игры

Принцип D: Инцидент, планирование реагирования и восстановления

Соответствие ANSSI Управление цифровыми рисками : Шаг десятый: Ориентация своей защиты и прогнозирование ее реакции

Соответствие требованиям ANSSI по контролю цифровых рисков : Шаг одиннадцатый: Демонстрация устойчивости в случае кибератаки, Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность

Согласование с ANSSI по контролю цифровых рисков : Шаг одиннадцатый: Демонстрация устойчивости в случае кибератаки

Принцип E: Гарантия и надзор

Соответствие ANSSI Управление цифровыми рисками : Шаг второй: Понимание своей цифровой активности, Шаг девятый: Создание своей защиты

WikiVisa — ВикиВиза — VikiVisa

Картографирование киберуправления: киберстандарты 2025

Картографирование киберуправления

Документы

Картографирование киберуправления (полная электронная таблица)