Kerangka Kerja Keamanan Siber NIST mencakup fungsi, kategori, subkategori, dan referensi informatif.

Fungsi memberikan ikhtisar tentang protokol keamanan praktik terbaik. Fungsi tidak dimaksudkan untuk menjadi langkah prosedural, tetapi dilakukan “secara bersamaan dan terus-menerus untuk membentuk budaya operasional yang mengatasi risiko keamanan siber yang dinamis.” Kategori dan subkategori memberikan rencana tindakan yang lebih konkret untuk departemen atau proses tertentu dalam organisasi.

Contoh fungsi dan kategori NIST meliputi:

Identifikasi: Untuk melindungi dari serangan siber, tim keamanan siber membutuhkan pemahaman menyeluruh tentang aset dan sumber daya organisasi yang paling penting. Fungsi identifikasi mencakup kategori seperti manajemen aset, lingkungan bisnis, tata kelola, penilaian risiko, strategi manajemen risiko, dan manajemen risiko rantai pasokan.





Perlindungan: Fungsi perlindungan mencakup banyak kontrol keamanan teknis dan fisik untuk mengembangkan dan menerapkan penjagaan yang tepat dan melindungi infrastruktur penting. Semua kategori tersebut adalah manajemen identitas dan kontrol akses, kesadaran dan pelatihan, keamanan data, proses dan prosedur perlindungan informasi, teknologi pemeliharaan dan perlindungan.





Deteksi: Fungsi deteksi mengimplementasikan langkah-langkah yang memperingatkan organisasi terhadap serangan siber. Kategori deteksi mencakup anomali dan peristiwa, keamanan, pemantauan berkelanjutan, dan proses deteksi.





Tanggapan: Kategori fungsi tanggapan memastikan respons yang tepat terhadap serangan siber dan peristiwa keamanan siber lainnya. Kategori spesifik meliputi perencanaan respons, komunikasi, analisis, mitigasi, dan perbaikan.





Pemulihan: Kegiatan pemulihan menerapkan rencana ketahanan siber dan memastikan keberlangsungan bisnis jika terjadi serangan siber, pelanggaran keamanan, atau peristiwa keamanan siber lainnya. Fungsi pemulihan adalah perbaikan perencanaan pemulihan dan komunikasi.

Referensi informatif NIST CSF membuat korelasi langsung antara fungsi, kategori, subkategori, dan kontrol keamanan spesifik dari kerangka kerja lain. Kerangka kerja tersebut termasuk:

Center for Internet Security (CIS) Controls COBIT 5 International Society of Automation (ISA) 62443-2-1:2009 ISA 62443-3-3:2013 Organisasi Internasional untuk Standardisasi dan Komisi Elektroteknik Internasional 27001:2013 NIST SP 800-53 Rev. 4



NIST CSF tidak memberi tahu cara menginventarisasi perangkat dan sistem fisik atau cara menginventarisasi platform perangkat lunak dan aplikasi; CSF hanya menyediakan daftar tugas yang harus diselesaikan. Sebuah organisasi dapat memilih metode sendiri tentang cara melakukan inventarisasi.

Jika membutuhkan panduan lebih lanjut, organisasi dapat merujuk ke referensi informatif untuk kontrol terkait dalam standar pelengkap lainnya. Terdapat banyak kebebasan dalam CSF untuk memilih alat yang paling sesuai dengan kebutuhan manajemen risiko keamanan siber organisasi.