新的指南擴充了該框架,納入關鍵基礎設施以外的組織;還包含應對治理和供應鏈網路安全
Key Points:
- NIST 的網路安全框架 (CSF) 現在明確旨在幫助所有組織(而不僅僅是關鍵基礎設施中的組織,即其最初的目標受眾)管理和降低風險。
- NIST 更新了 CSF 的核心指南,並建立了一套資源來幫助所有組織實現其網路安全目標,並更加重視治理和供應鏈。
- 此次更新是多年討論和公眾意見過程的結果,旨在使該框架更加有效。
經過幾年的審議,美國國家標準與技術研究所 (NIST) 發布了網路安全框架 2.0 (Cybersecurity Framework 2.0—CSF 2.0)。新框架建立在其長期存在以降低網路風險的建議基礎上,除了最初關注關鍵基礎設施之外,還納入了其他組織關注的問題。
NIST 在 2014 年根據美國總統行政命令發布了第一個 CSF,以幫助組織(特別是關鍵基礎設施)降低網路安全風險。CSF 2.0 基於現有的五個基本功能識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)的構建,並已更新包括第六個功能:治理(Governance)。這些功能提供了管理網路安全風險的生命週期的全視圖,同時NIST 的 CSF 2.0 也解決了供應鏈風險。
NIST 應用網路安全部門負責人 Kevin Stine 在聲明中表示:“此次更新是透過與利益相關者密切合作開發的,反映了最新的網路安全挑戰和管理實踐,旨在使該框架與美國和國外更廣泛的用戶更加相關。”
CSF 2.0 由六大功能組成:治理、識別、保護、偵測、回應 和復原。 此外該框架還包括以下內容:
CSF Core —高階網路安全成果的分類,可以幫助任何組織管理其網路安全風險。這可以在 CSF 2.0 的附錄 A 中找到(並且可以透過 CSF 2.0 參考工具瀏覽核心)。
CSF 組織概況— 一種根據 CSF 核心結果描述組織當前和/或目標網路安全態勢的機制。
CSF 層級— 一種可應用於 CSF 組織概況的方法,用於表徵組織網路安全風險管理實務的嚴格性。
CSF在國際上已廣泛應用;1.1 和 1.0 版本已翻譯成 13 種語言,NIST 預計 CSF 2.0 也將由世界各地的志工翻譯。這些翻譯將被添加到 NIST 不斷擴大的 CSF 資源組合中。在過去 11 年中,NIST 與國際標準化組織 (ISO) 以及國際電工委員會 (IEC) 的合作協助協調了多個網路安全文件。ISO/IEC 資源現在允許組織使用 CSF 功能建立網路安全框架並組織控制。NIST 計劃繼續與 ISO/IEC 合作,以繼續這種國際協調
了解更多關於CSF 2.0以及其他補充資源: