自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

NIST網絡安全框架2.0如何應對風險管理

作者:鑄盾安全
安全 應用安全
正如 CSF 2.0 認識到供應鏈安全正在給組織帶來更高級別的風險一樣,它也需要加緊應對來自人工智能(特別是生成式 AI)的新興威脅。在 CSF 2.0 進程順利進行后,生成式 AI 突然出現。現在,這是不可能忽視的。

NIST 網絡安全框架 2.0 (CSF) 正在進入 2024 年實施前的最后階段。在五月結束的框架決策公開討論期結束后,現在是時候更多地了解指南變化的預期了。

NIST 高級技術政策顧問 Cherilyn Pascoe 在 2023 年 RSA 會議上表示,更新后的 CSF 正在與拜登政府的國家網絡安全戰(zhàn)略保持一致。這建立了新的 CSF 來制定風險管理策略。

帕斯科說,當用作風險管理資源時,CSF 可以在國家網絡安全戰(zhàn)略的五個支柱的背景下應用。這些支柱是:

  • 保衛(wèi)關鍵基礎設施
  • 擾亂并消滅威脅行為者
  • 塑造市場力量以推動安全性和彈性
  • 投資一個有彈性的未來
  • 建立國際伙伴關系以追求共同目標。

CSF 的主要目標之一是允許組織通過識別風險和改進風險管理流程來制定網絡安全策略。更新后的框架將強調改進風險管理——這在現代網絡安全領域至關重要。

治理職能

原始CSF有五個功能:識別、保護、檢測、響應和恢復。CSF 2.0 將添加第六個功能:治理。

這一功能提高了網絡安全風險管理在業(yè)務和合規(guī)結果中的重要性。治理職能將重點關注政策和程序以及安全團隊的角色和職責。組織期望的結果是根據策略評估風險并確定風險的優(yōu)先級,然后定義團隊成員在解決潛在威脅方面的職責。

治理職能包括主要關注風險管理的部分。在 CSF 的早期版本中,風險管理涵蓋在不同的職能(識別)下,而現在它更完全地涵蓋在具有自己的子類別的治理職能下。CSF 2.0 的討論草案版本列出了以下指令:

  • GV.RM-01:網絡安全風險管理目標由組織利益相關者制定并同意。
  • GV.RM-02:網絡安全供應鏈風險管理策略已制定、組織利益相關者同意并進行管理。
  • GV.RM-03:風險偏好和風險承受能力聲明是根據組織的業(yè)務環(huán)境確定和傳達的。
  • GV.RM-04:網絡安全風險管理被視為企業(yè)風險管理的一部分。
  • GV.RM-05:建立并傳達描述適當風險應對選項的戰(zhàn)略方向,包括網絡安全風險轉移機制(例如保險、外包)、緩解投資和風險接受。
  • GV.RM-06:確定并傳達責任和問責制,以確保風險管理策略和計劃得到資源、實施、評估和維護。
  • GV.RM-07:審查和調整風險管理策略,以確保覆蓋組織要求和風險。
  • GV.RM-08:
    組織領導者評估和審查網絡安全風險管理策略和結果的有效性和充分性。

GV.RM-05 到 08 是 CSF 2.0 的新增內容,是為此新功能而創(chuàng)建的。

領導

明確定義的領導角色與治理職能密切相關。標準 GV.RR-01 在其角色和責任部分指出,“組織領導層對與網絡安全風險相關的決策負責,并建立一種具有風險意識、以道德方式行事并促進持續(xù)改進的文化?!?/p>

供應鏈

一段時間以來,供應鏈及其安全風險成為熱門話題。幾年前,NIST 在 CSF 中添加了有關供應鏈安全的指南。在CSF 2.0中,指南將擴展至涵蓋供應鏈風險管理。此前,政府還采取了其他措施來增強供應鏈的安全性。盡管 CSF 尚未提供供應鏈風險管理的具體參數,但不同的場景可能會提供旨在應對威脅的風險和功能的示例。

風險管理層級

CSF 的這些可能的變化和更新將增強四個框架實施層,NIST將其定義為“一個觀察組織風險方法特征的透鏡——組織如何看待網絡安全風險以及管理該風險的流程” ”。

這些層級涵蓋組織風險管理計劃的四個不同級別:部分、風險知情、可重復和適應性。這些層級衡量組織如何將其圍繞網絡安全風險的決策整合到整體業(yè)務風險中。該框架的實施還著眼于公司如何與第三方共享風險信息。

組織對其風險管理過程進行自我管理。他們確定最適合滿足業(yè)務目標的當前風險治理級別的層級。然而,這些層級不僅僅是網絡安全成熟度的定義。相反,它們使公司能夠更廣泛地了解其整體網絡安全風險承受能力。當組織遵循該框架時,它可以構建風險概況并制定要努力實現的目標概況。

CSF 2.0將如何繼續(xù)發(fā)展?

更新后的CSF 2.0更加強調風險管理。通過強調供應鏈風險和安全,它還遵循聯邦政府其他部門發(fā)布的指導方針。從表面上看,美國的網絡安全方法似乎終于有了凝聚力,特別是為政府機構和私營行業(yè)的網絡安全風險管理開辟了利基市場。

這并不意味著 CSF 2.0 是完美的。有些風險領域仍然需要關注,例如遠程工作的治理。風險管理標準并不是為了解決完全遠程或混合勞動力的問題而設計的。

正如 CSF 2.0 認識到供應鏈安全正在給組織帶來更高級別的風險一樣,它也需要加緊應對來自人工智能(特別是生成式 AI)的新興威脅。在 CSF 2.0 進程順利進行后,生成式 AI 突然出現?,F在,這是不可能忽視的。

也許現在就人工智能的潛在風險提供明確的指導并提供安全框架為時已晚,但也不能擱置太久。潛在的威脅迫在眉睫,組織很快就會尋找有關如何管理這項新技術帶來的風險的指南。


責任編輯:武曉燕 來源: 河南等級保護測評
NIST網絡安全
相關推薦

2023-07-29 00:13:50

2018-12-02 06:58:18

NIST網絡安全網絡安全框架

2022-06-21 14:10:43

NIST網絡安全

2021-05-28 14:52:42

工業(yè)網絡安全攻擊工控安全

2023-02-22 15:32:17

2023-02-22 15:26:07

2021-05-10 10:49:00

供應鏈攻擊網絡安全網絡攻擊

2024-02-29 19:37:44

網絡安全框架網絡安全CSF

2021-10-22 06:02:47

網絡安全風險管理網絡風險

2023-07-26 00:16:49

2013-07-22 14:28:07

網絡安全框架NIST

2024-02-28 12:59:13

技術CSF網絡

2022-05-09 11:59:36

網絡安全供應鏈

2022-04-26 06:42:02

AI安全NIST網絡安全

2023-08-03 00:04:30

風險管理安全治理

2023-10-11 00:03:09

安全風險量化

2023-09-08 00:04:40

2022-01-11 09:24:51

NIST網絡安全框架網絡安全SaaS應用安全

2013-10-14 10:05:19

2024-02-28 15:12:40

網絡安全NIST
點贊
收藏

51CTO技術棧公眾號