自2014年發(fā)布網(wǎng)絡(luò)安全框架（CSF）1.0版本，時(shí)隔多年NIST發(fā)布了2.0版本，首次對(duì)網(wǎng)絡(luò)安全框架進(jìn)行重大更新。

核心要點(diǎn)

NIST網(wǎng)絡(luò)安全框架進(jìn)一步擴(kuò)大了目標(biāo)受眾，不再只針對(duì)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域組織，而是讓更多的企業(yè)/組織有效管理和降低安全風(fēng)險(xiǎn)。

NIST網(wǎng)絡(luò)安全框架的核心部分進(jìn)行了更新，并創(chuàng)建了豐富的資源加速框架實(shí)施，旨在幫助所有的組織更好地實(shí)現(xiàn)其網(wǎng)絡(luò)安全目標(biāo)，其中著重強(qiáng)調(diào)了治理與供應(yīng)鏈安全。

NIST網(wǎng)絡(luò)安全框架2.0的實(shí)施路徑變的更加豐富，其中還包括針對(duì)特定受眾的快速入門指南，企業(yè)安全最佳實(shí)踐案例，以及可搜索的信息參考目錄等資源等，用戶可以將這些資源與其他50多個(gè)網(wǎng)絡(luò)安全文件進(jìn)行交叉參考。

網(wǎng)絡(luò)安全框架2.0經(jīng)過了多年的討論和專家評(píng)審，和1.0版本相比將更加適應(yīng)當(dāng)下的網(wǎng)絡(luò)安全態(tài)勢(shì)。

近日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）對(duì)廣泛使用的網(wǎng)絡(luò)安全框架進(jìn)行重要更新，新的2.0版旨在為所有受眾、行業(yè)領(lǐng)域和組織類型提供參考，不論組織的網(wǎng)絡(luò)安全成熟度如何皆可適用，涵蓋了從最小型的學(xué)校、非營利性組織到最大的集團(tuán)型企業(yè)與機(jī)構(gòu)，旨在更有效地減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

NIST進(jìn)一步擴(kuò)展了CSF的核心指南，開發(fā)了相關(guān)資源，以幫助用戶最大限度地利用框架。這些資源旨在為不同受眾提供量身定制的實(shí)施CSF的路徑，并使框架更易于付諸實(shí)踐。

美國商務(wù)部標(biāo)準(zhǔn)與技術(shù)副部長兼NIST主任Laurie E. Locascio指出，“CSF一直是許多組織實(shí)施網(wǎng)絡(luò)安全的重要工具和指導(dǎo)文件，可幫助他們發(fā)現(xiàn)并應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。CSF 2.0在以往的基礎(chǔ)上進(jìn)行極大地豐富，不再僅僅是一份文章，還包括一整套豐富的資源，可隨著組織網(wǎng)絡(luò)安全需求變化和能力發(fā)展而持續(xù)改進(jìn)，既可以單獨(dú)使用，也可以和其他工具進(jìn)行交叉、組合?！?/p>

CSF 2.0支持執(zhí)行國家網(wǎng)絡(luò)安全戰(zhàn)略，其目標(biāo)受眾范圍大幅增加，適用于任何行業(yè)的所有組織。此外它還新增了對(duì)治理的關(guān)注，例如企業(yè)該如何制定和落地網(wǎng)絡(luò)安全戰(zhàn)略決策。CSF 2.0之所以如此重視治理，是因?yàn)槠湔J(rèn)為網(wǎng)絡(luò)安全是企業(yè)風(fēng)險(xiǎn)的主要來源，高級(jí)領(lǐng)導(dǎo)者應(yīng)將網(wǎng)絡(luò)安全與財(cái)務(wù)和聲譽(yù)等其他風(fēng)險(xiǎn)一起考慮。

CSF 2.0框架的核心圍繞組織六個(gè)關(guān)鍵功能，分別是識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)以及新增加的治理，這些功能將形成一個(gè)整體，也為安全人員管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)生命周期提供了全面視角。

CSF 2.0還有各類組織的最佳實(shí)踐案例供網(wǎng)安人員參考和學(xué)習(xí)，并為小微企業(yè)、企業(yè)風(fēng)險(xiǎn)管理者、供應(yīng)鏈安全等特定類型的用戶設(shè)計(jì)了一系列的實(shí)施案例和快速入門指南。同時(shí)有效簡(jiǎn)化了組織實(shí)施CSF的方式，允許用戶以人類和機(jī)器可讀的格式瀏覽、搜索和導(dǎo)出CSF核心指南中的數(shù)據(jù)和詳細(xì)信息。

網(wǎng)絡(luò)安全框架2.0版本還改進(jìn)了與其他廣泛使用的NIST資源的集成，這些資源處理企業(yè)風(fēng)險(xiǎn)管理、ERM和ICT風(fēng)險(xiǎn)管理計(jì)劃，包括：

• SP 800-221，信息和通信技術(shù)風(fēng)險(xiǎn)對(duì)企業(yè)的影響：治理和管理企業(yè)風(fēng)險(xiǎn)組合中的ICT風(fēng)險(xiǎn)計(jì)劃；
• SP 800-221A，信息和通信技術(shù)(ICT)風(fēng)險(xiǎn)結(jié)果：將ICT風(fēng)險(xiǎn)管理計(jì)劃與企業(yè)風(fēng)險(xiǎn)組合相集成；
• SP 800-37，信息系統(tǒng)和組織的風(fēng)險(xiǎn)管理框架；
• SP 800-30，以及NIST風(fēng)險(xiǎn)管理框架(RMF)進(jìn)行風(fēng)險(xiǎn)評(píng)估的指南；

NIST 預(yù)計(jì)， CSF 2.0版本將由世界各地的志愿者翻譯。這些翻譯將被添加到 NIST 不斷擴(kuò)大的 CSF 資源組合中。在過去 11 年中，NIST 與國際標(biāo)準(zhǔn)化組織 (ISO) 以及國際電工委員會(huì) (IEC) 的合作幫助協(xié)調(diào)了多個(gè)網(wǎng)絡(luò)安全文件。ISO/IEC 資源現(xiàn)在允許組織使用 CSF 功能構(gòu)建網(wǎng)絡(luò)安全框架并組織控制。

參考來源：https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework