美国国家标准与技术研究院(NIST)发布了其《网络安全框架》(CSF)的2.0版本。CSF 2.0是该框架自2014年创建以来的首次重大更新,相关调整主要综合了过去几年旨在使该框架更有效的讨论和公众意见。
CSF允许组织——无论规模、网络风险程度或网络安全复杂程度如何——应用风险管理的原则和最佳实践,以提高关键基础设施的安全性和弹性。
NIST的CSF于2014年发布,《改善关键基础设施网络安全》行政命令的执行结果。该框架旨在成为一份随着时间的推移而不断完善和发展的活文件,是通过行业和政府之间的合作创建的。NIST于2018年4月发布了CSF 1.1。
通过CSF 2.0,NIST更新了CSF的核心指南,并创建了一套资源来帮助所有组织实现其网络安全目标,同时更加强调治理和供应链。这些资源旨在为不同的利益相关者提供进入CSF的量身定制的方法,使该框架更容易付诸实施。
负责标准与技术的商务部副部长兼NIST总裁Laurie E.Locascio表示:“CSF一直是许多组织的重要工具,帮助他们预测和应对网络安全威胁。”“基于先前版本的CSF2.0不仅仅是一个文档。它更是一套资源,随着组织网络安全需求的变化和能力的发展,这些资源可以单独定制和使用,也可以组合使用。”
CSF 2.0涵盖的一些资源包括:
来自用户的成功案例;
专为特定类型用户(如小企业、企业风险经理和组织)设计的快速入门指南;
具有浏览、搜索和导出数据功能的CSF 2.0参考工具;
一个可搜索的信息参考目录,显示组织当前行动如何映射到CSF;
网络安全和隐私参考工具(CPRT),包含一套相互关联、可浏览和可下载的NIST指导文件,将这些NIST资源(包括CSF)与其他流行资源结合起来,并提供向技术专家和高管传达这些想法的途径。