2023年8月8日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）修訂了《網(wǎng)絡(luò)安全框架》（CSF），發(fā)布了CSF 2.0的草案版本。這是該框架自2014年首次發(fā)布后的新版本，該版本正在征求公眾意見（截至2023年11月4日），草案反映了網(wǎng)絡(luò)安全形勢的變化，使所有組織更容易落實(shí)CSF到位。研發(fā)人員計(jì)劃在2024年初公布CSF 2.0的最終版本。

CSF提供了以下內(nèi)容的指導(dǎo)，包括管理跨部門網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及協(xié)助技術(shù)人員和非技術(shù)人員之間的溝通的通用語言和系統(tǒng)性方法。它還包括可納入網(wǎng)絡(luò)安全計(jì)劃的活動(dòng)，并可根據(jù)組織的特殊需求進(jìn)行定制。具體包括：

（1）該框架的范圍已明確從保護(hù)醫(yī)院和發(fā)電廠等關(guān)鍵基礎(chǔ)設(shè)施擴(kuò)大到為所有組織提供網(wǎng)絡(luò)安全，不管其類型或規(guī)模如何。這一差異體現(xiàn)在CSF的正式名稱上，從限定性更強(qiáng)的“提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架”更名為通俗化名稱“網(wǎng)絡(luò)安全框架”。

（2）到目前為止，CSF通過識別、保護(hù)、檢測、響應(yīng)和恢復(fù)五大主要功能，闡明了一個(gè)成功全面網(wǎng)絡(luò)安全計(jì)劃的主要支柱是什么。此外，NIST增加了第六項(xiàng)功能，即治理功能，它涵蓋了組織如何制定和執(zhí)行自己的內(nèi)部決策，以支持其網(wǎng)絡(luò)安全戰(zhàn)略。草案強(qiáng)調(diào)，網(wǎng)絡(luò)安全是企業(yè)風(fēng)險(xiǎn)的主要來源。

（3）該草案改進(jìn)并擴(kuò)大了實(shí)施CSF的指導(dǎo)，特別是為創(chuàng)建配置文件提供了指導(dǎo)，從而使CSF適用于特定情況。網(wǎng)絡(luò)安全界要求協(xié)助將其用于特定的經(jīng)濟(jì)領(lǐng)域和使用案例，在這些情況下，配置文件可以提供幫助。重要的是，草案現(xiàn)在包含了每個(gè)功能子類別的實(shí)施示例，以幫助較小型公司有效使用該框架。

CSF 2.0的主要目標(biāo)之一是闡明機(jī)構(gòu)如何充分利用NIST 和其他機(jī)構(gòu)的其他技術(shù)框架、標(biāo)準(zhǔn)和指南來實(shí)施CSF。該在線資源將允許用戶瀏覽、搜索CSF核心數(shù)據(jù)，并以人機(jī)均可讀的格式導(dǎo)出這些CSF數(shù)據(jù)。未來，該工具還將提供展現(xiàn)CSF與其他資源之間的關(guān)系的“參考文獻(xiàn)”，使得將該框架與其他指南一起用于管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)更為方便。

本新聞?dòng)蓮V東省WTO/TBT通報(bào)咨詢研究中心摘錄/編輯/整理并翻譯，轉(zhuǎn)載請注明來源。

更多詳情請見：

www.nist.gov/news-events/news/2023/08/nist-drafts-major-update-its-widely-used-cybersecurity-framework

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)。