美国NIST发布网络安全框架(CSF)2.0版本

作者: 2024-06-06 17:18 来源:
放大 缩小

226日,美国国家标准与技术研究院(NIST)发布网络安全框架(CSF)的2.0正式版本[1],是自2014网络安全框架创建以来的首次重大更新。新框架版本扩展了适用范围,重点关注治理和供应链问题,并提供丰富资源以加速框架实施。新版本的重大变化和升级包括:

1、适用范围从关键基础设施扩大到所有组织:CSF 2.0支持国家网络安全战略的实施,其范围已从保护关键基础设施(如医院和发电厂),扩展到适用于任何行业的所有组织。美国商务部标准与技术局副局长兼NIST主任Laurie E. Locascio表示:“CSF 2.0版本建立在之前的版本之上,是一套可定制的资源,随着组织的网络用户安全需求变化和能力的发展,这些资源可单独或组合使用。”

2、“治理功能”成为核心功能:CSF 2.0版本最重要的结构性变化是增加了第6个关键功能“治理”,该框架的核心将围绕“治理”功能和之前的5个关键功能“识别”“保护”“检测”“响应”和“恢复”展开。CSF2.0版本的治理部分强调,网络安全是企业风险的主要来源,领导者应将其与财务金融和声誉等其他风险一起考虑。

3、供应链问题受到重视:框架指出,考虑到该生态系统复杂且相互关联,供应链风险管理(SCRM)对相关机构至关重要。网络安全供应链风险管理(C-SCRM)是一个系统过程,用于管理整个供应链的网络安全风险暴露,并制定适当的响应策略、政策、流程和程序。

4、完善的参考工具与资源整合:CSF 2.0版本提供了更新的“参考资料”,即现有的新标准、指南和框架。新的CSF 2.0参考工具简化了组织实施方式,提供了快速入门指南、成功案例以及可搜索的信息参考目录等资源,用户可将这些资源与其他50多个网络安全文件进行交叉参考。                                     (李宏 赵梦珂)



[1] NIST Releases Version 2.0 of Landmark Cybersecurity Framework. https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework


附件: