2月26日，美国国家标准与技术研究院（NIST）发布网络安全框架（CSF）的2.0正式版本[1]，是自2014网络安全框架创建以来的首次重大更新。新框架版本扩展了适用范围，重点关注治理和供应链问题，并提供丰富资源以加速框架实施。新版本的重大变化和升级包括：

1、适用范围从关键基础设施扩大到所有组织：CSF 2.0支持国家网络安全战略的实施，其范围已从保护关键基础设施（如医院和发电厂），扩展到适用于任何行业的所有组织。美国商务部标准与技术局副局长兼NIST主任Laurie E. Locascio表示：“CSF 2.0版本建立在之前的版本之上，是一套可定制的资源，随着组织的网络用户安全需求变化和能力的发展，这些资源可单独或组合使用。”

2、“治理功能”成为核心功能：CSF 2.0版本最重要的结构性变化是增加了第6个关键功能“治理”，该框架的核心将围绕“治理”功能和之前的5个关键功能“识别”“保护”“检测”“响应”和“恢复”展开。CSF2.0版本的治理部分强调，网络安全是企业风险的主要来源，领导者应将其与财务金融和声誉等其他风险一起考虑。

3、供应链问题受到重视：框架指出，考虑到该生态系统复杂且相互关联，供应链风险管理（SCRM）对相关机构至关重要。网络安全供应链风险管理（C-SCRM）是一个系统过程，用于管理整个供应链的网络安全风险暴露，并制定适当的响应策略、政策、流程和程序。

4、完善的参考工具与资源整合：CSF 2.0版本提供了更新的“参考资料”，即现有的新标准、指南和框架。新的CSF 2.0参考工具简化了组织实施方式，提供了快速入门指南、成功案例以及可搜索的信息参考目录等资源，用户可将这些资源与其他50多个网络安全文件进行交叉参考。                                     （李宏 赵梦珂）