2023年8月8日，美國國家標準與技術(shù)研究院（NIST）修訂了《網(wǎng)絡安全框架》（CSF），發(fā)布了CSF 2.0的草案版本。這是該框架自2014年首次發(fā)布后的新版本，該版本正在征求公眾意見（截至2023年11月4日），草案反映了網(wǎng)絡安全形勢的變化，使所有組織更容易落實CSF到位。研發(fā)人員計劃在2024年初公布CSF 2.0的最終版本。

CSF提供了以下內(nèi)容的指導，包括管理跨部門網(wǎng)絡安全風險以及協(xié)助技術(shù)人員和非技術(shù)人員之間的溝通的通用語言和系統(tǒng)性方法。它還包括可納入網(wǎng)絡安全計劃的活動，并可根據(jù)組織的特殊需求進行定制。具體包括：

（1）該框架的范圍已明確從保護醫(yī)院和發(fā)電廠等關鍵基礎設施擴大到為所有組織提供網(wǎng)絡安全，不管其類型或規(guī)模如何。這一差異體現(xiàn)在CSF的正式名稱上，從限定性更強的“提高關鍵基礎設施網(wǎng)絡安全的框架”更名為通俗化名稱“網(wǎng)絡安全框架”。

（2）到目前為止，CSF通過識別、保護、檢測、響應和恢復五大主要功能，闡明了一個成功全面網(wǎng)絡安全計劃的主要支柱是什么。此外，NIST增加了第六項功能，即治理功能，它涵蓋了組織如何制定和執(zhí)行自己的內(nèi)部決策，以支持其網(wǎng)絡安全戰(zhàn)略。草案強調(diào)，網(wǎng)絡安全是企業(yè)風險的主要來源。

（3）該草案改進并擴大了實施CSF的指導，特別是為創(chuàng)建配置文件提供了指導，從而使CSF適用于特定情況。網(wǎng)絡安全界要求協(xié)助將其用于特定的經(jīng)濟領域和使用案例，在這些情況下，配置文件可以提供幫助。重要的是，草案現(xiàn)在包含了每個功能子類別的實施示例，以幫助較小型公司有效使用該框架。

CSF 2.0的主要目標之一是闡明機構(gòu)如何充分利用NIST 和其他機構(gòu)的其他技術(shù)框架、標準和指南來實施CSF。該在線資源將允許用戶瀏覽、搜索CSF核心數(shù)據(jù)，并以人機均可讀的格式導出這些CSF數(shù)據(jù)。未來，該工具還將提供展現(xiàn)CSF與其他資源之間的關系的“參考文獻”，使得將該框架與其他指南一起用于管理網(wǎng)絡安全風險更為方便。

本新聞由廣東省WTO/TBT通報咨詢研究中心摘錄/編輯/整理并翻譯，轉(zhuǎn)載請注明來源。

更多詳情請見：

www.nist.gov/news-events/news/2023/08/nist-drafts-major-update-its-widely-used-cybersecurity-framework

關注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務。