NIST 网络安全框架 2.0 的主要变化：增强功能和采用策略

NIST 网络安全框架 (CSF) 是一个旨在为私营和公共行业、政府机构和其他组织提供网络安全风险管理指导的框架。它适合任何组织使用，无论其规模、年龄或部门如何。

网络安全框架 2.0 版的核心指南更加广泛，并列出了其他子类别以及在线资源的链接，这些资源为实现这些目标的实践提供了进一步的指导。该指南分为六个重点领域：识别、保护、检测、响应、恢复和治理。

本文阐述了 NIST网络安全框架、CSF 2.0 中概述的主要变化以及采用该框架的一些方法。

NIST 网络安全框架

概述

NIST 网络安全框架 (NIST CSF) 于 2014 年由美国国家标准与技术研究所首次推出，旨在加强美国境内基础设施的安全。通过建立一套通用的标准、目标和术语来降低网络攻击的风险和影响。

通过推广共享框架，NIST CSF 有助于更好的决策并鼓励安全标准来解决网络钓鱼和勒索软件等威胁。

初始版本于 2018 年更新为 1.1 版，进行了重大更改，例如包含识别核心功能、附加子类别和提高清晰度。该框架 2.0 版本的草案于 2023 年 8 月发布，旨在接受公众反馈，并于 2023 年 11 月结束征求意见，2.0 版本的最终版本于 2024 年 2 月发布。

由于新框架展示了针对各种情况的更大灵活性，NIST 建议各种规模的组织自愿采用该框架。

目标听众

该框架的主要受众包括负责制定和监督组织内网络安全规划和战略的个人。

它还与涉及风险管理的其他角色相关，例如高管、董事会、收购专业人员、技术专家、风险经理、法律专业人员、人力资源专家以及专门从事网络安全和风险管理的审计师。

此外，对于那些参与制定和影响私人和公共政策（例如协会、专业组织、监管机构）的人来说，CSF 可以成为有用的资产，他们制定和传达网络安全风险管理的优先事项。

NIST 网络安全框架 2.0 的主要变化

NIST 网络安全框架 2.0于 2024 年 2 月发布，是该框架的最新修订版。

纳入“治理”核心职能

之前的框架将“识别、保护、检测、响应和恢复”作为其实施中的核心功能，而新框架则包括“治理”。

治理旨在解决网络安全战略的制定、网络安全供应链风险
管理、角色、责任、权力、政策以及组织背景下网络安全战略的监督。

核心功能内更广泛的子类别和参考

CSF 2.0 版在列出的核心功能中包括网络安全目标和标准的其他类别和子类别，以及数百个其他有用的参考资料来帮助读者。新框架的定义和资源更加广泛。

扩大范围

新框架的范围不仅限于保护供水设施和发电厂等关键基础设施，还为所有组织（无论行业或规模）提供安全标准。

这一范围的扩大反映在 CSF 的官方名称从之前的“改善关键基础设施网络安全框架”改为“网络安全框架”。

这反映了美国国会早些时候要求该框架扩大其指导范围以援助小企业。

框架层

新的层级定义了公司如何处理网络安全风险，使他们能够采用最能实现其目标的层级，将网络风险降低到理想的水平，同时考虑到实施中的困难。

这些级别提供从 1（“部分”）到 4（“自适应”）的进步，复杂程度不断提高，但实施方面需要付出额外的努力。

框架简介

CSF 配置文件可帮助公司找到适合其降低网络安全风险的正确路径。每个概况都列出了组织的“当前”和“目标”职位，以及满足从一种概况转变为另一种概况的标准。

关注供应链和第三方风险

该框架将新的供应链准则纳入核心“治理”职能的一部分，并期望在组织履行其职能时应考虑软件供应链内的网络安全风险。

此外，NIST 框架提醒组织在与供应商或其他第三方承包商签订协议之前计划并进行尽职调查以降低风险。