NIST 发布里程碑式网络安全框架 2.0 版

该机构已完成该框架自 2014 年创建以来的首次重大更新。

• NIST 的网络安全框架 (CSF) 现在明确旨在帮助所有组织（而不仅仅是关键基础设施中的组织，即其最初的目标受众）管理和降低风险。

• NIST 更新了 CSF 的核心指南，并创建了一套资源来帮助所有组织实现其网络安全目标，并更加重视治理和供应链。

• 此次更新是多年讨论和公众意见过程的结果，旨在使该框架更加有效。

美国国家标准与技术研究院 (NIST) 更新了广泛使用的网络安全框架 (CSF)，这是其降低网络安全风险的里程碑式指导文件。新的 2.0 版本专为所有受众、行业部门和组织类型而设计，从最小的学校和非营利组织到最大的机构和公司，无论其网络安全的复杂程度如何。 

针对草案版本收到的众多评论，NIST扩展了 CSF 的核心指导并开发了相关资源，以帮助用户充分利用该框架。这些资源旨在为不同的受众提供进入 CSF 的定制途径，并使该框架更容易付诸实施。 

“CSF 一直是许多组织的重要工具，帮助他们预测和应对网络安全威胁，”美国商务部负责标准与技术的副部长兼 NIST 主任 Laurie E. Locascio 表示。“CSF 2.0 建立在以前的版本之上，不仅仅是一份文档。它涉及一套资源，随着组织网络安全需求的变化及其能力的发展，这些资源可以单独定制和使用，也可以随着时间的推移组合使用。” 

支持实施国家网络安全战略的 CSF 2.0 的范围已扩大，不仅限于保护医院和发电厂等关键基础设施，还包括任何部门的所有组织。它还将新的重点放在治理上，其中包括组织如何制定和执行有关网络安全策略的明智决策。CSF 的治理部分强调网络安全是企业风险的主要来源，高级领导者应与财务和声誉等其他风险一起考虑。 

NIST 负责人 Kevin Stine 表示：“此次更新是通过与利益相关者密切合作开发的，反映了最新的网络安全挑战和管理实践，旨在使该框架与美国和国外更广泛的用户更加相关。”应用网络安全部门。 

根据总统行政命令，NIST 于 2014 年首次发布了 CSF，以帮助组织了解、减少和沟通网络安全风险。该框架的核心现在围绕六个关键功能进行组织：识别、保护、检测、响应和恢复，以及 CSF 2.0 新添加的治理功能。综合考虑时，这些功能提供了管理网络安全风险的生命周期的全面视图。

更新后的框架预计，组织将带着不同的需求和实施网络安全工具的经验程度来到 CSF。新采用者可以学习其他用户的成功经验，并从一组新的实施示例和快速入门指南中选择自己感兴趣的主题，这些实施示例和快速入门指南专为特定类型的用户（例如小型企业、企业风险经理和寻求确保供应的组织）而设计链。 

图片来源： Natasha Hanacek，NIST

新的CSF 2.0 参考工具现在简化了组织实施 CSF 的方式，允许用户以人类可消费和机器可读的格式浏览、搜索和导出 CSF 核心指南中的数据和详细信息。

此外，CSF 2.0 还提供可搜索的信息参考目录，显示他们当前的操作如何映射到 CSF。该目录允许组织将 CSF 指南与 50 多个其他网络安全文档交叉引用，包括 NIST 的其他文档，例如SP 800-53 Rev. 5，这是用于实现特定网络安全成果的工具目录（称为控件）。

组织还可以查阅网络安全和隐私参考工具(CPRT)，其中包含一组相互关联、可浏览和下载的 NIST 指导文档，这些文档将这些 NIST 资源（包括 CSF）与其他流行资源结合起来。CPRT 提供了向技术专家和最高管理层传达这些想法的方法，以便组织的各个级别都能保持协调。 

Stine 表示，NIST 计划继续增强其资源，使 CSF 成为对更广泛的用户更有帮助的资源，而社区的反馈将至关重要。 

“当用户定制 CSF 时，我们希望他们能够分享他们的例子和成功，因为这将使我们能够扩大他们的经验并帮助其他人，”他说。“这将帮助组织、部门甚至整个国家更好地理解和管理其网络安全风险。” 

CSF在国际上得到广泛应用；1.1 和 1.0 版本已被翻译成 13 种语言，NIST 预计 CSF 2.0 也将由世界各地的志愿者翻译。这些翻译将被添加到 NIST 不断扩大的 CSF 资源组合中。在过去 11 年中，NIST 与国际标准化组织 (ISO) 以及国际电工委员会 (IEC) 的合作帮助协调了多个网络安全文件。ISO/IEC 资源现在允许组织使用 CSF 功能构建网络安全框架并组织控制。NIST 计划继续与 ISO/IEC 合作，以继续这种国际协调。

原文始发于微信公众号（河南等级保护测评）：NIST 发布里程碑式网络安全框架 2.0 版