2023年8月8日,，美國國家標準與技術研究院（NIST）修訂了《網(wǎng)絡安全框架》（CSF）,，發(fā)布了CSF 2.0的草案版本。這是該框架自2014年首次發(fā)布后的新版本,，該版本正在征求公眾意見（截至2023年11月4日）,，草案反映了網(wǎng)絡安全形勢的變化,，使所有組織更容易落實CSF到位,。研發(fā)人員計劃在2024年初公布CSF 2.0的最終版本。

CSF提供了以下內容的指導,，包括管理跨部門網(wǎng)絡安全風險以及協(xié)助技術人員和非技術人員之間的溝通的通用語言和系統(tǒng)性方法,。它還包括可納入網(wǎng)絡安全計劃的活動，并可根據(jù)組織的特殊需求進行定制,。具體包括：

（1）該框架的范圍已明確從保護醫(yī)院和發(fā)電廠等關鍵基礎設施擴大到為所有組織提供網(wǎng)絡安全,，不管其類型或規(guī)模如何。這一差異體現(xiàn)在CSF的正式名稱上,，從限定性更強的“提高關鍵基礎設施網(wǎng)絡安全的框架”更名為通俗化名稱“網(wǎng)絡安全框架”,。

（2）到目前為止，CSF通過識別,、保護,、檢測、響應和恢復五大主要功能,，闡明了一個成功全面網(wǎng)絡安全計劃的主要支柱是什么,。此外，NIST增加了第六項功能,，即治理功能,，它涵蓋了組織如何制定和執(zhí)行自己的內部決策，以支持其網(wǎng)絡安全戰(zhàn)略,。草案強調,，網(wǎng)絡安全是企業(yè)風險的主要來源。

（3）該草案改進并擴大了實施CSF的指導,，特別是為創(chuàng)建配置文件提供了指導,，從而使CSF適用于特定情況。網(wǎng)絡安全界要求協(xié)助將其用于特定的經濟領域和使用案例,，在這些情況下,，配置文件可以提供幫助。重要的是,，草案現(xiàn)在包含了每個功能子類別的實施示例,，以幫助較小型公司有效使用該框架。

CSF 2.0的主要目標之一是闡明機構如何充分利用NIST 和其他機構的其他技術框架,、標準和指南來實施CSF,。該在線資源將允許用戶瀏覽、搜索CSF核心數(shù)據(jù),，并以人機均可讀的格式導出這些CSF數(shù)據(jù),。未來，該工具還將提供展現(xiàn)CSF與其他資源之間的關系的“參考文獻”,，使得將該框架與其他指南一起用于管理網(wǎng)絡安全風險更為方便,。

本新聞由廣東省WTO/TBT通報咨詢研究中心摘錄/編輯/整理并翻譯,，轉載請注明來源。

更多詳情請見：

www.nist.gov/news-events/news/2023/08/nist-drafts-major-update-its-widely-used-cybersecurity-framework

關注“廣東技術性貿易措施”,，獲取更多服務,。