美國國家標準與技術研究院 (NIST) 更新了廣泛使用的網路安全框架 (CSF)，這是其降低網路安全風險的里程碑式指導文件。全新2.0版本專為所有受眾、行業部門和組織類型而設計，從最小的學校和非營利組織到最大的機構和公司，無論其網路安全的複雜程度如何。

為了回應眾多收到的評論於草案版本，NIST 擴展了 CSF 的核心指導並開發了相關資源，以幫助使用者充分利用該框架。這些資源旨在為不同的受眾提供進入 CSF 的客製化途徑，並使框架更容易付諸實施。

美國商務部負責標準與技術的副部長兼 NIST 主任 Laurie E. Locascio 表示：“CSF 一直是許多組織的重要工具，幫助他們預測和應對網路安全威脅。”“CSF 2.0 建立在以前版本的基礎上，不僅僅是一個文件。它是一套資源，可以隨著組織的網路安全需求的變化及其能力的發展而單獨或組合地進行定制和使用。”

支持實施國家網路安全戰略的 CSF 2.0 的範圍已擴大，不僅限於保護醫院和發電廠等關鍵基礎設施，還包括任何部門的所有組織。它還將新的重點放在治理上，其中包括組織如何制定和執行有關網路安全策略的明智決策。CSF 的治理部分強調網路安全是企業風險的主要來源，高階領導者應與財務和聲譽等其他風險一起考慮。

「透過與利害關係人密切合作開發並反映最新的網路安全挑戰和管理實踐NIST 應用網路安全部門負責人 Kevin Stine 表示，此次更新旨在使該框架與美國和國外更廣泛的用戶更加相關。

根據總統行政命令，NIST 於 2014 年首次發布了 CSF，以幫助組織了解、減少和溝通網路安全風險。該框架的核心現在圍繞著六個關鍵功能進行組織：識別、保護、檢測、回應和恢復，以及 CSF 2.0 新添加的治理功能。在綜合考慮時，這些功能提供了管理網路安全風險的生命週期的全面視圖。

更新後的框架預計，組織將帶著不同的需求和實施網路安全工具的經驗程度來到 CSF。新採用者可以從其他使用者的成功經驗中學習，並從一組新的實施範例中選擇他們感興趣的主題，快速入門指南專為特定類型的使用者設計，例如小型企業、企業風險經理和尋求保護供應鏈的組織。

一個新的CSF 2.0 參考工具現在簡化了組織實施 CSF 的方式，允許使用者以人類可消費和機器可讀的格式瀏覽、搜尋和匯出 CSF 核心指南中的資料和詳細資訊。

此外，CSF 2.0 也提供可搜尋目錄的資訊豐富的參考文獻這顯示了他們當前的行為如何映射到 CSF 上。該目錄允許組織將CSF 指南與50 多個其他網路安全文檔交叉引用，包括NIST 的其他文檔，例如SP 800-53 Rev. 5，這是用於實現特定網路安全成果的工具目錄（稱為控制） 。

組織還可以查閱網路安全和隱私參考工具 (CPRT)，其中包含一組相互關聯、可瀏覽和下載的 NIST 指導文檔，這些文檔將這些 NIST 資源（包括 CSF）與其他流行資源結合起來。CPRT 提供了向雙方傳達這些想法的方法技術專家和最高管理階層，以便組織的各個層級都能保持協調。

Stine 表示，NIST 計劃繼續增強其資源，使 CSF 成為對更廣泛的用戶更有幫助的資源，而社群的回饋將至關重要。

「當用戶自訂 CSF 時，我們希望他們能夠分享他們的例子和成功，因為這將使我們能夠擴大他們的經驗並幫助其他人，」他說。「這將幫助組織、部門甚至整個國家更好地理解和管理他們的網路安全風險。

這個故事由 NIST 友情轉載。閱讀原著故事這裡。