NIST即将推出CSF 20 征求意见

关键要点

NIST计划在2024年发布CSF 20，旨在吸引更广泛的组织，更加重视企业治理，并全面应对供应链安全问题。CSF最初的框架于2014年发布，后续版本均有针对供应链风险管理的更新。CSF 20将增加新的“治理”功能，强调组织在网络安全中的决策与执行。新版本将强调供应链风险管理的重要性，并鼓励组织使用CSF来制定供应商的网络安全标准。

来源：Shutterstock

2014年2月12日，美国国家标准与技术研究院NIST发布了具有里程碑意义的文件《改善关键基础设施网络安全的框架》CSF。四年后，NIST又发布了更新版CSF 11，涵盖了供应链风险管理、漏洞披露等迅速发展的议题。

小牛免费加速官网

目前，NIST正在准备进行CSF的再次升级，预计将在2024年早期发布CSF 20版本。该版本的草案于8月初发布，经过了一系列征求意见和研讨会后形成。

什么是改善关键基础设施安全的框架？

在奥巴马总统发布的行政命令EO后，NIST开发了CSF，旨在为组织提供一种共同语言和结构，以便更系统地管理和沟通网络安全风险管理。CSF已被全球的私营和公共部门广泛采用，许多美国政府的采购和指导文件都结合了CSF，以便有效管理风险。

NIST设计的20草案旨在扩大CSF的应用，更全面地融入供应链风险管理，更新其他框架和资源，提供实施指导及网络安全评估，同时新增一个功能。以下段落将重点介绍CSF的一些提议变更。

扩大框架的使用范围

奥巴马总统的初始EO聚焦于关键基础设施，鉴于国家的能源、交通系统以及其他至关重要资产面临的网络安全威胁，CSF框架的“初衷”已被证明在学校、小企业及政府机构中均有应用。为加强在美国及国际上的广泛关注，NIST将CSF的名称改为普遍使用的“网络安全框架”，不再强调关键基础设施，而是希望确保这一工具对所有领域有用，而不仅限于被指定为关键的部门。

新增的“治理”功能贯穿所有功能

目前NIST CSF的核心包括五个功能：识别、保护、检测、响应和恢复。在这些功能周围，聚集了23个类别和108个子类别，涵盖了所需的网络安全结果和参考文献。

在20草案中，NIST新增了一个名为“治理”的功能，关注组织在网络安全方面的决策与执行。这一功能贯穿于其他五个功能之中，强调了组织进行网络安全治理所需的人力、流程和技术。

在框架发布时，NIST解释说，“治理”功能涵盖了组织如何制定和执行内部决策以支持其网络安全战略。同时，它强调网络安全是企业风险的重要来源，与法律、财务等其他风险同等重要。草案还提供了指导，帮助将框架与NIST隐私框架及企业风险管理整合。

强调供应链风险管理的重要性

在“治理”功能下，CSF 20提供了一个新类别，强调了供应链风险管理的重要性，备注期望的成果是组织要能够识别、建立、管理和监控网络供应链风险管理流程。NIST将这些行动分为十个供应链风险管理方面的子类别。

CSF 20还鼓励组织使用框架轮廓，以明确网络安全标准和实践，并将其纳入合同中，与供应商有效沟通这些要求。同时，供应商也可以利用轮廓来表述他们在网络安全方面的姿态及相关标准。

最后，20草案向目标轮廓指明，提供关于