NIST对CSF网络安全框架进行重大更新

近日，美国国家标准与技术研究院NIST发布了网络安全框架（CSF）的2.0版本，这是该框架在2014年正式发布之后，首次进行的重大更新。NIST表示：这次更新旨在帮助更多类型的组织管理和降低网络安全风险，而不仅仅是那些关键基础设施中的大型企业组织。

美国商务部负责标准与技术副部长兼NIST主任 Laurie E. Locascio表示：“CSF自发布以来，已经成为了许多组织的重要工具，帮助他们预测和应对网络安全威胁。本次更新发布的CSF 2.0版本，是建立在以前版本之上的一套完整资源，可以根据组织网络安全需求的变化和能力的发展进行定制和单独使用，也可以随着时间的推移组合使用。”

据了解，NIST于2014年首次发布了CSF，并在2018年更新至版本1.1，以帮助企业组织了解、降低和传达网络安全风险。在本次更新后的网络安全框架中，在现有的五个概念“识别、保护、检测、响应和恢复”基础上新增“治理”功能，目的是将网络安全风险与其它企业风险如金融稳定性威胁等放在同等重要的位置。

新的CSF 2.0 参考工具还简化了组织实施 CSF 的方式，提供了快速入门指南、成功案例以及可搜索的信息参考目录等资源，用户可以将这些资源与其他50多个网络安全文件进行交叉参考。同时，新版本提供了一个可搜索的信息参考目录，显示当前操作与CSF的对应关系，并NIST资源（包括CSF）与其他常用资源联系起来。

NIST 预计， CSF 2.0版本将由世界各地的志愿者翻译。这些翻译将被添加到 NIST 不断扩大的 CSF 资源组合中。在过去 11 年中，NIST 与国际标准化组织 (ISO) 以及国际电工委员会 (IEC) 的合作帮助协调了多个网络安全文件。ISO/IEC 资源现在允许组织使用 CSF 功能构建网络安全框架并组织控制。

参考链接：

https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework