NIST 网络安全框架 (CSF) 帮助组织使用共同语言改进风险管理，该语言聚焦于业务驱动力，增强网络安全。
NIST CSF 1.0 版于 2014 年 2 月发布，1.1 版于 2018 年 4 月发布。2024 年 2 月，NIST 发布了其最新的 CSF 版本：2.0 版。通往 CSF 2.0 的旅程始于 2022 年 2 月的一份信息征询 (RFI)。在接下来的两年里，NIST 通过分析、研讨会、意见征集和草案修订等方式与网络安全社区互动，以完善现有标准并创建一个反映不断演变的安全挑战的新模型。
虽然 CSF 的核心保持不变，但新版本有几项值得注意的增补。以下是企业需要了解的关于新框架的信息、它如何影响运营，以及IT团队如何将 CSF 2.0 版本有效应用于日常运营。
首先是引入了“治理”功能，它为原始 NIST 框架的五个功能（识别、保护、检测、响应和恢复）提供了基础。正如原始 CSF 1.0 文档所述，“这些功能并非旨在形成一个串行路径或导向一个静态的期望最终状态。相反，这些功能可以并行且持续地执行，以形成一种应对动态安全风险的运营文化。”
因此，这些功能通常被描绘成一个围绕中心 CSF 框架的五部分圆圈。每个功能都导向下一个，且没有任何功能是独立于其他功能的。
NIST CSF 2.0 保留了这些功能，但将治理作为一个完整的内环添加在五个外环功能之下。治理侧重于确保其他功能符合业务需求、由运营团队定期衡量并由安全主管管理。
换句话说，治理旨在将领导层引入安全对话。虽然这在大多数企业中已经发生，但 CSF 2.0 将其列为优先事项。
前两个 CSF 版本优先考虑关键基础设施。尽管其他行业和机构也采用了该框架，但它主要是为减少网络安全事件对关键基础设施领域的影响而设计的。
然而，该框架的广泛采用清楚地表明，其实践和流程适用于所有部门和行业的公共及私人组织。因此，NIST CSF 2.0 提供了扩展的最佳实践，广泛适用于任何规模和类型的企业。
例如，新版 CSF 建议所有企业创建描述当前及目标网络安全态势的组织档案。这使得企业既能设定目标，又能明确达成这些目标所需的实践。新框架还强调了社区档案的作用。创建这些档案旨在解决同一领域或子领域、使用类似技术或面临相似威胁类型的多个组织所共有的网络安全利益和目标。
新版 NIST CSF 聚焦于强化治理和扩展最佳实践，有助于企业提升安全性并降低风险。为有效实施该框架，组织可从四个方面着手获益。
CSF 2.0 扩展的范围和规模，可能使任何规模的企业都难以有效实施新建议。对于规模较小的公司，有限的 IT 支持可能会影响新实践的开发；而大型组织则可能因其 IT 环境的复杂性而面临困难。
为帮助简化流程，企业应充分利用现有资源，例如：
接下来是让领导者参与其中。尽管 CSF 2.0 在设计时考虑了治理与监督，但许多非技术背景的高级管理层可能对该框架及其影响了解有限。因此，由首席技术官、首席信息官和首席信息安全官等 IT 领导者及其团队与董事会成员坐下来讨论 CSF 2.0 的影响，是一个好主意。这也是一个确保业务目标与安全战略保持一致的机会。
此外，这些会议也提供了一个机会，用以定义关键安全指标、确定其收集方式，并制定收集、报告和行动的详细时间表。通过让领导者从 CSF 实施之初就参与对话，公司为持续的可视性提供了基础。
作为新治理功能的一部分，CSF 2.0 包含了关于供应商和供应商管理的新子部分。例如，GV.SC-04 侧重于根据供应商对运营的关键性程度进行了解和优先级排序，而GV.SC-06 则涉及在建立第三方关系之前所需的规划和尽职调查。最后，子部分 GV.SC-10 可以帮助公司规划终止供应商或合作伙伴关系。
鉴于 第三方泄露的风险和影响日益增加，这些评估至关重要。如果能够访问公司关键数据的供应商或合作伙伴因其网络安全实践不佳而遭到入侵，无论组织自身的 CSF 2.0 合规情况如何，都面临风险。
为了支持全部五个现有功能，并为新的治理工作提供所需数据，公司需要能够检测潜在威胁、追踪入侵指标 (IOC) 并采取行动以降低总体风险的管理和监控工具。
例如， 威胁情报工具 可以帮助组织精确定位常见的攻击模式和目标，从而为团队提供创建和部署有效应对措施所需的数据。这些数据还有助于将安全支出与可衡量的业务成果联系起来。
尽管 CSF 2.0 是 NIST 网络安全框架的最新版本，但它并非最终版本。正如 NIST 所指出的，该框架被设计为一个动态文档，会不断演变以满足新兴的网络安全需求，并帮助企业应对不断变化的威胁环境。
在实践中，这意味着从最佳实践迈向普遍实践。例如，在 1.0 和 1.1 版本中作为关键基础设施最佳实践的内容，在 2.0 版本中已被纳入为所有组织的普遍实践，同时定义了一项新的最佳实践：治理。随着时间的推移，这项实践也将变得普遍，从而为进一步的发展构建基础，帮助组织增强威胁发现、改进事件响应并降低总体风险。