NIST 网络安全框架包括“功能”、“类别”、“子类”和“参考资料”。

功能概述了最佳实践的安全协议。 这些功能并非程序性步骤，而是“同时且持续执行，形成一种解决动态网络安全风险的运营文化”。 类别和子类为组织内的特定部门或流程提供更具体的行动计划。

以下为 NIST 功能和类别的示例：

识别： 为了防范网络攻击，网络安全团队需要深入了解组织中最重要的资产和资源。 识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等类别。





保护： 保护功能涵盖了许多技术和物理安全控制举措，用于开发和实施适当的保障措施和保护关键基础架构。 这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术。





检测： 检测功能实施了向组织发出网络攻击警报的措施。 检测类别包括异常和事件、安全持续监视和检测过程。





响应： 响应功能类别可确保对网络攻击和其他网络安全事件做出适当的响应。 具体类别包括响应规划、通信、分析、缓解和改进。





恢复：万一出现网络攻击、安全漏洞或其他网络安全事件，恢复活动会实施网络安全永续计划，确保业务连续性。 恢复功能包括恢复计划改进和通信。

NIST CSF 的“参考资料”可在功能、类别、子类和其他框架的特定安全控制措施之间建立直接关联。 这些框架包括互联网安全中心 (CIS) 控制®、COBIT 5、国际自动化学会 (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、国际标准化组织和国际电工委员会 27001:2013 以及 NIST SP 800-53 Rev. 4。

NIST CSF 既不指导如何清点物理设备和系统，也不指导如何清点软件平台和应用，它只是提供需要完成的任务的清单。 组织可以自行选择方法来执行清单。 如果组织需要进一步的指导，它可以参考其他补充标准中相关控制的参考资料。 CSF 中有大量适用于网络安全风险管理需求的工具，供组织自由选择。