Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
NIST 网络安全框架 (NIST CSF) 提供了私营组织可以遵循的全面指导和最佳实践,以改善信息安全和网络安全风险管理。
美国国家标准与技术研究院 (NIST) 是一个非监管性机构,它通过推进计量科学、标准与技术来促进创新。
NIST CSF 非常灵活,可以与任何行业中的任何组织的现有安全流程集成。它为在美国几乎所有的私营部门组织中实施信息安全与网络安全风险管理提供了一个出色的起点。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
2013 年 2 月 12 日,第 13636 号行政命令《Improving Critical Infrastructure Cybersecurity》正式发布。此举开启了 NIST 与美国私营部门的合作,旨在“识别现有的自愿性共识标准及行业最佳实践,并将其纳入网络安全框架”。此次合作的结果是 NIST 网络安全框架 1.0 版。
2014 年颁布的《Cybersecurity Enhancement Act》 (CEA) 拓宽了 NIST 在制定网络安全框架方面的努力。今天,NIST CSF 仍是美国各行业最广泛采用的安全框架之一。
NIST 网络安全框架包括功能、类别、子类别和参考资料。
功能是对最佳实践的安全要求提供了总体概述。功能的设定并非作为程序性步骤,而是需要“并发且持续地执行,以形成一种应对动态网络安全风险的运营文化”。类别和子类别为组织内的特定部门或流程提供更具体的行动计划。
NIST 功能和类别的示例包括:
NIST CSF 的参考资料在功能、类别、子类别与其他框架中的特定安全控制措施之间建立了直接关联。这些框架包括:
NIST CSF 并不会说明如何清点物理设备和系统,也不会说明如何清点软件平台和应用程序;它只是提供了一份需要完成的任务清单。组织可以自行选择执行清点工作的方式。
如果组织需要进一步的指导,可以参考其他互补标准中相关控制措施的参考资料。CSF 给予组织充分的自由,可以选择最适合其网络安全风险管理需求的工具。
为了帮助私营部门组织衡量其在实施 NIST 网络安全框架方面的进展,框架定义了四个实施层级:
NIST 网络安全框架提供了有关如何建立或改进信息安全风险管理计划的分步指南: