美国国家标准技术研究院 (NIST) 是一个非监管机构,旨在通过推进测量科学、标准和技术来促进创新。 NIST 网络安全框架 (NIST CSF) 由标准、指南和最佳实践组成,可帮助组织改善网络安全风险管理。
NIST CSF 的设计灵活,可与任何行业内任何组织的现有安全流程集成。 它提供了一个极好的起点,可以自此开始在美国几乎任何私营组织中实施信息安全和网络安全风险 管理。
2013 年 2 月 12 日,美国发布第 13636 号行政命令 (EO) —“改善关键基础设施网络安全”。 NIST 自此开始与美国私营部门合作,旨在“确定现有的自愿共识标准和行业最佳实践,以将其构建成网络安全框架”。这次合作带来了 NIST 网络安全框架 V1.0。
2014 年的《网络安全增强法案》 (CEA) 扩大了 NIST 在制定网络安全框架方面的工作范围。 如今,NIST CSF 仍然是美国所有行业中采用最广泛的安全框架之一。
NIST 网络安全框架包括功能、类别、子类 和信息型参考。
功能概述最佳实践的安全协议。 这些功能并非程序性步骤,而会“同时且持续执行,以形成一种解决动态网络安全风险的运营文化”。 类别和子类为组织内的特定部门或流程提供更具体的行动计划。
以下为 NIST 职能和类别的示例:
NIST CSF 的信息型参考在功能、类别、子类和其他框架的特定安全控制之间建立直接关联。 这些框架包括互联网安全中心 (CIS) 控制®、COBIT 5、国际自动化学会 (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、国际标准化组织和国际电工委员会 27001:2013 以及 NIST SP 800-53 Rev. 4。
NIST CSF 不指导如何清点物理设备和系统,也不指导如何清点软件平台和应用程序;仅提供需要完成的任务的清单。 组织可以自行选择执行清单的方法。 如果组织需要进一步的指导,它可以参考其他补充标准中相关控制的信息型参考。 CSF 中有大量适用于网络安全风险管理需求的工具,供组织自由选择。
为了帮助私营部门组织衡量实施 NIST 网络安全框架方面的进展,该框架确定了四个实施层:
NIST 网络安全框架提供有关如何建立或改进信息安全风险管理计划的分步指南:
IBM 拥有大量关于如何采用 NIST 网络安全框架的资源。 IBM 还提供各种安全框架和风险评估服务以帮助评估组织的安全状态。
企业可以使用 IBM 的安全框架和风险评估服务来识别漏洞以降低风险。 这些服务提供网络监控和管理,并增强隐私、安全选项和安全风险识别。
IBM 还可以帮助使安全标准和实践与云环境中的 NIST CSF 保持一致。
注册一个 IBM ID 并创建 IBM Cloud 帐户。