NIST 发布网络安全框架 20：更广泛的应用与灵活性

关键要点

NIST推出了网络安全框架20CFS 20，具有新核心结构、资源目录以及更广泛的适用范围。CFS 20采用更灵活的方法，不再只是针对关键基础设施，而是适用于各种规模和成熟度的组织。新增的“治理”功能强调将网络安全与整体组织风险管理结合，改善决策过程。同时，NIST还提供了丰富的资源和工具，以简化CFS 20的实施和持续使用。

NIST在周一宣布发布其网络安全框架20CFS 20，该框架在原有广泛使用的资源基础上引入了全新的核心结构、资源目录以及适用范围。

CFS 20的最终版本经过多年与美国及全球各行业、学术界和政府机构的合作与反馈而成，旨在应对不断演变的网络安全风险、需求和技术。该文档的内容及其配套资源也参考了在八月发布的框架草案版本中收集的公众评论。

“许多人认为NIST的网络安全框架是定义网络安全项目所需内容的祖父级框架，”Qualys威胁研究部门的网络威胁总监Ken Dunham在给SC Media的邮件中表示。“自该框架诞生以来，科技发生了重大变革，更需要在清晰度、对齐性和一致性使用方面进行改善。”

接下来我们来看看NIST的CFS 20和其改进的三个关键点：

1 CFS 20适用于更广泛的受众，避免“一刀切”的方法

NIST的网络安全框架最初名为“改善关键基础设施的框架”，首次发布于2014年。十年之后，20版本被调整为适用于任何行业，而不仅仅局限于关键基础设施，并涵盖不同规模和网络安全项目成熟度的组织。

在CFS 20的草案版本发布时，框架主要开发者Cherilyn Pascoe指出，现代的一些重大网络威胁如供应链攻击和勒索软件，影响着大小组织及各个行业。

Pascoe在一份声明中表示：“我们希望确保它是适用于所有行业的工具，而不仅限于是那些被指定为关键的行业。”

与此同时，框架保持了一定的灵活性，可以根据组织的具体需求进行调整，避免“一刀切”的方法。

“每个组织都有共同和独特的风险，以及不同的风险偏好和容忍度、特定的任务和针对这些任务的目标。因此，组织对CFS的实施方式必然会有所不同，”文档的序言中这样说明。

为此，CFS 20还提供了两个新资源：社区档案和小型企业快速入门指南。社区档案针对此类具体行业、技术、威胁类型或其他共享背景制定，确立了共同成果基线，以帮助制定基于CFS的网络安全风险管理项目。组织可以根据自身情况选择最适合的社区档案，作为在框架下创建组织目标档案的基础，而不是从头开始或使用更为通用的模板。

小牛加速器ios

小型企业快速入门指南为中小型企业实施CFS 20提供具体帮助，涵盖CFS 20核心中的六个关键功能：治理、识别、保护、检测、响应和恢复。

2 新的治理焦点将网络安全与更广泛的组织决策结合

NIST网络安全框架20中最大的变化之一是新增的“治理”功能，作为原有五个支柱的核心。NIST将“治理”功能概念化为与其他支柱之间的整体联系。

这一新增功能旨在将网络安全与更广泛的企业风险管理ERM、角色和责任、政策以及组织的监督相结合，更好地支持网络安全风险向