美国国家标准与技术研究院(National Institute for Standard and Technology,NIST)的“S网络安全框架”(S CyberSecurity Framework)在近十年前首次推出,当时它是针对能源、银行业和医院等关键基础设施利益的技术网络安全指南,目前针对的是各种规模的机构。
流行的NIST网络安全框架的新版本2.0已经扩展到原来框架的五个有效网络安全程序–识别、保护、检测、响应和恢复–的功能之外,并增加了第六种功能,即治理。
“它强调,网络安全是企业风险的主要来源,与法律、金融和其他风险并列为高级领导层的考虑因素,”NIST的新指导方针(仍处于草案阶段)表示。
该机构说,新框架还旨在帮助支持各种规模的组织。
NIST框架的首席开发人员Cherilyn Pascoe在8月8日的CSF 2.0版本中说:“通过这次更新,我们试图反映网络安全框架的当前使用情况,并预测未来的使用情况。”“CSF是为银行和能源行业等关键基础设施开发的,但事实证明,从学校和小企业到地方和外国政府,它无处不在。”
网络安全框架2.0的业务优势
在一份声明中发送到黑暗阅读,芽布鲁姆黑德,首席执行官在Viakoo,解释说,新的NIST更新不只是帮助组织的基本网络安全功能-它扩展到企业的其他领域,以及。
“通过将NIST框架的范围扩大到所有形式的组织(不仅仅是关键基础设施),是承认每个组织如何面对网络威胁,需要有一个计划来管理网络卫生和事件响应,”Broomhead说。“这已经是网络保险的情况下,NIST最近的更新将帮助组织不仅减少他们的威胁格局,而且更好地定位于网络安全的合规性,审计和保险要求。”
这次更新是约瑟夫卡森,首席安全科学家和咨询CISO与Delinea,称赞为”优秀的刷新”。
Carson在一份声明中说:“很高兴看到该框架从简单地关注关键基础设施组织,并通过向所有部门提供指导来适应网络安全威胁。”“这包括新的”治理”支柱,承认组织现在应对威胁的方式发生了变化,以支持其整体网络安全战略。”
NIST正在收集CSF 2.0草案的意见,截止日期为11月4日。