Help net security發佈了一篇NIST CSF 2.0 發布,以幫助所有組織,而不僅僅是關鍵基礎設施中的組織
網路安全是當今社會的重要議題,無論是政府、企業、或個人,都需要有效地管理和降低網路風險。為此,美國國家標準技術研究院(NIST)於2024年2月26日正式發布了新版的網路安全框架(Cybersecurity Framework,簡稱CSF)2.0,以提供給各種組織一個實用的指導方針。
CSF是一個自願性的框架,旨在幫助任何規模、領域、或成熟度的組織,更好地理解、評估、優先、和溝通其網路安全工作。CSF不規定應該如何達成安全目標,而是提供了一個高階的網路安全成果的分類,並連結到其他資源,提供更多關於實踐和控制的指引。
CSF 2.0是在廣泛的公開徵詢和反饋的基礎上,對2018年發布的CSF 1.1版本進行了更新和改進。CSF 2.0的主要新特點包括:
- 更明確地定義了CSF的用途和適用範圍,強調了CSF是一個靈活的工具,可以根據組織的需求和目標進行客製化和調整。
- 增加了「治理」(Governance)作為第六個功能構面(Function),與原有的識別、保護、偵測、回應、復原並列,強化了網路安全風險治理的重要性,並提供了相關的類別和子類別。
- 調整了部分類別和子類別的內容和順序,以反映網路安全領域的最新發展和趨勢,例如增加了關於雲端安全、供應鏈安全、資料安全、身分識別和存取管理等方面的內容。
- 增強了與其他國際標準或區域性標準的融合性,例如ISO 27001、ISO 31000、GDPR等,並提供了更多的對應關係(Informative References),方便組織選擇適合的資源來實施CSF。
- 提供了更多的實用資源,例如快速入門指南(Quick Start Guides)、CSF 2.0概念文件(Concept Paper)、CSF 2.0檔案範本(Profile Templates)等,幫助組織快速啟動或改善其網路安全計畫。
CSF 2.0是一個值得關注和參考的網路安全框架,它不僅適用於美國的組織,也適用於全球的組織,尤其是與美國有業務往來的組織。CSF 2.0可以幫助組織建立一個符合其獨特需求和目標的網路安全策略,並與其他相關的標準和法規保持一致。CSF 2.0也可以幫助組織提升其網路安全能力,應對日益嚴峻的網路威脅,並促進網路安全的持續改進和創新。
詳情請看: