NIST 重大更新里程碑
NIST 已是當前資安產業的重要標竿,日前更新其網路安全框架(CSF),主要針對所有使用者、產業部門和組織類型進行完善設計。
文/黃光彩
美國國家標準與技術研究院(NIST)在2024.02.26 更新了廣泛使用的網路安全框架(Cyber Security Framework, CSF),這是自 2014 年創建以來的首次重大更新。CSF 是一份旨在幫助組織降低網路安全風險的重要指導文件。新的 2.0 版本針對所有受眾、產業部門和組織類型進行了設計,無論其大小和複雜程度如何,都能夠從中受益。
CSF 2.0 的範圍已擴大,不再局限於關鍵基礎設施,而是包括所有組織的任何部門。 它也強調了治理方面的重要性,使組織能夠制定和執行相關的網路安全策略,並將網路安全納入企業風險管理的範疇。
該框架具有針對特定受眾的快速入門指南、概述其他組織實施的成功案例以及可搜尋的資訊參考目錄,允許用戶交叉引用該框架的指南到 50 多個其他網路安全文件。這些資源的目的是讓不同的使用者能夠以更客製化的方式進入 CSF,並更輕鬆地將其實施到組織中。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
CSF 的核心功能圍繞著六個關鍵領域:識別、保護、偵測、回應、復原和治理。
這些功能提供了管理網路安全風險生命週期的全面視圖。新的 CSF 2.0 參考工具使組織更容易實施 CSF,使用戶可以以人類可消費和機器可讀的格式瀏覽、搜尋和匯出 CSF 的資料和詳細資訊。這次更新也將 CSF 的國際應用考慮在內,預計 CSF 2.0 將由世界各地的志工翻譯成多種語言,促進全球網路安全的發展和合作,並加入 NIST 不斷擴大的 CSF 資源組合中,使得組織能夠更好地理解、管理和應對其網路安全風險。
CSF 2.0的重大更新:
- 擴展應用:CSF 2.0 不再僅限於關鍵基礎設施,而是針對所有組織,無論其規模、行業或成熟度,提供更全面的網路安全指導。
- 治理功能:新增了治理功能,強調組織如何制定和執行網路安全策略的明智決策。
- 網路安全供應鏈風險管理(C-SCRM):CSF 2.0 將更重視供應鏈風險管理,包括組織如何識別、建立、管理、監控和改進供應鏈風險。
新的參考工具:
- 快速入門指南:針對特定類型的用戶,例如小型企業、企業風險經理和尋求確保供應鏈安全的組織。
- 企業風險管理快速入門指南:介紹如何整合網路安全風險管理資訊。
- CSF 2.0 參考工具:允許使用者探索框架功能、匯出部分以供參考,並篩選與其他網路安全框架、標準、指南和資源之間的聯繫。
NIST 計劃持續增強其資源,使 CSF 成為對更廣泛的用戶更有幫助的資源。社群的回饋將至關重要。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
