前言 网络安全框架(CSF)2.0旨在帮助各种规模和行业的组织— 包括行业、政府、学术界和非营利组织 — 管理和降低其网络安全风险。无论组织的网络安全计划的成熟度和技术复杂程度如何,它都很有用。然而,CSF并不采用一刀切的方法。每个组织都有共同和独特的风险,以及不同的风险偏好和容忍度、特定任务和实现这些任务的目标。组织实施CSF的方式必然会有所不同。 理想情况下,CSF将用于解决网络安全风险以及企业的其他风险,包括财务、隐私、供应链、声誉、技术或物理性质的风险。 CSF描述了旨在让广大受众(包括高管、经理和从业人员)理解的预期结果,无论他们的网络安全专业知识如何。由于这些结果是行业、国家和技术中立的,因此它们为组织提供了解决其独特风险、技术和任务考虑因素所需的灵活性。结果直接映射到潜在安全控制列表,以便立即考虑以降低网络安全风险。 虽然不是规定性的,但CSF可以帮助其用户了解和选择特定的结果。关于如何实现具体成果的建议在不断扩大的在线资源套件中提供,这些资源是对 CSF的补充,包括一系列快速入门指南(QSG)。此外,各种工具提供可下载的格式,以帮助选择自动化某些流程的组织。QSG建议了使用CSF的初步方法,并邀请读者更深入地探索CSF和相关资源。通过NIST的CSF网站,CSF和NIST和其他机构的这些补充资源应被视为“CSF组合”,以帮助管理和降低风险。无论如何应用,CSF都会提示其用户在上下文中考虑其网络安全态势,然后根据他们的特定需求调整CSF。 CSF 2.0在以前的版本基础上,包含了一些新功能,突出了治理和供应链的重要性。特别关注QSG,以确保CSF具有相关性,并且易于小型组织及其大型组织使用。NIST现在提供实现示例和信息参考,可在线获取并定期更新。创建当前和目标状态组织配置文件可帮助组织将他们所处的位置与他们想要或需要的位置进行比较,并允许他们更快地实施和评估安全控制。 网络安全风险在不断扩大,管理这些风险必须是一个持续的过程。无论一个组织是否刚刚开始面对其网络安全挑战,或者它是否已经与一支成熟、资源充足的网络安全团队一起活跃多年,都是如此。CSF旨在对任何类型的组织都有价值,并有望在很长一段时间内提供适当的指导。 1. 网络安全框架(CSF)概述本文档是NIST网络安全框架(框架或 CSF)的2.0版。它包括以下组件:
本文档描述了 组织可以渴望实现的理想结果。它没有规定结果,也没有规定如何实现这些结果。有关组织如何实现这些成果的描述在一套补充CSF 的在线资源中提供,可通过NIST CSF网站获得。这些资源提供了有关可用于实现结果的实践和控制的额外指导,旨在帮助组织理解、采用和使用 CSF。它们包括:
CSF旨在供各种规模和行业的组织使用,包括行业、政府、学术界和非营利组织,无论其网络安全计划的成熟度如何。CSF是一种基础资源,可以自愿通过政府政策和授权通过。CSF的分类法和参考标准、指南和实践并非针对特定国家/地区,美国境内外的许多政府和其他组织已成功利用 CSF 的先前版本。 CSF应与其他资源(例如框架、标准、指南、领先实践)结合使用,以更好地管理网络安全风险,并为企业层面的信息和通信技术(ICT) 风险的整体管理提供信息。CSF是一个灵活的框架,旨在为所有组织量身定制,无论其规模大小。组织将继续面临独特的风险(包括不同的威胁和漏洞)和风险容忍度,以及独特的任务目标和要求。因此,组织管理风险的方法及其对CSF的实施将有所不同。 |
|