【解读】NIST网络安全框架CSF 2.0

2014年,NIST(美国国家标准与技术研究所,类似于中国的工信部)首次发布了网络安全框架CSF(Cybersecurity Framework),十年后,在2024年2月26日发布了重大更新(CSF 2.0),重点关注治理和软件供应链问题。CSF 2.0框架围绕六个关键功能(识别、保护、检测、响应、恢复和治理)提供了丰富的资源以加速框架的实施与落地。

在这里插入图片描述

1. 简介

NIST的网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。
在这里插入图片描述

2. 核心要点

  • 适用范围从关键基础设施扩大到所有组织:CSF 2.0支持美国国家网络安全战略的实施,其范围已扩展到保护医院和发电厂等关键基础设施之外的任何部门的所有组织;

  • 「治理」成为核心功能:CSF 2.0将重点放在治理上,包括组织如何制定和执行有关网络安全策略的决策,并强调网络安全是企业风险的主要来源,高级领导者应将网络安全与财务和声誉等其他风险一起考虑;

  • 供应链安全受到更多重视:整合并扩展了1.1版本中的供应链风险管理成果,并将其中大部分归入“治理”功能之下;

    CSF 2.0 框架指出,“鉴于该生态系统复杂且相互关联,供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理(C-SCRM,Cybersecurity Supply Chain Risk
    Management)是一个系统化的过程,用于管理整个供应链中的网络安全风险暴露,并制定适当的响应策略、政策、流程和程序。”

  • 提供了完善的参考工具、资料和指南:NIST扩展了CSF的核心指导并开发了相关资源,以帮助用户充分利用该框架。这些资源旨在为不同的受众提供进入CSF的定制途径,为组织如何实施23个类别下的106个子类别提供了进一步的指导。

3. 关于本次新增加的“治理”(GOVERN)

3.1. 治理(GV)的定义

治理是指建立和监控组织的信息安全风险管理战略、期望和政策。

治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。治理活动对于将信息安全纳入组织更广泛的企业风险管理(ERM)至关重要,且对组织环境的理解,信息安全战略的制定、信息安全供应链风险管理,角色、职责和权限,政策、过程和程序,以及对信息安全战略的监督都具有很强的指导作用。

3.2. 治理与其他功能的关系

治理功能与其他功能密切合作,特别是识别(ID),因此了解组织环境和相关风险有助于制定与组织风险管理策略相一致的目标方法。相关的信息安全风险使组织能够聚焦并制定工作优先级,以确保与组织风险管理策略和治理下确定的任务需求相一致。

此外,其余功能与治理(GV)保持共生关系,治理(GV)处于中心位置,因为它告知组织将如何实现其他五个功能。例如在治理(GV)的规划和识别(ID)中和测试投资将支持响应(RS)和恢复(RC)功能中针对信息安全事件的及时事件响应和恢复行动。

4. 给我们的启示

NIST时隔多年发布了CSF 2.0,其最大的变化就是新增了“治理”,旨在帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划中。NIST顺应时代的发展,将“治理”纳入进来,在形成安全闭环管理的同时,将网络安全风险治理上升到企业风险治理层面。这从侧面说明了网络安全风险对企业自身发展的影响越来越大,企业制定风险管理计划时,不能不考虑企业自身将面临的网络安全风险。

5. 参考链接

[1] https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework


在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/465554.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

C++初阶:string的使用与STL

目录 1. C标准库与STL2. string是什么3. string的使用3.1 构造与拷贝构造3.2 遍历访问方式3.3 STL中算法操作相关内容3.4 容量相关成员函数3.5 内容修改相关成员函数3.6 string类操作成员函数3.7 string的非成员函数 1. C标准库与STL 编程语言标准库中,有着许多基础…

wps技巧二实现每一行文字后面统一添加数据

效果 操作 查找,输入^p 替换,输入 n m p q^p,测试数据,随意替换成你想要的 结果

MySQL-- B+ 树

一、InnoDB 是如何存储数据的? InnoDB 的数据是按「数据页」为单位来读写的 数据库的 I/O 操作的最小单位是页,InnoDB 数据页的默认大小是 16KB 单个数据页的结构及作用 多个数据页之间的逻辑连接(双向链表),不需要物…

STM32/GD32——FreeRTOS任务管理与相关机制

芯片选型 Ciga Device — GD32F470系列 任务管理 任务处理API 操作 API 动态任务创建 xTaskCreate 任务删除 vTaskDelete 静态任务创建 vTaskCreateStatic 挂起任务 vTaskSuspend 恢复任务 vTaskResume 任务创建 BaseType_t xTaskCreate( TaskFunction_t pxTa…

vulhub中GIT-SHELL 沙盒绕过漏洞复现(CVE-2017-8386)

GIT-SHELL 沙盒绕过(CVE-2017-8386)导致任意文件读取、可能的任意命令执行漏洞。 测试环境 为了不和docker母机的ssh端口冲突,将容器的ssh端口设置成3322。本目录下我生成了一个id_rsa,这是ssh的私钥,连接的时候请指…

固态硬盘有缓存和没缓存有什么区别

固态硬盘(SSD)已经成为现代计算机的重要组成部分,它们提供了比传统机械硬盘更快的读写速度,从而显著提升了操作系统的运行速度和应用程序的加载效率。 其中,缓存(Cache)是固态硬盘中一个重要的…

【SpringCloud】使用Seata实现分布式事务

目录 一、Seata 框架的需求背景二、Seata 事务模式与架构2.1 Seata 组成2.2 Seata 事务模式 三、Seata 实战演示3.1 部署 Seata Server3.1.1 下载 Seata Server3.1.2 更改 Seata Server 配置3.1.3 创建 Seata Server 所需的数据库、数据库表3.1.4 启动 Seata Server 3.2 Seata …

ROS2从入门到精通1-1:详解ROS2话题通信机制与自定义消息

目录 0 专栏介绍1 话题通信模型2 话题模型实现(C)3 话题模型实现(Python)4 自定义消息 0 专栏介绍 本专栏旨在通过对ROS2的系统学习,掌握ROS2底层基本分布式原理,并具有机器人建模和应用ROS2进行实际项目的开发和调试的工程能力。 🚀详情&a…

【最新版源码】快递平台独立版小程序源码|带cps推广营销流量主+前端

源码介绍: 快递代发快递代寄寄件小程序可以对接易达云洋一级总代 快递小程序,接入云洋/易达物流接口,支持选择快递公司,三通一达,极兔,德邦等,功能成熟 如何收益: 1.对接第三方平台成本大约4…

CoAP计算机协议,应用于物联网

什么是CoAP协议? CoAP(Constrained Application Protocol,受限应用协议)是一种专为物联网(IoT)设备和资源受限网络设计的应用层协议。它的诞生也是由于物联网设备大多都是资源限制型的,比如 CP…

【GPT-SOVITS-02】GPT模块解析

说明:该系列文章从本人知乎账号迁入,主要原因是知乎图片附件过于模糊。 知乎专栏地址: 语音生成专栏 系列文章地址: 【GPT-SOVITS-01】源码梳理 【GPT-SOVITS-02】GPT模块解析 【GPT-SOVITS-03】SOVITS 模块-生成模型解析 【G…

Java之SpringBoot基础夯实——八股文【2024面试题案例代码】

1、什么是 Spring Boot? Spring Boot 是一个开源的Java开发框架,由Pivotal团队开发,其核心目标是简化新Spring应用的初始搭建和开发流程。它以Spring框架为基础,通过自动配置和约定优于配置的原则,极大程度地减少了手…

HarmonyOS(鸿蒙)ArkUI组件

方舟开发框架(简称ArkUI)为HarmonyOS应用的UI开发提供了完整的基础设施,包括简洁的UI语法、丰富的UI功能(组件、布局、动画以及交互事件),以及实时界面预览工具等,可以支持开发者进行可视化界面…

嵌入式学习之Linux系统编程篇笔记——系统编程初探

配套视频学习链接:https://www.bilibili.com/video/BV1zV411e7Cy?p2&vd_sourced488bc722b90657aaa06a1e8647eddfc 目录 Linux系统编程的基本认识 什么是Linux系统编程? 什么是系统编程 系统编程的作用 怎么学习Linux系统编程? Linux系统编程基本程序框…

马斯克大模型Grok-1已开源,目前为止最大的开源大语言模型

🦉 AI新闻 🚀 马斯克大模型Grok-1已开源,目前为止最大的开源大语言模型 摘要:马斯克上一周就在x上预告将开源自己的大模型,等了一周,就在刚刚,马斯克的大模型 Grok-1 开源了,Grok-…

【Canvas与艺术】砂落字现

【注意】 本作代码需要在服务器端执行,不可用浏览器直接打开运行。 如何安装服务器端请参考:https://www.cnblogs.com/heyang78/p/3339235.html 【原理】 雨粒子落下时,如果当前点不是黑点,则化身为金字的一个像素点。 【效果…

USB - USB Gadget on Linux

February, 2012. Embedded Linux Conference 2012. Agenda Introduction to USB USB Gadget API Existing Gadgets Design your own Gadget Demo Conclusio About the Author Software engineer at Adeneo Embedded Linux, Android Main activities: – BSP adaptation – Driv…

PXVDI企业级PVE免费桌面虚拟化部署教程ProxmoxVE

什么是PXVDI? PXVDI是一款基于Proxmox VE为底层的可商用的免费云桌面套件。对熟悉PVE的人来说,这点非常的点赞。首先是PVE是免费的,其次PVE的免费云桌面方案也极为少数。 根据官方提出的价格清单,免费版和商业版在功能上主要的区…

使用CURL命令确定Access-Control-Allow-Origin问题

一、问题描述 有前端小伙伴反馈ajax请求遇到跨域问题,也让后端小伙伴设置了跨域允许,但诡异的事情是在前端小伙伴的微信开发者工具中Network headers中看到了两行:Access-Control-Allow-Origin,其中居然出现了:“Acce…

51单片机—DS18B20温度传感器

目录 一.元件介绍及原理 二,应用:DS18B20读取温度 一.元件介绍及原理 1.元件 2.内部介绍 本次元件使用的是单总线 以下为单总线的介绍 时序结构 操作流程 本次需要使用的是SKIP ROM 跳过, CONVERT T温度变化,READ SCRATCHPAD…