自2014年发布网络安全框架（CSF）1.0版本，时隔多年NIST发布了2.0版本，首次对网络安全框架进行重大更新。

核心要点

• NIST网络安全框架进一步扩大了目标受众，不再只针对关键基础设施领域组织，而是让更多的企业/组织有效管理和降低安全风险。
• NIST网络安全框架的核心部分进行了更新，并创建了丰富的资源加速框架实施，旨在帮助所有的组织更好地实现其网络安全目标，其中着重强调了治理与供应链安全。
• NIST网络安全框架2.0的实施路径变的更加丰富，其中还包括针对特定受众的快速入门指南，企业安全最佳实践案例，以及可搜索的信息参考目录等资源等，用户可以将这些资源与其他50多个网络安全文件进行交叉参考。
• 网络安全框架2.0经过了多年的讨论和专家评审，和1.0版本相比将更加适应当下的网络安全态势。

近日，美国国家标准与技术研究院（NIST）对广泛使用的网络安全框架进行重要更新，新的2.0版旨在为所有受众、行业领域和组织类型提供参考，不论组织的网络安全成熟度如何皆可适用，涵盖了从最小型的学校、非营利性组织到最大的集团型企业与机构，旨在更有效地减少网络安全风险。

NIST进一步扩展了CSF的核心指南，开发了相关资源，以帮助用户最大限度地利用框架。这些资源旨在为不同受众提供量身定制的实施CSF的路径，并使框架更易于付诸实践。

美国商务部标准与技术副部长兼NIST主任Laurie E. Locascio指出，“CSF一直是许多组织实施网络安全的重要工具和指导文件，可帮助他们发现并应对网络安全威胁。CSF 2.0在以往的基础上进行极大地丰富，不再仅仅是一份文章，还包括一整套丰富的资源，可随着组织网络安全需求变化和能力发展而持续改进，既可以单独使用，也可以和其他工具进行交叉、组合。”

CSF 2.0支持执行国家网络安全战略，其目标受众范围大幅增加，适用于任何行业的所有组织。此外它还新增了对治理的关注，例如企业该如何制定和落地网络安全战略决策。CSF 2.0之所以如此重视治理，是因为其认为网络安全是企业风险的主要来源，高级领导者应将网络安全与财务和声誉等其他风险一起考虑。

CSF 2.0框架的核心围绕组织六个关键功能，分别是识别、保护、检测、响应、恢复以及新增加的治理，这些功能将形成一个整体，也为安全人员管理网络安全风险生命周期提供了全面视角。

CSF 2.0还有各类组织的最佳实践案例供网安人员参考和学习，并为小微企业、企业风险管理者、供应链安全等特定类型的用户设计了一系列的实施案例和快速入门指南。同时有效简化了组织实施CSF的方式，允许用户以人类和机器可读的格式浏览、搜索和导出CSF核心指南中的数据和详细信息。

网络安全框架2.0版本还改进了与其他广泛使用的NIST资源的集成，这些资源处理企业风险管理、ERM和ICT风险管理计划，包括：

• SP 800-221，信息和通信技术风险对企业的影响：治理和管理企业风险组合中的ICT风险计划；
• SP 800-221A，信息和通信技术(ICT)风险结果：将ICT风险管理计划与企业风险组合相集成；
• SP 800-37，信息系统和组织的风险管理框架；
• SP 800-30，以及NIST风险管理框架(RMF)进行风险评估的指南；

NIST 预计， CSF 2.0版本将由世界各地的志愿者翻译。这些翻译将被添加到 NIST 不断扩大的 CSF 资源组合中。在过去 11 年中，NIST 与国际标准化组织 (ISO) 以及国际电工委员会 (IEC) 的合作帮助协调了多个网络安全文件。ISO/IEC 资源现在允许组织使用 CSF 功能构建网络安全框架并组织控制。

参考来源：https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework