【解读】NIST网络安全框架CSF 2.0

news2024/10/6 12:27:56

2014年,NIST(美国国家标准与技术研究所,类似于中国的工信部)首次发布了网络安全框架CSF(Cybersecurity Framework),十年后,在2024年2月26日发布了重大更新(CSF 2.0),重点关注治理和软件供应链问题。CSF 2.0框架围绕六个关键功能(识别、保护、检测、响应、恢复和治理)提供了丰富的资源以加速框架的实施与落地。

在这里插入图片描述

1. 简介

NIST的网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。
在这里插入图片描述

2. 核心要点

  • 适用范围从关键基础设施扩大到所有组织:CSF 2.0支持美国国家网络安全战略的实施,其范围已扩展到保护医院和发电厂等关键基础设施之外的任何部门的所有组织;

  • 「治理」成为核心功能:CSF 2.0将重点放在治理上,包括组织如何制定和执行有关网络安全策略的决策,并强调网络安全是企业风险的主要来源,高级领导者应将网络安全与财务和声誉等其他风险一起考虑;

  • 供应链安全受到更多重视:整合并扩展了1.1版本中的供应链风险管理成果,并将其中大部分归入“治理”功能之下;

    CSF 2.0 框架指出,“鉴于该生态系统复杂且相互关联,供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理(C-SCRM,Cybersecurity Supply Chain Risk
    Management)是一个系统化的过程,用于管理整个供应链中的网络安全风险暴露,并制定适当的响应策略、政策、流程和程序。”

  • 提供了完善的参考工具、资料和指南:NIST扩展了CSF的核心指导并开发了相关资源,以帮助用户充分利用该框架。这些资源旨在为不同的受众提供进入CSF的定制途径,为组织如何实施23个类别下的106个子类别提供了进一步的指导。

3. 关于本次新增加的“治理”(GOVERN)

3.1. 治理(GV)的定义

治理是指建立和监控组织的信息安全风险管理战略、期望和政策。

治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。治理活动对于将信息安全纳入组织更广泛的企业风险管理(ERM)至关重要,且对组织环境的理解,信息安全战略的制定、信息安全供应链风险管理,角色、职责和权限,政策、过程和程序,以及对信息安全战略的监督都具有很强的指导作用。

3.2. 治理与其他功能的关系

治理功能与其他功能密切合作,特别是识别(ID),因此了解组织环境和相关风险有助于制定与组织风险管理策略相一致的目标方法。相关的信息安全风险使组织能够聚焦并制定工作优先级,以确保与组织风险管理策略和治理下确定的任务需求相一致。

此外,其余功能与治理(GV)保持共生关系,治理(GV)处于中心位置,因为它告知组织将如何实现其他五个功能。例如在治理(GV)的规划和识别(ID)中和测试投资将支持响应(RS)和恢复(RC)功能中针对信息安全事件的及时事件响应和恢复行动。

4. 给我们的启示

NIST时隔多年发布了CSF 2.0,其最大的变化就是新增了“治理”,旨在帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划中。NIST顺应时代的发展,将“治理”纳入进来,在形成安全闭环管理的同时,将网络安全风险治理上升到企业风险治理层面。这从侧面说明了网络安全风险对企业自身发展的影响越来越大,企业制定风险管理计划时,不能不考虑企业自身将面临的网络安全风险。

5. 参考链接

[1] https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework


在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1525137.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【蓝屏分析】WHEA_UNCORRECTABLE_ERROR 问题分析与解决

背景信息 电脑名字电脑类型厂商使用时间magicbook14 2020款 R5 4500U笔记本电脑荣耀HONOR3年9个月 内存CPUGPU硬盘焊死在主板上焊死在主板上集显PCIe 4.0 NVMe M.2 固态 软硬件错误源确定 电脑莫名频繁随机蓝屏,由于在软件环境上无迹可寻推测是硬件问题 蓝屏画面…

Pretrain-finetune、Prompting、Instruct-tuning训练方法的区别

来自:【多模态】28、LLaVA 第一版 | Visual Instruction Tuning 多模态模型的指令微调_多模态指令跟随数据-CSDN博客 几种模型训练方法的区别: 1、Pretrain-finetune:先在大量数据集上做预训练,然后针对某个子任务做 finetune 2…

Python图像处理指南:PIL与OpenCV的比较【第136篇—PIL】

👽发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 Python图像处理指南:PIL与OpenCV的比较 图像处理在计算机视觉和图像识别等领域…

实现悲观协议,除了锁还能咋办?

相对乐观和局部悲观是一体两面的关系,识别它的要点就在于是否有全局有效性验证,这也和分布式数据库的架构特点息息相关。但是关于悲观协议,还有很多内容没有提及,下面我们就来填补这一大块空白。 悲观协议的分类 要先跳出来&…

Word使用通配符替换

1.通配符替换 使用([通配替换文本]) M-MM12-00([0123456789])-0([0123456789])([0123456789])-0([0123456789])([0123456789]) 2.根据自定义格式替换 根据格式、样式替换,如只替换标题的内容,不替换征文

ASP.NET 服务器控件

目录 一、使用的软件 1、下载 2、新建文件(写一个简单的web网页) 二、相关知识点 1、Web窗体网页的组件 (1)可视化组件 (2)用户接口逻辑 2、Web Form网页的代码模型 (1)单文件…

STM32的USART能否支持9位数据格式话题

1、问题描述 STM32L051 这款单片机。平常的 USART 串口传输是 8 位数据,但是他的项目需要用串口传输 9 位数据。当设置为 8 位数据时,串口响应中断正常。但是,当设置为 9 位数据时,串口就不产生中断了。USART2 的 ISR 寄存器 RXN…

前端基础篇-深入了解 JavaScript(一)

🔥博客主页: 【小扳_-CSDN博客】 ❤感谢大家点赞👍收藏⭐评论✍ 文章目录 1.0 JavaScript 概述 2.0 JS - 引入方式 3.0 JS - 基础语法 4.0 JS - 数据类型 5.0 JS - 函数 6.0 JS - Array 数组 7.0 JS - String 字符串 1.0 JavaScript 概述…

Java推荐算法——特征加权推荐算法(以申请学校为例)

加权推荐算法 文章目录 加权推荐算法1.推荐算法的简单介绍2.加权推荐算法详细介绍3.代码实现4.总结 1.推荐算法的简单介绍 众所周知,推荐算法有很多种,例如: 1.加权推荐:分为简单的特征加权,以及复杂的混合加权。主要…

Qt文件读写

做一个简单的文件读写,我们把一个结构体内的数据写入到二进制文件中,并重新读取解析。代码结构如下: 项目名称随便起就好了。main.cpp是主函数;DataHandler实现文件的写与读,还要模拟过程;Definition.h放置…

蚁群算法实现 - 全局路径规划算法

参考博客: (1)【人工智能】蚁群算法(密恐勿入) (2)计算智能——蚁群算法 (3)蚁群算法(实例帮助理解) (4)【数之道 04】解决最优路径问题的妙招-蚁群ACO算法 (…

51单片机—DS18B20温度传感器

目录 一.元件介绍及原理 二,应用:DS18B20读取温度 一.元件介绍及原理 1.元件 2.内部介绍 本次元件使用的是单总线 以下为单总线的介绍 时序结构 操作流程 本次需要使用的是SKIP ROM 跳过, CONVERT T温度变化,READ SCRATCHPAD…

IP对讲终端SV-6002 可以选配POE供电方式

18123651365微信 IP对讲终端SV-6002是一款采用了ARMDSP架构,接收网络音频流,实时解码播放;配置了麦克风输入和扬声器输出,作为网络数字广播的播放终端。主要用于银行、部门机构、酒店等场所的网络广播、网络对讲。 I…

华为PixArt-α:高质量、低成本的文生图模型,训练时长只有SD 1.5的10.8%

2024年3月11日由华为诺亚方舟实验室、大连理工大学和香港大学的研究团队共同开发的PixArt-Σ是一款能够直接生成4K分辨率图像的扩散变换模(DiT)。PixArt-Σ相比其前作PixArt-α,在图像质量和文本提示对齐方面有了显著提升,展示了从…

Mybatis-xml映射文件与动态SQL

xml映射文件 动态SQL <where><if test"name!null">name like concat(%,#{name},%)</if><if test"username!null">and username#{username}</if></where> <!-- collection&#xff1a;遍历的集合--> <!-- …

CoAP计算机协议,应用于物联网

什么是CoAP协议&#xff1f; CoAP&#xff08;Constrained Application Protocol&#xff0c;受限应用协议&#xff09;是一种专为物联网&#xff08;IoT&#xff09;设备和资源受限网络设计的应用层协议。它的诞生也是由于物联网设备大多都是资源限制型的&#xff0c;比如 CP…

HTML详细教程

文章目录 前言一、快速开发网站最简模板二、HTML标签1.编码2.title3.标题4.div和span5.超链接6.图片7.列表8.表格9.input系列10.下拉框11.多行文本 三、GET方式和POST方式1.GET请求2.POST请求 前言 HTML的全称为超文本标记语言&#xff0c;是一种标记语言&#xff0c;是网站开发…

Spring Boot(六十九):利用Alibaba Druid对数据库密码进行加密

1 Alibaba Druid简介 之前介绍过Alibaba Druid的,章节如下,这里就不介绍了: Spring Boot(六十六):集成Alibaba Druid 连接池 这章使用Alibaba Druid进行数据库密码加密,在上面的代码上进行修改,这章只介绍密码加密的步骤。 目前越来越严的安全等级要求,我们在做产品…

RuoYi-Vue开源项目2-前端登录验证码生成过程分析

前端登录验证码实现过程 生成过程分析 生成过程分析 验证码的生成过程简单概括为&#xff1a;前端登录页面加载时&#xff0c;向后端发送一个请求&#xff0c;返回验证码图片给前端页面展示 前端页面加载触发代码&#xff1a; import { getCodeImg } from "/api/login&q…

JavaWeb请求响应

目录 一请求响应 1.1请求响应概述&#xff1a; 1.2网页接口与发送 1.2.1简单参数传输 1.2.2实体参数 1.2.3数组集合参数 ​编辑1.2.4集合参数 1.2.5日期时间的参数 1.2.6Json参数 1.2.7路径参数 小结 1.3响应请求 二请求响应小demo 源码链接&#xff1a; 一请求响…