新闻快讯
< >

美国NIST发布网络安全框架第二稿

E安全12月12日讯,美国国家标准与技术研究院(简称NIST)已经于2017年12月5日发布〈改进关键信息基础设施网络安全框架〉第二稿(即网络安全框架1.1版本第二稿)。NIST方面指出,第二稿草案旨在澄清、改进及加强网络安全框架,扩大其价值与易用性。新的草案反映了NIST迄今为止收到的意见,包括2017年1月启动的公开审查流程与2017年5月召开的研讨会活动。

美国NIST发布网络安全框架第二稿-E安全

NIST网络安全框架最初发布于2014年,旨在帮助各类组织机构——特别是来自关键信息基础设施领域的组织机构——管理网络安全风险。当时,NIST方面发布了《改进关键信息基础设施安全框架》报告,这份文件就安全计划与网络安全标准及实践的制定提出了指导性意见。

时至今日,NIST网络安全框架被广泛视为各类组织机构与企业实现网络安全保障的最佳实践性指南。

此项网络安全框架基于美国前任总统奥巴马发布的总统行政令,现任特朗普政府亦将该框架视为一套适用于政府机构以及各关键信息基础设施运营商的最佳实践指导方案。

特朗普政府在发布的网络安全总统行政令中,同样要求各联邦政府机构及关键信息基础设施运营商使用这套框架。

1.jpg

NIST网络安全框架草案第二版

在最初版本发布的四年之后,NIST如今再次对其作出更新。NIST网络安全框架第一稿于今年1月发布,而12月5日亮相的则是其第二稿草案。

与2014年2月发布的1.0版本一样,本次第二稿草案同样为各私营与公共部门广泛参与磋商所得出的共识性结论。相关修改内容基于针对第一稿草案的120条回复意见,外加今年5月研讨会上500名与会者线出的建议。

第二版草案有哪些不同?

以下为更新内容的概括性总结:

  • 宣布网络安全框架适用于由技术方案、运营技术、网络物理系统心服物联网所构成的“技术体系”。

  • 加强指导以切实将网络安全框架应用于供应链风险管理工作当中。

  • 总结网络安全框架衡量机制在各组织机构自我评估工作中的相关性与实际效果。

  • 进一步考虑授权、认证与身份验证等事务。

  • 立足行政层面更新此份参考信息。

与第二稿一同发布的还有一份经过更新的发展路线图,其中详尽阐述了推进该框架发展过程的未来计划。关于NIST网络安全框架第二稿内容制定相关的各项建议内容,皆可发送至cyberframework(at)nist.gov ,截止时间为2018年1月19日。

NIST希望了解1.1版本中的修订是否能够准确反映当前网络安全形势的实际变化。而更新版本的评估结果,对于当前正在实施该框架1.0版本的组织机构而言自然也非常重要。

附件:《NIST网络安全框架草案第二版》《NIST网络安全框架路线图》

相关阅读:

美国NIST物理安全存在风险,审计人员及时发现
NIST网络安全控制目录迎来新突破:去除“联邦”表述,不再仅限于“网络”
NIST发布更新版网络与隐私草案指南
美国NIST《网络安全框架》v1.1版草案提议修改项
美国NIST最新《数字身份指南》:废除“定期修改密码” 等过时要求
美国NIST针对联邦机构发布网络安全框架草案
美国NIST发布NICE网络安全人才框架
从NIST修订的SP 800-53文件内容预测美国未来安全趋势
针对美国联邦机构的NIST网络框架将出台
美国众议院科学、空间与技术委员会通过NIST《网络安全框架》法案

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。