与2015年发布的原始版本和2018年发布的1.1版本相比,2.0版本不再仅仅是一个静态资源,而演变成了一套指导框架实施的资源包。“网络安全框架一直是许多组织的重要工具,帮助他们预测和应对网络安全威胁,”美国商务部标准与技术局副局长兼NIST局长Laurie E. Locascio表示,“2.0版本以之前版本为基础,不仅仅涵盖一份文档,而是一套可定制的资源,随着组织的网络安全需求变化和能力发展,可以单独或组合使用。”
“治理”成为核心功能
网络安全框架2.0最重要的结构性变化是增加了第六个关键功能——“治理”,此前版本的五个关键功能“识别”、“保护”、“检测”、“响应”和“恢复”都围绕着该功能展开。“治理”功能旨在帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划中,通过提供“成果”或期望状态来指导组织如何实现和优先考虑其他五个功能的成果。
NIST表示,增加“治理”功能的目的是将所有网络安全风险管理活动提升到组织的高管和董事会层面。“我认为2.0版本的一大亮点是将治理提升为一个功能,”网络安全公司CyberSaint的创始人兼首席创新官Padraic O’Reilly指出:“我认为现在业界已经普遍认识到,如果没有积极的治理参与,网络安全工作就只会原地打转。”
供应链安全受到更多重视
网络安全框架2.0还整合并扩展了1.1版本中的供应链风险管理成果,并将其中大部分归入“治理”功能之下。框架指出,“鉴于该生态系统复杂且相互关联,供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理(C-SCRM)是一个系统化的过程,用于管理整个供应链中的网络安全风险暴露,并制定适当的响应策略、政策、流程和程序。网络安全框架C-SCRM类别[GV.SC]下的子类别提供了一种将纯粹关注网络安全和关注C-SCRM的成果联系起来的方式。”
将供应链风险管理纳入“治理”功能只是解决网络安全棘手问题迈出的第一步。“供应链问题缠身,”O’Reilly说,“之所以供应链安全问题如此复杂,是因为供应链本身就非常复杂。我认为NIST将一部分供应链纳入治理范畴,是因为需要从上层进行更多管理。因为目前,一些做法虽然勉强说得过去,但只能解决大约一半的问题。”
完善的参考工具、资料、指南和资源整合
网络安全框架2.0版本还提供了更新的“参考资料”,即现有的标准、指南和框架,以帮助充实网络安全框架包含的技术细节和步骤,为组织如何实施23个类别下的106个子类别提供进一步的指导。
为了解决网络安全框架可能带来的实施困难,NIST在2.0版本中加入了一系列关于不同主题的“快速入门指南”,包括如何创建网络安全框架配置文件和层级,以及如何开始管理供应链安全风险和创建社区配置文件,以供拥有共同利益的社区描述共识观点。
网络安全框架2.0版本的参考工具简化了组织实施框架的方式,允许用户以人类和机器可读的格式浏览、搜索和导出CSF核心指南中的数据和详细信息。
为了提供更实用的框架实施指南,网络安全框架2.0还提供了“实施示例”。这些实施示例代表了NIST将被动书写的成果转换为组织可以采取的更积极可操作步骤的努力。
网络安全框架2.0版本还改进了与其他广泛使用的NIST资源的集成,这些资源处理企业风险管理、ERM和ICT风险管理计划,包括:
- SP 800-221,信息和通信技术风险对企业的影响:治理和管理企业风险组合中的ICT风险计划
- SP 800-221A,信息和通信技术(ICT)风险结果:将ICT风险管理计划与企业风险组合相集成
- SP 800-37,信息系统和组织的风险管理框架
- SP 800-30,以及NIST风险管理框架(RMF)进行风险评估的指南
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
ics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
扫一扫
1246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
