2014年，NIST（美国国家标准与技术研究所，类似于中国的工信部）首次发布了网络安全框架CSF（Cybersecurity Framework)，十年后，在2024年2月26日发布了重大更新（CSF 2.0），重点关注治理和软件供应链问题。CSF 2.0框架围绕六个关键功能（识别、保护、检测、响应、恢复和治理）提供了丰富的资源以加速框架的实施与落地。

1. 简介

NIST的网络安全框架（CSF）旨在帮助所有组织（不仅仅是关键基础设施中的组织，以及其最初的目标受众）管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF，发布了CSF 2.0，成为了降低网络安全风险的里程碑式指导文件，点此获取CSF 2.0官方文档（访问密码：6277）。

2. 核心要点

• 适用范围从关键基础设施扩大到所有组织：CSF 2.0支持美国国家网络安全战略的实施，其范围已扩展到保护医院和发电厂等关键基础设施之外的任何部门的所有组织；

• 「治理」成为核心功能：CSF 2.0将重点放在治理上，包括组织如何制定和执行有关网络安全策略的决策，并强调网络安全是企业风险的主要来源，高级领导者应将网络安全与财务和声誉等其他风险一起考虑；

• 供应链安全受到更多重视：整合并扩展了1.1版本中的供应链风险管理成果，并将其中大部分归入“治理”功能之下；

  CSF 2.0 框架指出，“鉴于该生态系统复杂且相互关联，供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理(C-SCRM，Cybersecurity Supply Chain Risk
  Management)是一个系统化的过程，用于管理整个供应链中的网络安全风险暴露，并制定适当的响应策略、政策、流程和程序。”

• 提供了完善的参考工具、资料和指南：NIST扩展了CSF的核心指导并开发了相关资源，以帮助用户充分利用该框架。这些资源旨在为不同的受众提供进入CSF的定制途径，为组织如何实施23个类别下的106个子类别提供了进一步的指导。

3. 关于本次新增加的“治理”（GOVERN）

3.1. 治理(GV)的定义

治理是指建立和监控组织的信息安全风险管理战略、期望和政策。

治理功能是跨领域的，并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能（识别、保护、检测、响应、恢复）的结果并对其进行优先级排序。治理活动对于将信息安全纳入组织更广泛的企业风险管理（ERM）至关重要，且对组织环境的理解，信息安全战略的制定、信息安全供应链风险管理，角色、职责和权限，政策、过程和程序，以及对信息安全战略的监督都具有很强的指导作用。

3.2. 治理与其他功能的关系

治理功能与其他功能密切合作，特别是识别(ID)，因此了解组织环境和相关风险有助于制定与组织风险管理策略相一致的目标方法。相关的信息安全风险使组织能够聚焦并制定工作优先级，以确保与组织风险管理策略和治理下确定的任务需求相一致。

此外，其余功能与治理(GV)保持共生关系，治理(GV)处于中心位置，因为它告知组织将如何实现其他五个功能。例如在治理(GV)的规划和识别(ID)中和测试投资将支持响应(RS)和恢复(RC)功能中针对信息安全事件的及时事件响应和恢复行动。

4. 给我们的启示

NIST时隔多年发布了CSF 2.0，其最大的变化就是新增了“治理”，旨在帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划中。NIST顺应时代的发展，将“治理”纳入进来，在形成安全闭环管理的同时，将网络安全风险治理上升到企业风险治理层面。这从侧面说明了网络安全风险对企业自身发展的影响越来越大，企业制定风险管理计划时，不能不考虑企业自身将面临的网络安全风险。

5. 参考链接

[1] https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

---