NIST 发布了里程碑式网络安全框架的扩展版本 2.0，以帮助关键基础设施组织

美国国家标准与技术研究院 (NIST) 发布了网络安全框架 (CSF) 2.0 版，标志着网络安全战略的一个重要里程碑。 CSF 最初是为关键基础设施组织量身定制的，但它已经获得了超出其预期范围的广泛采用，促使 NIST 增强其在不同部门和组织规模中的适用性。更新后的框架根据草案反馈，扩展了核心指导，并引入了关键的“治理”职能，解决了风险管理方面的差距。

新框架已经大约 10 年没有更新过，它是在关键基础设施组织面临严重网络攻击的关键时刻发布的，这些攻击可能会削弱生活中许多方面的日常功能。一些攻击已经导致卫生组织和许多其他行业的重症监护业务中断，新框架旨在帮助阻止这些攻击。

HITRUST 首席战略官 Robert Booker 强调了治理职能的重要性，强调其在网络安全领域风险管理中的关键作用。值得注意的是，CSF 2.0为用户提供了量身定制的实施示例和快速入门指南，方便其实际应用。此外，它还包含可搜索的参考目录，简化了与 50 多个网络安全文档的协调。

NIST 主任 Laurie E. Locascio 强调了 CSF 2.0 的动态本质，将其描述为一套可适应不断变化的网络安全需求和组织能力的可定制资源。工业网络安全公司 Dragos 的 Katherine Ledesma 强调了该框架对拥有工业控制系统 (ICS) 和运营技术 (OT) 系统的组织的影响。她强调观念的转变，将网络安全投资定位为不仅是成本中心，而且是业务运营的战略推动者，尤其对制造业和公用事业等行业至关重要。

Ledesma 还强调了在 CSF 框架内区分 IT 和 OT 环境的重要性，并预见了保护 ICS/OT 系统的细致入微的方法。她强调需要持续更新和专门指导来解决与这些系统相关的独特风险，并主张将特定于 OT 的考虑因素纳入更广泛的网络安全规划和指导文件中。

总体而言，CSF 2.0的发布标志着网络安全战略的重大进步，提供了适应不同组织环境的全面框架，并强调了网络安全在支持业务弹性和连续性方面的关键作用。