NIST 發布了里程碑式網路安全框架的擴展版本 2.0，以協助關鍵基礎架構組織

美國國家標準與技術研究院 (NIST) 發布了網路安全框架 (CSF) 2.0 版，標誌著網路安全戰略的一個重要里程碑。 CSF 最初是為關鍵基礎設施組織量身定制的，但現在已獲得了超出其預期範圍的廣泛採用，促使 NIST 增強其在不同部門和組織規模中的適用性。更新後的框架根據草案回饋，擴展了核心指導，並引入了關鍵的「治理」職能，解決了風險管理方面的差距。

新框架已經大約 10 年沒有更新過，它是在關鍵基礎設施組織面臨嚴重網路攻擊的關鍵時刻發布的，這些攻擊可能會削弱生活中許多方面的日常功能。一些攻擊已經導致衛生組織和許多其他行業的重症監護業務中斷，新框架旨在幫助阻止這些攻擊。

HITRUST 首席策略長 Robert Booker 強調了治理職能的重要性，強調其在網路安全領域風險管理中的關鍵作用。值得注意的是，CSF 2.0為使用者提供了量身定制的實施範例和快速入門指南，方便其實際應用。此外，它還包含可搜尋的參考目錄，簡化了與 50 多個網路安全文件的協調。

NIST 主任 Laurie E. Locascio 強調了 CSF 2.0 的動態本質，將其描述為一套可適應不斷變化的網路安全需求和組織能力的可自訂資源。工業網路安全公司 Dragos 的 Katherine Ledesma 強調了該框架對擁有工業控制系統 (ICS) 和營運技術 (OT) 系統的組織的影響。她強調觀念的轉變，將網路安全投資定位為不僅是成本中心，也是業務營運的策略推動者，尤其對製造業和公用事業等產業至關重要。

Ledesma 也強調了在 CSF 框架內區分 IT 和 OT 環境的重要性，並預見了保護 ICS/OT 系統的細緻入微的方法。她強調需要持續更新和專門指導來解決與這些系統相關的獨特風險，並主張將特定於 OT 的考慮因素納入更廣泛的網路安全規劃和指導文件中。

總體而言，CSF 2.0的發布標誌著網路安全策略的重大進步，提供了適應不同組織環境的全面框架，並強調了網路安全在支援業務彈性和連續性方面的關鍵作用。