NIST 網絡安全框架的全面性使其成為跨行業的事實上的標準。然而，該框架有一個主要弱點：它的指導方針對于新手來說可能比較難以理解。

該框架分為五個核心功能（識別、保護、檢測、響應、恢復），可以分為100多個子類別。雖然它們提供了組織應遵循的特定技術和實踐指導的核心內容，但其中大部分關鍵內容都被混淆在繁雜的解釋中，類別和功能通常是冗余的，并且包括似乎更適合其他類別的子類別。

然而，盡管其中包含大量信息，盡管它有時候會令組織陷入困惑，但不要拒絕使用它。這是我認為更容易理解的入門指南，可以幫助在您的組織中引入 NIST 推薦的實踐時避免混淆:

核心功能#1：識別

NIST 網絡安全框架的第一個核心功能涵蓋識別和管理跨系統、數據、資產等風險的最佳實踐。這包括以下方面的指導：           

資產管理。該框架要求通過安全最佳實踐始終如一地解決關鍵人員、數據、設施和系統風險。組織必須識別和保護對其持續業務生存至關重要的所有資產和活動（基本站點、數據庫、應用程序等）。

商業環境。組織必須確保利益相關者從安全角度充分了解其業務使命和目標。

治理。該框架規定了為適當的風險管理提供信息并確保法律和法規遵從性的程序、政策和流程。

風險評估。組織必須全面了解其網絡安全業務風險。

供應鏈。組織必須識別供應鏈風險并準備好應對流程。

核心功能#2：保護

該框架的第二個核心功能解決了組織制定保護其關鍵基礎設施服務交付的需要。這些保護包括：

訪問控制。該框架要求組織將訪問權限限制為僅授權用戶、流程和設備。

意識和培訓。組織必須教育和培訓員工（和合作伙伴）了解網絡安全風險以及應對這些風險的緩解政策/程序。

數據安全。組織必須按照保護數據機密性、完整性和可用性的政策和程序來管理數據和記錄。

信息保護流程和程序。政策、程序和流程還必須保護信息系統和數據。 

維護。該框架要求組織保持安全控制和信息系統處于良好的工作狀態，并符合現行政策和程序。

保護技術。必須采用有效的技術解決方案來充分保護組織的信息系統。

核心功能#3：檢測

該框架的第三個核心功能是確保組織在檢測網絡安全攻擊方面做得足夠好。該功能解決：

異常和事件。網絡安全解決方案必須提供對異常活動的快速識別以及快速修復所需的洞察力。

安全連續監測。檢測解決方案必須具有持續的威脅監控能力。

檢測過程評估。檢測過程和程序必須經過定期測試，以評估和保持持續的有效性。

核心功能#4：響應

該框架的第四個核心功能定義了組織應如何最好地準備對檢測到的網絡安全事件的有效響應。應用最佳實踐的具體領域包括：

響應計劃。當網絡安全事件發生時，組織必須準備好計劃、流程和程序。

通訊。該框架要求組織有效協調所有內部網絡威脅響應活動，并在某些情況下與執法部門等外部各方進行協調。

分析。網絡威脅分析對于適當的響應和恢復措施至關重要。 

減災。組織必須采取措施防止威脅事件擴大、消除現有威脅并減輕任何潛在的持久影響。

改進。該框架呼吁組織根據從威脅事件經驗中汲取的教訓采取行動，不斷改進其網絡安全實踐。

核心功能#5：恢復

該框架的最終核心功能解決了組織應采取的步驟，以建立其彈性和準備，以恢復在安全事件期間受影響的任何功能、能力或服務。需要關注的重點領域包括：

恢復規劃。組織應謹慎實施流程和程序，以促進網絡安全事件發生后的快速和完全恢復。

通信。組織應與內部利益相關者、受影響方和受事件影響的外部方密切協調恢復活動。

改進。該框架指導組織根據從威脅事件中恢復時獲得的新知識改進其恢復計劃和流程。

利用網絡安全框架保護您的組織

盡管 NIST 網絡安全框架的許多最佳實踐對于大多數私人組織來說仍然是可選的（對于許多有政府合同的組織來說是強制性的），但它們為制定強有力的網絡安全響應提供了極好的指導。通過采用策略和解決方案來解決上述每個框架類別，組織將會實現更好、更有效的安全實踐。

背景

美國國家標準與技術研究所(NIST)是一個非監管機構，其使命是促進美國的創新和工業競爭力，2013年受總統委托制定“降低關鍵基礎設施網絡風險的框架”。NIST 網絡安全框架(CSF)是政府和行業專家共同努力的結果，該框架于2014年首次發布，2018年進行了修訂，以符合現代網絡安全標準。

NIST 框架的主要目的是幫助組織開發一致的迭代方法，以識別、評估和管理網絡安全風險，其保護的關鍵基礎設施可能由規模、復雜性和技術能力各異的公共或私營部門組織控制，因此，NIST 設計的框架具有廣泛適用性。該框架的另一個優點是，它使用普遍適用的術語來幫助 IT 經理完成相關任務，如描述當前的網絡安全態勢、目標，識別并優先考慮改進的機會，評估網絡安全工作進展情況，向內外利益相關者告知網絡安全風險等。這種安全管理風險的綜合方法使 NIST 安全框架成為任何行業任何組織保護其基礎設施的較佳起點。

原文標題：Demystify the NIST Cybersecurity Framework      作者：Cam Roberson

鏈接：https://www.infosecurity-magazine.com/opinions/demystify-nist-cybersecurity/