2024年2月，NIST發布其網絡安全框架（CSF 2.0）的更新指南。CSF 2.0的目標是闡明網絡安全風險的高級分類法，并指導企業如何改進其網絡安全計劃、應對網絡攻擊的措施以及攻擊后的效果。NIST的最新指南《網絡安全風險管理的事件響應建議和注意事項》于2025年4月發布，將CSF 2.0的通用指南細化為更具體的行動項目，供企業改進其網絡安全響應。

了解事件響應生命周期

最新指南提出了企業在規劃事件響應時應考慮的六項原則，以確保企業能夠識別、實施有效的應急方案，并隨時準備應對網絡威脅。NIST對這些原則的定義如下：

• 管理：建立、傳達和監控組織的網絡安全風險管理策略、期望和政策。
• 識別：識別和管理可能導致網絡安全事件的資產、漏洞和風險。
• 保護：實施保護資產和數據的安全措施，以管理組織的網絡安全風險。
• 檢測：主動發現并分析可能的網絡安全攻擊和危害。
• 響應：管理、確定優先級、控制和消除事件，同時向相關方報告和傳達事件。
• 恢復：恢復受網絡安全事件影響的資產和運營。

總的來說，這六個步驟旨在強調組織網絡安全協議的持續改進，以確保它們能夠隨著威脅的演變和變化而調整和增強其事件響應和網絡安全風險管理實踐。

定義事件響應管理的角色和職責

NIST報告強調，網絡安全響應團隊的規模需要比以往更加廣泛。此前，NIST推薦并支持“事件處理程序”模式，即公司內部設立專門的團隊來管理和響應網絡安全威脅。鑒于網絡系統的復雜性及其面臨的威脅，NIST建議擴大公司參與網絡安全事件響應流程的員工范圍，例如將公司領導層、法務團隊、技術專業人員、公共關系團隊和人力資源部門納入其中。NIST還建議事件處理程序團隊采用“責任共擔”模式，將網絡安全運營部分或全部外包給資源充足、專業的第三方，并在合同中明確約定其職責。NIST認為，這些措施將有助于公司更有效地應對和解決網絡安全事件，從而更好地保護其數據和資產。

重寫事件響應政策、流程和程序并使用劇本

NIST報告概述了企業在組織內部制定有效的事件響應政策、流程和程序時需要考慮的基本要素和建議。對于事件響應政策，NIST建議該政策應包含以下關鍵要素：管理承諾聲明、政策的目的和目標、政策范圍、事件和事故的定義、角色和職責、確定事故優先級的指南以及績效衡量標準。

流程和程序應與這些政策緊密結合，并應記錄應對網絡安全事件（尤其是最常見的事件和威脅類型）所需的技術和操作知識。NIST建議企業考慮將這些程序格式化為行動手冊，例如美國網絡安全基礎設施安全局 (CSA) 的《網絡安全事件和漏洞響應行動手冊》，以記錄其流程和程序，以便在整個組織內輕松復制和保持一致性。

NIST 報告最后提供了一個示例模板，公司可以使用它來幫助實施 NIST 的建議并使其網絡安全實踐適應CSF 2.0。