NIST Cybersecurity Framework (CSF) 2.0于2024年2月正式发布。
CSF 2.0由以下组成部分组成:
CSF Core:
提供了一套组织可以用来管理和降低网络安全风险的基本活动、结果和参考
框架核心包含一系列活动,可帮助组织实现特定的网络安全成果
-
框架核心由四个要素组成:
- 功能(Functions),共6个,即治理(Govern)、识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)和恢复(Recover)
- 类别(Categories),功能的下级项目,共22 个
- 子类别(Subcategories),类别的下级项目,共106个
-
参考资料(Informative References)
Structure of CSF Core
CSF Organizational Profiles
- 以CSF Core的产出为基础,描述组织当前和/或目标网络安全状况,帮助组织将网络安全措施与组织的业务需求和风险管理策略进行“对齐”
个人感觉与ISO15408(Common Criteria, CC)中的保护轮廓的意义有点像 -
是指导和评估组织网络安全建设的重要工具
Creating and Using Organizational Profile
CSF Tiers
-
应用于CSF组织配置文件,以描述组织的网络安全风险治理和管理实践的严格程度,分了四个级别,其实也就是成熟度咯
CSF Tiers
系列学习笔记预告
准备花两个月先把CSF 2.0的Core部分啃了,顺手做下笔记,顺序摘录并翻译框架核心内容,以子类别(Subcategories)为单位输出,并从评估的角度出发来考虑“网络安全成果”到底该有些啥。
