网络安全治理：企业必备指南

随着NIST网络安全框架2.0版本（2024年发布）将治理列为独立功能，网络安全治理已成为组织战略的核心组成部分。高级管理层、客户、商业伙伴及监管机构均期望将完善的网络安全治理程序嵌入组织整体安全策略中。

治理框架的战略意义

NIST CSF 2.0将治理定义为“确保组织网络安全风险管理策略、预期和政策建立、传达与监督”的基础功能。该框架强调：

• 治理是资产识别、风险评估、持续监控及事件响应等实践的基础
• 缺乏治理将导致风险管理程序存在严重缺陷，增加事件发生概率与负面影响

领导力的三大战略职责

1. 组织背景理解

• 关键依赖项（如供应商、技术系统、核心人员）
• 外部依赖关系（如客户、供应链伙伴、监管机构）

2. 风险管理策略制定

领导层需确立风险管理目标、风险偏好与容忍度，并负责：

• 确保网络安全策略关键要素落地实施
• 建立内外部风险沟通机制
• 识别可能带来效益的“正向风险”（机遇）

3. 政策审批与推广

网络安全政策应成为风险管理的核心。领导层通过审批政策并向全员强调其重要性，可显著提升组织对网络安全的重视程度。

治理核心实施领域

角色与责任分配

• 领导层需以身作则建立风险管理文化
• 明确所有网络安全职责并分配必要资源
• 将网络安全要求纳入人力资源活动
• 定期开展全员网络安全责任培训

持续监督机制

• 定期评审并改进风险管理策略
• 根据AI技术发展等新因素调整策略
• 依据既定指标评估风险管理绩效

供应链风险管理

将内部风险管理实践延伸至技术产品与服务提供商，具体包括：

• 定义供应商网络安全责任
• 在合同中明确安全要求
• 评估供应商及其产品服务风险
• 将供应商纳入事件响应计划

治理实施路线图

NIST CSF 2.0资源中心提供免费材料（包括快速入门指南和参考映射），建议企业：

1. 评估当前网络安全状况
2. 规划强化措施的高层行动
3. 参考框架提供的实施范例（如每年更新长短期的风险管理目标）

实施挑战与应对

网络安全治理实施需要：

• 投入大量资源重新定义策略、角色和责任
• 获得高层领导的坚定支持与全组织透明沟通
• 保持耐心采用分阶段实施（如供应链风险管理需与多个供应商协调）

结论

NIST CSF 2.0为组织提供了通用治理语言而非强制实施方式，使企业能在现有框架基础上规划治理活动。该框架既促进内部沟通，也加强外部协作，是构建网络安全治理体系的理想起点。

作者Karen Scarfone是网络安全专家，曾参与NIST CSF 2.0框架编写工作，曾任NIST高级计算机科学家。