NIST网络安全框架CSF 2.0发布一周年:新资源与实施指南

本文详细介绍了NIST网络安全框架CSF 2.0发布一周年的最新进展,包括新发布的资源、框架映射工具、勒索软件风险管理指南,以及国际翻译成果和系列网络研讨会安排,帮助各类组织提升网络安全防护能力。

庆祝CSF 2.0发布一周年

2025年2月26日

自NIST网络安全框架(CSF)2.0发布以来已满一年!为了让提升安全状况变得更加容易,本博客将:

  • 分享新的CSF 2.0资源;
  • 回顾一些您可能错过的资源和应用;
  • 强调您参与我们工作的方式,帮助我们协助您实施更好的网络安全。

过去一年中,NIST的主题专家持续扩展CSF 2.0实施资源,以帮助您保护企业安全。利益相关者是NIST网络安全和隐私计划的重要推动力。我们要感谢所有向NIST提供直接反馈、实施CSF或推广CSF及其资源的组织和个人,帮助各类规模和行业的组织提升网络安全状况。

2025年有哪些新内容?

CSF团队很高兴宣布新增资源,旨在为不同受众提供定制化路径,使用CSF 2.0实施更强的网络安全状况,使框架更易于落地。

确保网络安全风险管理支持组织使命和目标

CSF 2.0的一个主要更新是关注网络安全治理,强调通过企业风险管理(ERM)确保网络安全能力支持更广泛使命的重要性。NIST IR 8286系列出版物帮助从业者更好地理解网络安全与ERM之间的密切关系。这些出版物已更新以更紧密地对齐CSF 2.0和其他更新的NIST指南,其中三份目前正在征求公众意见:

  • NIST IR 8286,《整合网络安全和企业风险管理》— 查看出版物并提交评论,截止日期为2025年4月14日。
  • NIST IR 8286A,《识别和估算企业风险管理的网络安全风险》— 查看出版物并提交评论,截止日期为2025年4月14日。
  • NIST IR 8286C,《为企业风险管理和治理监督分阶段网络安全风险》— 查看出版物并提交评论,截止日期为2025年4月14日。

最近更新的NIST IR 8286系列其他出版物包括:

  • NIST IR 8286B,《优先处理企业风险管理的网络安全风险》
  • NIST IR 8286D,《使用业务影响分析指导风险优先排序和响应》

让从业者更轻松地使用多个NIST框架

映射工具可帮助从业者减少使用多个框架管理网络安全风险所需的时间和精力。

对于使用CSF 2.0并实施风险管理计划以满足《联邦信息安全现代化法案》(FISMA)要求的用户,NIST发布了NIST SP 800-37《信息系统和组织风险管理框架:安全和隐私的系统生命周期方法》(RMF)与CSF 2.0的映射草案。查看详情。

对于希望将CSF 2.0与网络安全劳动力工作连接的用户,NIST发布了与NIST特别出版物800-181修订版1《网络安全劳动力框架》相关的v1.0.0 NICE框架组件与CSF 2.0的映射。查看详情。

提升应对持续勒索软件威胁的能力

勒索软件可以攻击任何行业、任何规模的组织。2025年1月13日,NIST国家网络安全卓越中心(NCCoE)发布了NIST跨机构报告(NIST IR)8374修订版1《勒索软件风险管理:网络安全框架2.0社区配置文件》的初始公开草案,帮助组织评估应对勒索软件威胁的准备情况,减轻勒索软件事件的潜在后果,并制定勒索软件应对手册。查看出版物并提交评论,截止日期为2025年3月14日。

支持全球美国盟友建立更强的网络安全状况

由于广泛的国际使用,除了当前的CSF 2.0翻译外,额外的CSF 2.0资源已翻译成多种语言,包括法语、葡萄牙语和西班牙语,预计未来会有更多。查看我们2024年12月的网络安全洞察博客,了解我们近期的国际网络安全和隐私工作。

NIST文档的翻译有助于在全球范围内扩展我们的网络安全和隐私资源的使用,并帮助提升美国公司在全球市场的参与度。

想继续学习吗?

注册CSF 2.0网络研讨会系列

CSF团队将在2025年启动CSF 2.0网络研讨会系列,深入探讨特定CSF 2.0主题,提供实用、可操作的信息和资源,帮助组织使用CSF 2.0更好地管理网络安全风险。计划中的网络研讨会包括:

  • 2025年3月20日(下午2:00 - 3:00 EST):实施CSF 2.0——原因、内容和方法。在此注册。
  • 2025年5月20日(下午2:00 - 3:00 EST):深入探讨CSF 2.0治理功能。保存日期!注册将在未来几个月开放。
  • 2025年8月20日(下午2:00 - 3:00 EST):深入探讨CSF 2.0勒索软件配置文件。保存日期!注册将在未来几个月开放。

查看我们CSF 2.0活动页面上的所有即将举行和过去的活动。

回顾过去一年

对CSF团队来说,这是忙碌的一年。以下是您可能错过的一些额外更新:

  • NIST于2024年2月26日发布了CSF 2.0——这是自2014年创建以来NIST里程碑式网络安全指南的首次重大更新。CSF 2.0立即让数百万已使用CSF的美国组织能够更好地管理网络安全风险,有助于提升国家网络安全并保护联邦政府网络。
  • 与CSF 2.0一同发布的是一系列新资源目录,帮助实施者充分利用框架。CSF不是单一文档,而是一系列可操作资源的集合,帮助组织更好地理解、评估、优先排序和沟通其网络安全风险。
  • NCCoE启动了新的NIST框架资源页面,这是一个存储库,包含创建社区配置文件的指南和支持应用NIST框架的额外材料。多个组织已经联合发布了CSF 2.0社区配置文件,例如针对金融服务部门和电信行业的配置文件。
  • NIST小企业网络安全角落页面启动了CSF 2.0页面,展示针对小企业的CSF 2.0资源。
  • 在2024年10月的国家网络安全意识月期间,CSF团队宣布了CSF 2.0资源扩展,包括新视频、翻译、最终版快速入门指南和新的映射工具。
  • CSF 2.0成为NIST 20,000多份出版物中下载量最大的出版物,凸显了其受欢迎程度和使用情况。
  • CSF团队定期参与美国和全球的虚拟和现场活动,分享CSF 2.0资源并与利益相关者互动。
  • 由于广泛的国际使用,15种不同的CSF 2.0资源被翻译成法语、德语、韩语、波兰语、葡萄牙语和西班牙语。
  • 2024年4月24日,NIST在由安全技术研究所与网络安全政策和法律中心合作主办的首届网络政策奖中荣获生态系统冠军奖。该奖项表彰其努力导致对网络生态系统产生广泛结构和持久积极影响的个人、小组或组织。

保持参与

您可以通过多种方式与CSF团队互动,更深入地参与我们帮助各类规模和行业的组织改进网络安全风险管理的努力,包括:

  • 提交您的CSF 2.0资源。我们正在收集公开可用的CSF 2.0资源,以启动新的CSF 2.0贡献者库。资源可以包括但不限于:方法、方法论、实施指南、框架映射、案例研究、教育材料、CSF 2.0文档模板、CSF 2.0资源中心或CSF 2.0社区配置文件。提交后,您的资源将评估是否免费供他人使用、准确、全面,且不是产品或服务的广告。如果您希望您的免费资源被考虑纳入该页面,请发送电子邮件至cyberframework@nist.gov。
  • 订阅我们的电子邮件更新。通过电子邮件订阅页面注册电子邮件提醒。
  • 给我们发送电子邮件。将问题或评论发送至cyberframework@nist.gov。
  • 在X上关注@NISTcyber
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次