NIST CSF 网络安全框架
National Institute of Standards and Technology 发布的 Cyber Security Framework。自愿性框架,由标准、指南、最佳实践组成,帮组织管理网络安全风险。
不强制,但是事实标准 —— 美国政府机构、大企业、关键基础设施几乎都遵循。
CSF 2.0 的六大核心功能(Function)
| 功能 | 干啥 |
|---|---|
| Govern(治理) | 2.0 新增。建立 Security Governance |
| Identify(识别) | 知道你有什么 资产、什么风险 |
| Protect(保护) | 安全控制、培训、加固 |
| Detect(检测) | 出事了能不能发现?SIEM、监控、日志分析 |
| Respond(响应) | 发现后怎么处理?事件响应计划 |
| Recover(恢复) | 怎么恢复业务?备份、灾难恢复 |
为什么 NIST CSF 重要
- 共同语言 —— 跨行业、跨公司沟通时大家说同一套词
- 完整覆盖 —— 不仅是技术,还包括治理、流程、人员
- 可成熟度评估 —— 4 个 Implementation Tier(Partial → Risk Informed → Repeatable → Adaptive)
- 跟其他框架兼容 —— 跟 ISO 27001、CIS Controls、HIPAA 都能映射
- 免费 —— 不像 ISO 27001 要付费认证
跟其他框架的关系
- ISO 27001 —— 国际版,更适合认证导向的合规
- CIS Controls —— 更具体的技术控制清单(18 个 Controls)
- NIST CSF —— 中层”地图”,指导你怎么把战略落地到控制项
参见 Security Frameworks 了解框架选择。