各位亲，祝安。

今天偶然与前同事聊到网络安全框架2.0,故有此文。

NIST CSF的前世今生

2013年2月12日，美国总统签署了第13636号《增强关键基础设施网络安全性》（Improving Critical Infrastructure Cybersecurity）行政令，要求NIST与利益相关方合作，在现有标准、准则和实践的基础上，开发“网络安全框架”以减轻关键基础设施的网络安全风险。

2013年2月26日，NIST发布首个CSF信息请求（Request for Information，简称“RFI”），旨在通过收集信息，掌握相关标准在提高各行业网络安全方面的有效性。

2014年2月12日，NIST发布《改进关键基础设施网络安全框架》（the Framework for Improving Critical Infrastructure Cybersecurity）1.0版。该框架提供了创建、指导、评估或改进综合网络安全计划的结构。此次发布是美国网络安全史上具有里程碑意义的事件。至今，NIST仍在与相关行业协调发展CSF。

2014年12月18日，参众两院通过《网络安全增强法案》（Cybersecurity Enhancement Act），推动CSF的进一步实施。

2018年4月16日，NIST发布CSF 1.1版，1.1版与1.0版完全兼容，添加了更全面的身份管理和供应链网络安全管理描述。

2023年1月19日，NIST发布CSF 2.0概念文件，系统概述了NIST在制定时应考虑的一些重大和潜在调整，这些变化囊括了各界、各行业的广泛诉求。

2023年4月24日，NIST发布CSF 2.0核心讨论草案，力求征集利益相关方的反馈，从而更轻松有效地管理不断变化的网络安全风险。

2024年2月26日，美国国家标准与技术研究院（NIST）发布了网络安全框架（Cybersecurity Framework，CSF）的2.0版本，这是自2014年该框架发布以来的首次重大更新。

NIST CSF是什么

The NIST cybersecurity framework（CSF）由美国国家标准与技术研究院（NIST）创建的网络安全框架（Cybersecurity Framework，CSF），目的是为组织提供关于如何预防、检测和响应网络攻击的指引，包含了管理网络安全相关风险的标准、指南和最佳实践，能够与其他信息安全框架进行整合，从而迅速成为世界认可的安全评估框架，目前版本2.0。

NIST CSF包括什么

CSF网络安全框架主要包含三个部分：框架核心（CSF Core）、配置文件（CSF Profile）和实施层级（CSF Tier）。

一，框架核心（CSF Core）：提供了一套组织可以用来管理和降低网络安全风险的基本活动、结果和参考，框架核心包含一系列活动，可帮助组织实现特定的网络安全成果。

框架核心包含了六个功能（Function）：治理、识别、保护、检测、响应和恢复，提供了高层战略视角的网络安全风险管理生命周期。每个功能又被细分为不同类别（Categories）和子类别（Subcategories），并提供了相应的参考信息，如每个子类别适用的现行标准、指南和实践。参考信息用于说明实现某个子类功能的可行方法，或者是将指南或要求与某个子类功能对齐。这些内容来自当前标准、指南和实践的特定章节，可以是适用于各领域关键基础设施的通用内容，也可以是只针对某个特定行业领域的内容。需要注意的是，参考信息仅具有示范意义，并非全面详尽的指南手册，主要引用了框架开发过程中参考的行业指南，或者是合作伙伴在实施框架时使用的网络安全工具和资源。

六个功能分别为：

治理/GOVERN（GV）-建立并监督组织的网络安全管理战略、期望和策略。

识别/IDENTIFY (ID) -帮助确认组织当前面临的网络安全风险。

保护/PROTECT (PR) -实施相应的安全措施避免或减少网络安全风险。

检测/DETECT (DE) -发现和分析可能的网络攻击及安全事件。

响应/RESPOND (RS) -建立应急响应机制对确认的安全事件进行响应。

恢复/RECOVER (RC) -制定恢复策略及流程使网络安全事件影响的资产和运营及时恢复。

二，配置文件（CSF Profile）：利用核心部分定义的成效，描述组织当前或未来要达到的网络安全状态；

CSF的功能类别是一个可选清单，组织需要选择使用与其自身运营和风险状况最相关的功能。而框架配置是组织基于业务需求从框架类别和子类别中选择出来的成效清单。该配置文件实际上描述了在特定的实施场景中，企业组织将标准、指南和实践与框架核心匹配的过程。配置文件可用于组织内部或组织之间进行沟通，也可用于通过比较“当前”配置文件（即现状）与“目标”配置文件（即将来），来识别改进网络安全状况的机会。为了制定配置文件，组织可以审查所有的类别和子类别，并基于业务/使命驱动因素和风险评估，确定哪些成效最为重要。
三，实施层级（CSF Tier）：描述网络安全风险管理的成效等级，以指导配置的创建和设计。

上述4个层级描述了网络安全风险管理实践的复杂程度，有助于确定网络安全风险管理受业务需求影响的程度，并集成到组织整体的风险管理实践中。NIST虽然鼓励处于第1层级的组织向第2层级或更高层级迈进，但层级并不代表成熟度水平，而是旨在支持组织对网络安全风险管理进行决策，帮助组织识别不同网络安全活动的优先级和紧迫性，以获得更有效的外部资源。如果成本效益分析（Cost-Benefit Analysis, CBA）表明，组织降低网络安全风险是可行的且经济有效时，才鼓励组织进入更高的层级。当组织达成了目标配置文件中所描述的成效，它就成功实施了CSF。当然，在实施CSF过程中，组织对层级的选择和设定也会影响框架配置文件。

CSF 2.0的最新变化

CSF网络安全框架 2.0最新变化,主要有六个方面，包括应用范围变更、与现有标准和资源的衔接、CSF 2.0实施指南更新、强调网络安全治理的重要性、网络安全供应链风险管理、网络安全度量和评估。分别为：

一，应用范围变更：

1，修改CSF标题和文本。CSF 2.0将采用更广泛和常用的名称《网络安全框架》替换原名《提升关键基础设施网络安全框架》。扩大了CSF 2.0的应用范围，提升框架文本的适用性。CSF核心中关键基础设施的类别和子类别也将得到扩展，该变化不是为了削弱与关键基础设施组织的相关性，而是为了促进更广泛的使用。

2，扩大CSF适用范围。自CSF 1.1发布以来，美国国会已明确要求NIST在CSF中考虑小型企业和高等教育机构的网络安全需求。（各位亲，看着是不是很熟悉？）

3，加强国际合作和参与。国际合作和参与是CSF 2.0更新的一个重要主题。自2013年启动CSF以来，许多组织已明确表示CSF能够提高其网络安全工作的效率和效果。CSF 1.1常被一些国家在制定战略、政策和指南时所引用，一些国家认为应强制其公共和私营部门使用该框架。作为CSF 2.0开发的一部分，NIST将通过机构间合作，优先考虑与外国政府和行业展开深入交流，使CSF成为国际资源。此外，NIST将深入参与CSF的国际标准活动，并将其作为优先战略，持续参与国际网络安全风险管理标准和指南的编制修订，增加这些文件与CSF之间的联系。

二，与现有标准和资源的衔接

1，保留当前CSF的详细程度。NIST征集的意见反馈表示，CSF的关键属性（包括灵活、简单和易用的性质）对不同规模、类型和行业的组织的实施都有裨益，因此NIST将保持CSF 2.0版本的详细程度和具体水平，以确保CSF在组织内的可扩展性和灵活性。

2，将CSF与NIST其他文件关联。NIST与网络安全和隐私相关的其他文件包括：风险管理框架、隐私框架、国家网络安全教育劳动力框架和安全软件开发框架等。每个框架都侧重于特定的主题，且与CSF明确关联。因此这些框架将在CSF 2.0或配套材料（如映射）中作为指南被引用。

3，开发配套网络安全和隐私参考工具。CSF 2.0将通过NIST网络安全和隐私参考工具（CPRT）进行展示，提供一致的机器可读格式和用户界面，用于访问NIST网络安全和隐私标准、指南和框架中的参考数据，以更灵活的方法来描述标准、指南和框架以及各种应用和技术之间的关系。

4，使用可更新的在线信息参考资料。CSF 1.1核心确定了一系列广泛的网络安全结果，这些结果关联到现有的、被广泛接受的网络安全标准、指南和实践中，以提供额外的实施指南。在CSF 2.0中，NIST将转向使用通过CPRT展示在线、可更新的参考资料。自CSF 1.1发布以来，除了CSF 1.1核心中包含的资源外，还有一些资源被映射到CSF中，例如，NIST SP 1800《网络安全实践指南》系列。

5，为实施CSF提供更多指导。NIST将与社区合作，鼓励并促成支持CSF 2.0映射的产生。通过使用参考资料，CSF可以映射到具体资源以提供额外指导，例如用于保护受控非机密信息、云计算、物联网（IoT）和操作技术（OT）网络安全、零信任架构（ZTA）等的安全。此外，还可以在功能和类别级别映射CSF 2.0，支持CSF与其他资源的连接。

6，保持技术和供应商中立。CSF 2.0将继续保持技术和供应商中立，通过审查CSF的技术描述和实现细节，使其结果能够继续被广泛利用。针对特定技术或应用，通过定制CSF样本配置文件、特定标准或指南的映射或实施示例来完成。例如，CSF和零信任架构（NIST SP 800-207）原则之间的映射。在网络安全态势方面，CSF 2.0将扩大CSF响应和恢复功能中对结果的考虑，增加与《计算机安全事件处理指南》的一致性，以及如何充分利用《网络安全事件恢复指南》。在身份管理方面，NIST正在修订数字身份指南（NIST SP 800-63），探讨CSF在身份管理、认证和访问控制类别（PRAC）的更新。更新包括潜在子类别的重新排序，以更清晰的反映数字身份模型的组成部分和数字身份生命周期的各个阶段。

三，CSF 2.0实施指南更新

1，添加CSF子类别的实施示例。CSF 2.0将包括简明、面向行动的流程和活动的概念性实施案例，以帮助实现CSF子类别的结果。概念性示例已成功应用在其他NIST框架文件中，例如，《安全软件开发框架》和《人工智能风险管理框架行动手册》草案。通过增加实例来扩大和改进CSF的实施指南有助于澄清每个子类别的含义和意图，并在CSF核心中为不熟悉信息参考资料和网络安全标准细节的人员提供实施理念。

2，制定CSF概要文件模板。NIST将为CSF配置文件生成一个可选的基本模板，其中包括应考虑的格式和领域建议。组织可根据其具体需要继续使用不同的配置文件格式。目前，NIST已经为几个特定部门制作了概要范例，这使得组织更容易将CSF付诸实践。

3，改进CSF网站突出实施资源。NIST的CSF网站包含大量关于实施CSF的附加指南。NIST将更新CSF网站，删除过时资源并增加最新资源，并在CSF 2.0更新过程中滚动更新。

四，强调网络安全治理的重要性

1，增加新的治理功能。CSF 2.0将增添一个新的“治理”功能，强调网络安全风险管理的治理效果。网络安全治理可以包括确定组织、客户和社会层面的优先级和风险承受能力、网络安全风险和影响评估、网络安全政策和程序，以及对网络安全角色和责任的理解。CSF 2.0中新的“治理”功能将为其他功能提供信息和支持。NIST表示治理结果将为当前各功能的优先顺序和实施提供信息。此外，NIST还将审查其他技术框架，以考虑相关类别是否适用于CSF 2.0。例如，此次审查将包括NIST隐私框架中的政府类别、网络风险研究概况、NIST信息和通信技术风险草案（SP 800-221A）以及人工智能风险管理框架（草案）等。

2，改善对风险管理关系的讨论。NIST还借助对治理的深入讨论和修订，试图澄清CSF概要和核心中治理和网络安全风险管理之间的关系。CSF 2.0将描述基本风险管理流程将如何识别、分析、确定优先级、应对和监测风险，CSF结果将如何支持风险应对决策（接受、缓解、转移、避免），以及可用于支持CSF实施的各种风险管理流程示例（例如ISO 31000风险管理框架）。

五，网络安全供应链风险管理

1，扩大供应链覆盖范围。NIST征求的反馈意见普遍认为供应链和第三方网络安全风险是各组织所面临的首要风险。供应链网络安全也是CSF 1.1更新的主要内容之一。根据总统行政令“美国加强国家网络安全行政令”（EO 14028）等制定的指南，CSF 1.1增加了CSF“供应链风险管理”（ID.SC）类别；扩展了第3.3节“与利益相关方沟通网络安全要求”，以更好地理解供应链风险管理；增加了新的第3.4节“采购决策”，以强调使用该框架来理解与现有产品和服务相关的风险；并将供应链风险管理标准纳入CSF层级。

鉴于全球化、外包和技术服务（如云计算）使用面的扩大，CSF 2.0应明确组织识别、评估和管理第一和第三方风险的重要性。NIST认为CSF 2.0应包括提供额外指导和帮助组织解决各种风险。目前，NIST考虑的方案包括：1）进一步整合CSF核心功能的输出（整合可能包括单独的供应链或作为更广泛成果的一部分）；2）创建一个新的功能，重点关注与供应链风险管理的监督相关的结果；3）在识别功能中的ID.SC类别中扩展供应链风险管理的内容。

2，开发并更新安全软件开发框架。自CSF 1.1发布以来，NIST已经开发了安全软件开发框架，并根据总统行政令“改善国家网络安全”（EO 14028）等进行了更新，这也将作为网络安全供应链风险管理结果的一部分。

六，网络安全度量和评估

1，阐明利用CSF如何支持对网络安全计划的度量和评估。CSF 2.0将利用CSF使得各组织在度量和评估工作结果方面采用通用的分类法和词汇表，而不考虑基本的风险管理流程。网络安全度量和评估的主要目标是确定组织对网络安全风险的管理程度，以及如何持续改进。支持度量和评估的活动（从系统级到整个组织）是确定成熟度和支持风险管理决策的重要依据。

2，提供使用CSF进行度量和评估的示例。每个组织的风险、优先事项和系统都是独特的，因此，CSF对结果的度量和评估也因环境不同而不同。NIST不会在CSF 2.0中提出单一的评估方法，而将包括：组织如何使用CSF来评估和沟通其网络安全能力的示例；组织如何利用CSF，结合风险管理战略和成熟度模型，传达关于其网络安全有效性问题的答案的示例。（这些问题包括：向非网络安全受众传达组织网络安全态势的最佳方式是什么？该组织的网络安全成熟度是否在提高？该组织在哪些方面需要改进？该组织如何理解其在整体网络安全态势以及各系统中的整合？）

3，更新NIST的信息安全绩效评估指南。NIST正在更新度量类指导文件《信息安全性能度量指南》（SP 800-55r2），为各组织提供指导以改善网络安全计划或信息系统决策、绩效和问责制。该指南适用于多种网络安全计划活动的度量。此外，网络安全度量流程和实施的基本原理将不包含在CSF中，而是包含在NIST SP 800-55中。

4，为框架实施层提供额外指导。CSF层为组织提供了一个机制，用以查看和了解其对网络安全风险的处理方法以及为管理该风险而制定的程序和方案。这些层级在描述整体网络安全风险管理实践方面具有高严谨性和复杂性，网络安全风险管理实践包括：风险管理流程、风险管理计划集成以及对更广泛的网络安全生态系统的积极参与。征求的意见反馈表明，各组织正在按初步设计的各种方式和目的灵活地实施层级。例如，帮助设定内部目标和确定具体网络安全能力的优先级、传达组织网络安全态势、帮助衡量网络安全计划的成熟度，以及在CSF功能、类别和子类别层面实施CSF成果等。

总结

NIST网络安全框架（The NIST Cybersecurity Framework，CSF）协助各类组织建立、改进和管理网络安全策略，以加强网络安全防御和响应能力。通过采用或借鉴该框架，组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应，从而构建更加坚固网络安全防线。

参考链接：

https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

https://csrc.nist.gov/presentations/2023/csf-2-0-update