合规与框架
NIST 网络安全框架
别称: NIST CSF, 网络安全框架
定义
由美国国家标准与技术研究院发布的自愿性、基于风险的框架,将网络安全目标分为六大核心功能。
NIST 网络安全框架(NIST CSF)是一套被广泛采用的自愿性指南,最初于 2014 年发布,并于 2024 年发布了重大更新的 2.0 版本。该框架将网络安全目标划分为六大核心功能——治理、识别、保护、检测、响应和恢复,每一功能下又分为类别和子类别,并映射到 NIST SP 800-53、ISO/IEC 27001、CIS Controls 等成熟控制。框架行业中立,适用于任何规模的组织评估当前状态、设定目标画像并确定改进优先级。虽然源自美国,但全球范围内被广泛使用,并常与各地区法规进行对照映射。
示例
- 医院使用 CSF 2.0 将其网络安全计划与同行进行基准比较。
- 厂商将其产品能力映射至「保护」和「检测」功能。
相关术语
NIST SP 800-53
NIST 发布的安全与隐私控制综合目录,适用于美国联邦信息系统及众多私营部门采用者。
NIST Risk Management Framework
NIST Risk Management Framework — definition coming soon.
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
CIS Controls
由 Center for Internet Security 维护的优先级排序的最佳实践网络安全控制集,用于防御最常见的网络攻击。
安全控制
用于预防、检测或应对针对信息资产威胁的技术、管理或物理保障措施。
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。