2024年2月26日，美国国家标准与技术研究院（NIST）发布了网络安全框架（CybersecurityFramework，CSF）的2.0版本，这是自2014年该框架发布以来的首次重大更新。新版本的主要内容如下：（1）扩展适用范围：新版CSF面向所有类型的组织，包括从小型学校和非营利组织到大型企业和国家关键基础设施，无论其网络安全系统的复杂程度如何。（2）新增“治理”功能：CSF2.0版本增加了第六个关键功能—“治理”，以帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划中，强调网络安全是企业风险的主要来源，高级领导者应将网络安全与财务和声誉等其他风险一起考虑。（3）强化治理和供应链问题：新版本重点关注治理和供应链问题，并提供了丰富的资源以加速框架实施。（4）提供实施框架所需的大量工具和指导资源：NIST扩展了CSF的核心指导并开发了相关资源，以帮助用户充分利用该框架。这些资源旨在为不同的受众提供进入CSF的定制途径，并使该框架更容易实施。（5）供应链安全受到更多重视：CSF2.0整合并扩展了1.1版本中的供应链风险管理成果，并将其中大部分归入“治理”功能之下。（6）完善的参考工具、资料、指南和资源整合：CSF2.0版本提供了更新的“参考资料”，即现有的标准、指南和框架，以帮助充实网络安全框架包含的技术细节和步骤。（7）CSF2.0参考工具：新工具简化了组织实施框架的方式，允许用户以人类和机器可读的格式浏览、搜索和导出CSF核心指南中的数据和详细信息。（8）实施示例：为提供更实用的框架实施指南，CSF2.0还提供了“实施示例”。

（山东电子学会供稿）