安全框架需要联合进程

每当联邦政府主导的网络安全框架更新时，共识是需要一个协作更新过程，类似于初始开发过程，并尽量减少对当前行业使用的干扰。

2014年2月，NIST发布了行政命令13636所要求的网络安全框架。该框架的目标是最大限度地降低国家关键基础设施的风险，如交通、银行、水和能源部门。该行政命令指示NIST与全国各地的利益相关者合作，在现有网络安全标准、准则和最佳实践的基础上制定自愿框架。

NIST在2015年12月发布的《网络安全框架信息征询书》中，就如何使用该框架来改善网络安全风险管理、分享最佳实践以及框架的长期治理征求意见。

NIST网络安全框架项目经理马修·巴雷特(Matthew Barrett)说:“我们收到了来自不同群体的105条评论，其中包括地方、州和国际政府，关键基础设施社区的各个部门，以及许多其他类型的组织。”“这些回复实际上代表了数千家组织，因为大量行业组织代表其所有成员公司提交了评论。”

NIST在回答中确定了10个重复出现的主题，并提供了每个主题的解释，以及相关的关键术语和示例回答。

虽然对于是否很快就会进行框架更新的观点各不相同，但受访者一致认为需要一个协作更新过程，类似于初始开发过程，对当前行业使用的干扰最小，正如文件中所解释的那样。一些评论人士表示，重点应该是澄清框架的使用，特别是在供应链风险管理和使用实现层时。

受访者还讨论了框架和监管要求之间的关系。例如，受访者讨论了它可以使多个监管机构在监管过程中协调不同要求的可能性。但根据分析，受访者也呼吁，“要警惕监管可能会给他们的组织增加负担。”

其他主题侧重于分享关于框架使用和最佳实践的额外信息。受访者要求在框架实施方面提供更多指导，特别是针对中小型企业。会议的另一个主题是继续协调和统一网络安全标准的必要性。

评论人士对NIST目前的领导层感到满意，但希望在未来考虑过渡。共识是，未来的框架管家应该是一个受尊重的，国际公认的，和
中立的第三方组织。

巴雷特说:“这些评论为该框架的未来提供了强有力的投入，并表明使用该框架的组织数量正在增长。”

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

在线额外

下面是ISSSource关于网络安全的更多报道。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。