安全框架的使用正在稳步增长

2014年，美国国家标准与技术研究院(NIST)发布了一份文件，旨在帮助管理银行和能源供应等关键国家基础设施的组织加强网络安全。

经过一年与业界的密切合作，网络安全框架现在被各种各样的公共和私人公司和组织使用。

奥巴马总统发布的第13636号行政命令要求NIST与利益相关者合作，在现有网络安全标准、准则和实践的基础上制定一个自愿框架，以降低国家关键基础设施的风险。通过全国范围内密集的会议日程安排，NIST召集了来自各行各业的大大小小的组织，在短短一年时间内形成了这个框架。

框架一发布，NIST团队就开始在美国和国际上传播如何帮助组织管理网络风险。根据信息技术研究公司高德纳(Gartner)的数据，目前有30%的美国组织在使用该框架，到2020年，这一数字将达到50%。

大学和其他组织也依赖它的指导。除了其他国家的私人组织，意大利等其他政府也将其作为国家网络安全指导方针的基础。

根据金融服务部门协调委员会(FSSCC)的一份报告，该框架作为“罗塞塔石碑”，帮助翻译特定行业的风险管理术语，并“在各个行业之间围绕各种风险管理术语和短语建立共识”。

FSSCC的报告还指出，“首席信息安全官一直在使用它来交流想法，并实现各种网络安全举措的‘买入’。在外部，机构正在使用它向非部门供应商和第三方传达期望和要求。”

该框架是一种基于风险的网络安全管理方法，其基础依赖于NIST十多年来在网络安全方面的指导和国际标准。该框架的核心思想——识别、保护、检测、响应和恢复——帮助用户评估他们的网络风险并制定管理计划。它可以指导企业在考虑可能适用于其特定行业的任何法规或标准的情况下，确定自己选择的网络控制措施。

NIST网络安全框架项目经理马特·巴雷特(Matt Barrett)说，该文件也是“商业意识和网络逻辑的结合”。他说，当所有高层管理人员都了解风险时，网络安全最终可以适当地纳入商业决策。“它允许组织选择适合其特定风险水平和任务或业务需求的控制和流程。”

用户和网络安全相关组织正在通过他们自己的出版物和教育工作来帮助推广该框架。

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

在线额外

下面是ISSSource关于网络安全的更多报道。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。