美国《网络安全框架》2.0概念文件研究

为增强美国关键基础设施的韧性,奥巴马政府于2013年2月颁布了第13636号行政令《增强关键基础设施网络安全》。该行政令要求制定一个自愿实施的网络安全框架,旨在提供一个“具有优先级的、灵活的、可重复使用的、成本效益比高的方法”来管理关键基础设施的网络安全风险。为此,美国国家标准与技术研究院(NIST)于2014年发布了《改善关键基础设施网络安全框架》(CSF)。该框架是全球范围内关键基础设施网络安全保护采用最广泛的安全框架之一,为美国和其他国家各行业的机构、组织建立并提升其网络安全能力提供了重要参考。框架发布后,NIST广泛听取各界意见,于2023年1月发布了《网络安全框架2.0概念文件》(以下简称“概念文件”),并提出拟于2024年冬发布CSF框架2.0版本。概念文件在提出新的框架设计原则与思路的同时,也明确将扩展其拟应用范围,从面向关键基础设施扩展至面向政府、产业和学术界的各类组织。概念文件的发布意味着美国政府与相关部门对网络空间安全的治理有了新的认识与见解。