根据总统的行政命令,各机构预计将开始使用 NIST 网络安让网络安全框架为您全框架 (CSF) 来识别、评估和管理网络安全风险。正如美国国家标准与技术研究所在开发 CSF 时指出的那样,它并非旨在取代现有流程。
NIST 表示:“组织可以使用其当前流程并将其叠加到 CSF 上,以确定其当前网络安全风险方法中的差距并制定改进路线图。”“利用 CSF 作为网络安全风险管理工具,组织可让网络安全框架为您以确定对关键服务交付最重要的活动,并确定支出的优先顺序,以最大限度地发挥投资的影响。”
CSF 的“识别”功能在向领导者传达网络安全投资的重要性以及确保这些投资符合机构的安全战略方面尤其有用。识别功能要求组织查看其网络安全企业的每个组成部分,包括服务器和网络等硬安全资产以及软件、数据和人员等软资产。此外,还鼓励机构解决治理、风险管理以及如何使用其工具来支持任务的问题。
“‘识别’功能为所有网络安全行动奠定了基础,
”赛门铁克战略专家 CISSP Ken Durbin 表示。“毕竟,只有你知道存在的东西才有可能得到保护。”
为了成功保护资产,机构必须首先确定企业中的每个组成部分。目标是确保每个方面(无论是人员、流程还是技术)都符合一定的标准,并修复不符合标准的领域。
根据最近对 116 名联邦雇员的调查,对于已开始实 加拿大cfo电子邮件列表 施 CSF 的机构而言,绝大多数(90%)都已探索过 NIST 框架的“识别”功能。为了更好地了解机构采用 CSF 的程度,GovLoop 与网络安全公司 Symantec 和 DLT 合作,从联邦工作人员那里获取反馈。
Durbin 看到如此多的机构采用识别功能,
他感到很惊讶,但这些数字并不令人惊讶。想让网络安全框架 通过不同的沟通方式教育买家为您想看,识别您拥有的硬资产和软资产(包括技术、人员和治理)的能力是强大网络安全的基础。如果不先了解构成企业的组成部分,您就无法制定战略,因此“识别”功能是提高安全性的第一步。“识别是五项功能中的第一项,这是有原因的,”他说。“其他一切都源于识别。”
但各机构缺乏的一个领域是利用 CSF 来证明网络工具的预算请求的合理性。56% 的受访者表示,他们的机构没有将 NIST 框架用于此目的,尽管这是其好处之一。
NIST 表示:“该框架提供了一种向业务合作伙伴和客户表达网络安全要求的方法,并有助于识别组织网络安全实践中的差距。”
成功实施“识别”功能可使机构走上以下道路:
• 确定企业的当前状态,找出差距并确定解决这些问题的途径
• 确定缓解优先事项
• 开发可靠且可重复的流程
• 满足所有利益相关者的需求
• 轻松管理复杂系统
• 创建与所有关键方沟通的方法让网络安全框架为您 当所有利益 印度号码 相关者都参与网络安全讨论并清楚地了解问题和解决差距的解决方案时,网络安全才能得到改善。