NIST網絡安全框架

NIST網絡安全框架（NIST Cybersecurity Framework）是一套用來緩釋组织網路安全風險的指南，是美國國家標準技術研究所（NIST）以現有的標準、指南以及實務所基礎所訂定的指南^[1]。此框架「針對網路安全的產出有高層次的分類，並且有方法可以評估並管理這些產出。」^[2]，而且在網路安全的內容中，加入了個人資訊以及公民自由的保護^[3]。此框架已翻譯為多國語言，是許多政府^[4]、企業及組織使用的標準^[5]^[6]^[7]。

2016年美國安全框架導入研究指出，受訪的組織中，有70%認為NIST網絡安全框架是資訊科技電腦安全中最受歡迎的最佳實務，但也有許多受訪者表示這需要相當大金額的投資^[8]。

簡介

NIST網絡安全框架是為企業及組織所設計，便於評估其所面對的風險。

美國國家標準技術研究所在2014年發佈了1.0版，原本是針對重要基礎設施的運營者。2017年時公開了1.1版的草稿，請求各方提供意。1.1版在2018年4月16日公佈，其內容仍和1.0版相容。

1.1版和1.0版的差異包括加入有關組織自我評估的指引、有關供應鏈風險管理（英语：Supply chain risk management）的細節、和供應鏈利害關係人互動的指引，以及鼓勵漏洞披露的流程。

網絡安全框架可以分為三個部份：框架核心（Framework Core）、框架輪廓（Framework Profile）及框架實施層級（Framework Implementation Tiers）。框架核心（Framework Core）包括許多和網路安全面向及作法的活動、成果以及參考資料。框架實施層級（Framework Implementation Tiers）是讓組織和其夥伴澄清他們如何看待網路安全風險，以及其管理做法的落實程度^[9]。框架輪廓（Framework Profile）中有許多網路安全的產出，組織可以依其需要以及風險評估的結果，在分類及子分類中選擇需要的產出。

組織一開始會用網絡安全框架來發展目前概況（Current Profile），會說明目前的安全活動以及想要達到的產出，接著會發展目標概況（Target Profile），或是依其產業區塊（例如基礎設施產業）或是組織種類所剪裁的基線概況，後續則要定義從目前概況轉換到目標概況所需的步驟。

近期的研究指出，NIST有能力針對基礎設施產業以及私營部門來調整網路安全標準，特別是那些還沒有網路安全標準的產業。研究也指出NIST在網路安全上的潛力不只可以影響美國，是可以帶來國際性的影響，因此可以產出較好的標準，幫助跨國經營的企業，也讓網路世界更加的和平^[10]。

安全活動的功能以及分類

NIST網絡安全框架將其核心內容組織成5個功能，可以再細分為23個分類。每一個分類中，定義了許多包括安全活動產出以及安全控制的子分類，子分類共有108個。

每一個子分類中，也有提供信息資源，參考了其他資訊安全法規的特定章節，例如ISO/IEC 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443及網路安全關鍵安全控制委員會（CCS CSC，目前由網際網路安全中心（英语：Center for Internet Security）管理）。這些資訊安全法規中，只有NIST SP是免費的，其他都需要付費加入會員，或是購買特定法規，才能看到對應的指引。這個框架的成本以及複雜性讓參眾議院提出法案，要求NIST創建中小型企業可以使用的網絡安全框架^[11]^[12]。

以下是框架文件中提到的功能和分類，以及唯一辨識碼和定義^[13]。

識別

「發展組織有關系統、資產、資料、能力的網路安全風險管理的認知。」

資產管理（ID.AM）：識別出可讓組織達成其商業目的資料、人員、設備、系統及設施，依照這些在商業目標上的相對重要性，以及組織的風險策略，對上述資產進行管理。
商業環境（ID.BE）：瞭解組織的使命、目標、利益相關者以及活動，並且排先後順序。此一資訊可以用來告知在網路安全的角色、責任以及風險管理的決策。
治理（ID.GV）：瞭解組織用來管控監理單位、法令、風險、環境及運作等需求的政策、程序以及流程，並且告知網路安全風險的管理。
風險評估（ID.RA）：組織瞭解有關組織營運（包括使命、功能、形象及聲譽）、組織資產以及人員的網路安全風險
風險管理策略（ID.RM）：組織建立有關營運風險決策的優先順序、限制、允許風險以及假設。
供應鏈風險管理（ID.SC）：組織建立有關供應鏈風險管理決策的優先順序、限制、允許風險以及假設。組織也已有識別、評估及管理供應鏈風險的流程。

防護

「發展及實施適當的安全措施，確保關鍵基礎服務以及正常運作。」

存取控制（PR.AC）：只允許有授權的人員、流程或是設備才可以存取資產及相關設施，並且其活動或交易也要經過授權。
意識和訓練（PR.AT）：組織的人員和上下游廠商都需要有資安意識教育訓練，並且使用可以進行和資料安全相關的責任及義務，和相關的政策、流程以及協議一致。
資料安全（PR.DS）：管理資訊以及紀錄的方式，和組織保護資訊機密性、完整性及可用性的風險策略一致。
資訊保護程序和流程（PR.IP）：組織已有安全政策（其中有提到目的、範圍、角色、責任、管理承諾以及組織間的合作）、流程及程序，用來管理資訊系統及資訊資產的保護。
維護（PR.MA）：以和安全政策和流程一致的方式，維護或修理工業控制或是資訊系統的元件。
保護技術（PR.PT）：管理技術安全方案，確保系統及資產的安全及強健性，並且和相關的政策、程序及協議一致。

偵測

「發展及實施可以識別網路安全事件發生的活動。」

異常及事件（DE.AE）：可以及時的偵測到異常活動，並且瞭解事件的潛在影響。
安全持續監控（DE.CM）：定期監控資訊系統以及資產，以識別網路安全事件，並且驗證保護措施的效果，
偵測流程（DE.DP）：維護偵測流程及程序，並且經過測試，確保可以及時、適當的告知有異常事件。

回應

「發展及實施活動，針對已偵測到的網路安全事故進行因應。」

回應計劃（RS.RP）：執行及維護回應流程和程序，確保對偵測到的網路安全事故可以及時回應。
溝通（RS.CO）：回應計劃和內部和外部的利益相關者一起進行，若合適的話，也可以包括執法單位的外部支援。
分析（RS.AN）：分析的目的是要確保有進行適當的回應，並且分析也可以支持復原活動。
緩釋（RS.MI）：進行此一活動來避免事件的擴大、緩釋其影響、並且根除該事故。
改進（RS.IM）：透過整合歷來偵測活動或回應活動中累積的經驗教訓，提昇組織的回應活動。

復原

「發展及實施活動，維持組織的韌性計劃，復原所有在網路安全事故中受損的能力或是服務。」

復原計劃（RC.RP）：執行及維護復原流程和程序，確保因網路事件影響的系統或資產可以及時的恢復。
改進（RC.IM）：透過整合經驗教訓，提昇復原流程和程序，以因應未來的活動。
溝通（RC.CO）：復原計劃和內部和外部的單位一起進行，例如網路危機處理暨協調中心、網路服務提供者、發起攻擊系統的所有者、受害者、其他電腦資安事件應變小組、以及供應商。

改版至CSF 2.0

NIST網路安全框架會持續更新及改善，以加入網路安全的新技術以及新威脅，也整合現有的最佳實務以及經驗教訓。自從2018年發佈CSF 1.1版後，利益相關人就有提出意見，認為框架需要更新。NIST在2022年2月提出了有關CSF改善意見的資訊需求書，並在2023年1月發佈了概念書，說明計劃在網路安全框架中會進行的變更。NIST後來在在2023年11月4日發行「Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples」，請大眾提出意見^[14]

主要變更

以下是從1.1版變更到2.0版的主要變更^[15]：

框架的名稱改成「網路安全框架」。也更新框架的範圍，以反映大部份使用此網路的組織特性。
加入了實施的例子，讓使用者要達到CSF的子分類時，可以有實務且行動導向的流程。此外，框架輪廓也已更新擴充，以說明此輪廓多樣化的目的。
新增加了一個功能「治理」，提供組織相關的內容，也有要開發網路安全治理模式需要的角色和責任，其中也有一個專門針對網路安全供應鏈管理的分類。
更新的內容也有較多有關網路安全評估的資訊，較強調有關安全的持續改善，在「識別」功能中新增了「改善」的分類。

參考資料

本条目引用的公有领域材料来自國家標準技術研究所的文档《NIST Cybersecurity Framework》。

^ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei. Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 2020-01-01, 6 (tyaa005). ISSN 2057-2085. doi:10.1093/cybsec/tyaa005 .
^ Achieving Successful Outcomes With the NIST Cybersecurity Framework. GovLoop. [2021-06-12]. （原始内容存档于2023-10-23）（美国英语）.
^ HealthITSecurity. HIMSS: NIST Cybersecurity Framework Positive, Can Improve. February 10, 2016 [2016-08-02]. （原始内容存档于2023-10-24）.
^ NIST Cybersecurity Framework.
^ Workshop plots evolution of NIST Cybersecurity Framework. FedScoop. April 7, 2016 [2016-08-02]. （原始内容存档于2024-05-12）.
^ HealthITSecurity. NIST Cybersecurity Framework Updates, Clarification Underway. June 10, 2016 [2016-08-02]. （原始内容存档于2023-10-24）.
^ PricewaterhouseCoopers. Why you should adopt the NIST Cybersecurity Framework. [2016-08-04]. （原始内容存档于2017-03-28）.
^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. Information Week Dark Reading. March 30, 2016 [2016-08-02]. （原始内容存档于2021-04-19）.
^ Justin Seitz. Black Hat Python: Python Programming for Hackers. No Starch Press. 2021-04-14 [2023-12-21]. ISBN 978-1718501126. （原始内容存档于2021-08-26）.
^ Toward a Global Cybersecurity Standard of Care?: - ProQuest. www.proquest.com. [2023-11-10]. ProQuest 1704865080 （英语）.
^ MAIN STREET Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. （原始内容存档于2023-10-23）.
^ NIST Small Business Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. （原始内容存档于2023-10-19）.
^ National Institute for Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. NIST (Gaithersburg, MD). 2018-04-16. doi:10.6028/nist.cswp.04162018 .
^ The NIST Cybersecurity Framework 2.0. NIST. [20 October 2023]. （原始内容存档于2024-05-20）.
^ Public Draft: The NIST Cybersecurity Framework 2.0 (PDF). NIST. [20 October 2023]. （原始内容存档 (PDF)于2024-05-05）.