是的,NIST网络安全框架(CSF)已经更新了。

最新版本是 NIST Cybersecurity Framework (CSF) 2.0,于 2024年2月26日 正式发布。
相较于前一个主要版本(1.1版,发布于2018年),2.0版本做了重大改进,主要体现在以下几个方面:
-
新增“治理”核心功能:原来的框架有5个核心功能(识别、保护、检测、响应、恢复),2.0版本新增了第6个功能——“治理(Govern)”,这使得网络安全不再仅仅是IT或安全团队的责任,而是上升到了企业、组织的治理和风险管理层面。
-
适用范围更广:2.0版本明确扩大了其目标受众,不再仅面向关键基础设施(如能源、金融、交通等),而是适用于所有组织,无论其规模、行业或网络安全成熟度如何,包括小型企业、学校、地方政府等。
-
提供实施示例和快速入门指南:为了方便不同能力水平的组织使用,NIST发布了配套的“快速入门指南”(Quick Start Guides),针对不同受众(如高管、实施人员等)提供具体建议。
-
更加强调供应链风险管理:2.0版本在“识别”和“治理”等类别中加强了对供应链安全风险(第三方的风险)的关注。
-
与隐私框架等的集成:新版框架更好地与NIST隐私框架等其他指南相集成,帮助组织同时管理网络安全和隐私风险。
- 旧版本:NIST CSF 1.1(2018年发布)
- 新版本:NIST CSF 2.0(2024年2月发布)
- 核心变化:新增“治理”功能,扩大适用范围,提供更多实施工具。
如果你的组织正在依据NIST框架进行网络安全建设或评估,建议尽快了解和采用CSF 2.0版本,NIST官方也提供了文档、教学视频和翻译版本(包括中文版),可以在其官网(nist.gov/cyberframework)获取。