NIST Cybersecurity Framework (NIST CSF) 已在2024年2月發布最新版的v2.0 (目前NIST官網有提供中文版可供下載),針對有意想申請轉版或新驗證的組織,可參考以下的文章。
NIST Cybersecurity Framework (NIST CSF) 最早是在2014年2月,由美國白宮所發布的總統命令,要求美國聯邦機構和地方政府需依據美國國家標準暨技術研究院 (NIST) 所提出的網路安全框架 (CSF),藉此來強化關鍵基礎設施的安全。(老文章請見 https://jackforsec.blogspot.com/2014/11/blog-post.html )
時至今日,NIST CSF 經過在2018年更新為 v1.1,到了2024年則升級為最新的 v2.0,可以應用實施的對象,也不再只侷限於關鍵基礎設施,而是適用於各行各業,只要有心想強化網路安全 (Cybersecurity) 的組織,都可以應用這個框架,相關文件也可以直接免費從 NIST 的官網 ( https://www.nist.gov/cyberframework ) 來下載。
新版主要的改變
除了適用的對象更廣泛之外,NIST CSF v2.0 最大的改變是在框架核心 (Framework Core) 中,從原本的五個功能:識別 (Identify)、保護 (Protect)、偵測 (Detect)、回應 (Respond) 及復原 (Recover) 之外,再加入了「治理 (Govern)」,成為了具有6大核心功能和85個控制措施 (Subcategories) 的好用工具,並且也將原先導入實施的7個步驟,再簡化成為5個。
基本上,NIST CSF 不是用來取代組織已實施的任何安全標準,而是希望和既有的管理體系和控制措施相結合,讓組織自訂想要達成的層級目標 (Tier 1 to Tier 4),逐步提升能力來管理所面臨的網路安全風險 (Cybersecurity Risks)。如果組織本身已建立ISMS並取得ISO 27001的證書,在驗證範圍內業已實施了NIST CSF,還可以向第三方的驗證機構 (BSI) 申請驗證以取得獨立的一張 NIST CSF 的證書。
轉版與驗證注意事項
目前,針對想要新驗證和既有已獲得證書的組織,有以下事項可供做參考:
1. 舊版 NIST CSF 的證書 (v1.0 or v1.1) 從今年3月起算有二年的轉換期。
2. 持有舊版 NIST CSF 證書的組織,最晚在2027年3月1日之前要完成轉版的稽核,否則證書就會失效了。
3. 還想驗證舊版 NIST CSF 的組織,最晚要在明年2月底前完成,因為在2026年3月1日之後,就只能申請驗證 NIST CSF v2.0 了。
.png)
沒有留言:
張貼留言