| | 网站声明 | 注册
邮箱: js_wto@163.com
电话: 025-86500544
新闻资讯 > 国外新闻

美国国家标准与技术研究院发布网络安全框架 2.0

发布日期: 2026-05-13 来源:江苏省质量和标准化研究院 字号: [ ]

收藏

2026年3月23日,美国商务部下属国家标准与技术研究院(NIST)发布 NIST SP 1308《网络安全框架 2.0:网络安全、企业风险管理与人力管理快速启动指南》,该指南以网络安全框架 2.0 为核心,结合企业风险管理、网络安全风险管理与网络安全人力管理实践,为机构提供可落地的实施路径,推动网络安全风险治理与组织整体战略协同。

该指南的适用范围覆盖组织层面与企业层面,前者聚焦多系统网络安全风险的集中管理,后者面向承担跨组织风险管理职责的高层管理者。指南明确网络安全风险是机构整体风险的组成部分,相关负面影响包含成本上升、数据丢失、业务中断、收入损失、声誉损害与创新能力下降,同时纳入对正向风险的考量。指南提出,网络安全人力的能力充足度与专业水平是一类网络安全风险,需通过企业风险管理、网络安全风险管理与人力管理的融合支撑决策。

指南依托三项 NIST 核心资源实现实践协同,分别为网络安全框架 2.0、NICE 框架与 NIST IR 8286 系列文档。网络安全框架 2.0 用于界定网络安全风险管理的具体成果,支持机构构建组织概况与行业共同体概况;NICE 框架以任务、知识、技能为基础单元,划分网络安全工作角色,用于能力匹配与培训规划;NIST IR 8286 系列为网络安全团队与管理层的沟通提供依据,推动网络安全风险管理融入企业风险管理。三项资源协同使用,可实现以人力为核心的一体化网络安全风险管理。

指南将实施流程拆解为五个步骤,与网络安全风险管理、企业风险管理及人力管理深度绑定。第一步界定组织概况范围,组建跨职能团队,明确使命目标,开展业务影响分析,识别高价值资产,纳入第三方依赖与人力能力评估。第二步收集信息,整合企业风险管理的风险偏好、业务影响分析登记册、第三方风险评估,网络安全风险管理的合规要求、风险指标、风险登记册,以及人力管理的岗位配置、技能清单、培训计划等数据。第三步构建组织概况,分别形成描述当前网络安全成果的现状概况与明确目标成果的目标概况,同步分析人力角色与技能对风险管理的支撑作用。第四步开展差距分析,对比现状与目标概况,识别风险缺口,依托风险登记册明确风险归属,结合 NICE 框架与网络安全框架的对照关系,评估人力能力缺口,制定优先级行动计划。第五步执行行动计划并更新概况,针对高优先级风险选择人力应对措施,包括员工技能提升、岗位调整、人员招聘、第三方人力补充等,无法通过人力措施弥补缺口时,可调整风险应对策略,最终由管理层审定更新后的风险登记册。

指南纳入迭代管理机制,以管理、评估、调整为核心环节,持续监测网络安全风险管理、企业风险管理与人力管理策略的执行效果。机构需定期评估干预措施的有效性,更新风险登记册,根据风险态势调整人力配置与风险应对方案,适配威胁环境、技术与业务需求的变化。


相关新闻

相关通报

相关标准

    江苏省技术性贸易措施信息平台

    版权所有: 江苏省质量和标准化研究院 网站的备案号: 苏ICP备09017254号