美國國家標準技術研究院(National Institute of Standards and Technology, NIST)於2023年8月8日發布《網際安全框架(Cybersecurity Framework, CSF)2.0》草案,並啟動公眾諮詢至2023年11月4日。此份草案為CSF最後一份草案,NIST規劃於2024年初發布CSF 2.0的最終版本。
NIST於2014年首次發布CSF,並於2022年2月發布資訊請求書(Request for Information, RFI),回覆結果顯示,CSF雖得以有效降低網際安全風險,然其應更新並提供更多實施CSF的相關指引,以因應技術創新和日新月異的威脅態勢,如供應鏈風險和勒索軟體等。爰CSF 2.0草案旨在反映網際安全態勢的變化,裨益組織實施CSF,重點變更如下:
- 將CSF範圍自關鍵基礎設施(Critical Infrastructures, CI)擴大至各類型和規模的組織。
- 新增「治理(Govern)」功能,包含組織如何制定和執行內部政策,以利組織執行其網際安全策略。
- 針對建立設立檔(Profile)等CSF的實施面項提供指導方針,納入各功能子類別的實施案例(Implementation Example),裨益小型企業等組織有效使用CSF。