它是什么
NIST Cybersecurity Framework 2.0 是一套自愿性、基于风险的网络安全成果框架,按六大职能组织:Govern、Identify、Protect、Detect、Respond 与 Recover。它于 2024 年 2 月发布,将适用范围扩大到所有组织,并新增了 Govern 职能,通过画像与实施层级来衡量进展。
谁须遵守
希望建立结构化、适合董事会的项目的各类规模组织,以及美国联邦承包商与供应链供应商;它也非常适合作为 ISO 27001 或 SOC 2 之上的统领性框架。
IntelligenceX 如何提供帮助
覆盖六大职能的当前状态评估
目标画像与层级定义及差距分析
优先级修复路线图与治理设计
与 ISO 27001、SOC 2 和 PCI DSS 的映射
Organizational Profile 与 Implementation Tier 定义及面向高管的报告
供应链风险(C-SCRM)与 Govern 职能政策设计
差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪
常见问题
最大的变化是新增的 Govern 职能,它将网络安全确立为高层与企业风险管理的明确职责,同时将适用范围扩大到所有组织,并加强了对供应链的关注。
不是。CSF 2.0 是一套不带证书的自愿性框架。我们常将其用作统领性框架,并在其下映射 ISO 27001 或 SOC 2 控制措施以获得可认证的证据。
我们建立当前状态的 Organizational Profile,与高层商定切合实际的目标画像,并借助 Implementation Tiers 追踪差距随时间的缩小。由于这些成果与 ISO 27001 和 SP 800-53 对齐,同一批证据也能为您日后追求的任何认证提供支撑。