《提升关键基础设施网络安全的框架》解读
一、美国商务部 NIST 发布《提升关键基础设施网络安全的框架》
在第 13636 号行政令的第 7 章,明确要求商务部部长应带领国家标准
和技术研究院(简称 NIST)院长制定《减少关键基础设施网络风险的框架》。
在该行政令中明确指出,网络安全框架应包括一系列与标准、方法、程序和过
程相匹配的解决网络风险的政策、业务和技术方法。网络安全框架应尽可能包
括自愿性标准和行业最佳实践。当国际标准能够推动本行政令的目标时,网络
安全框架应与自愿性国际标准一致,这样具体的要求,不但指定了 NIST 作为该
文件的主要起草者,并明确了文件具体内容,使得这份待开发的安全框架与相
关标准密切相关。
第 13636 号行政命令要求“在本行政令发布的 240 天内,NIST 应发布
一个初级版本的网络安全框架。在本行政令发布 1 年内,通过与部长协调,
NIST 应发布满足第 8 章规定(一项自愿性关键基础设施网络安全计划)的最终版
的网络安全框架。因此,我们看到在第 13636 号行政命令发布后 240 天内,即
2013 年 12 月,NIST 发布了初级版本的网络安全框架并公开征求意见,2014 年
2 月 12 日,第 13636 号行政命令发布后整一年后,美国国家标准技术研究院
(NIST)正式发布了《提升关键基础设施网络安全的框架》第 1.0 版本。
有关部门严格按照行政命令有序完成了网络安全框架的开发任务,同
时要求在该框架下与国土安全部共同制定“自愿性关键基础设施网络安全计
划”,推进为一揽子的行动实施计划。
二、《提升关键基础设施网络安全的框架》主要内容
2.1 概述
《提升关键基础设施网络安全的框架》的基本思想,是一套着眼于安
全风险,应用于关键基础设施广阔领域的安全风险管控的流程。按照美国联邦
政府相关行政指令,要求该文件的开发应基于一系列的工业标准和最佳实践来
帮助组织管理网络安全风险。这个框架通过政府和私营部门的合作进行创建,
并基于业务需要、以低成本方式、使用通用语言来处理和管理网络安全风险。
