这是一个供美国政府组织、企业,或国外企业自发性采用的框架,美国国土安全部还因此建立了重大建设网络社群自愿计画来推动该框架的采用。
CTI论坛(ctiforum)2月14日消息(记者 李文杰):美国白宫周三(2月12日)发表网络安全框架(Cybersecurity Framework),这是美国总统欧巴马在2013年国情咨文所交待的「改善重大公共建设网络安全」执行命令的关键措施。
此一框架是为了指导各个政府组织及企业强化重大公共建设的网络安全而设立,是由美国企业与政府历时一年的时间共同发展而成,双方交流了多种标准、最佳实作,与各项准则,并由美国商务部国家标准技术研究所汇整而发表的框架。
该框架搜集了全球现有的标准与作法,除了有蓝图可供不知从何着手的组织参考外,亦指导组织如何管理网络风险,还可供美国以外的组织参考。
框架元件包含了核心(Core )、轮廓(profile)与层级(Tiers)。其中,框架核心是由各种网络安全行为与各种建设的讯息参考所组成,网络安全行为分成5种功能,涵盖身份识别、保护、侦测、回应及复原等;轮廓指的是协助组织达到企业等级的网络安全要求,了解目前的网络安全状态;层级则是用来检视企业现阶段安全防范的等级。
这是一个供美国政府组织、企业,或国外企业自发性采用的框架,美国国土安全部(Department of Homeland Security,DHS)还因此建立了重大建设网络社群自愿计画(Critical Infrastructure Cyber Community (C3) Voluntary Program)来推动该框架的采用。美国白宫表示,许多美国联邦机构、政府,或地方政府都已在评估如何利用此一框架来管理他们的网络安全风险。
根据美国媒体报导,美国政府原本督促国会通过强制重大建设供应商所应遵循的网络安全规范,包含电力或运输产业,但受到业者的强力反弹,才改以发展自发性的安全框架。欧巴马表示,美国的重大建设持续遭受网络威胁,而美国经济也因智慧财产遭到窃取而受影响,相信此一框架的发表是个转捩点,它让大家理解需要更多的功夫才能强化网络安全。
