详细内容或原文请订阅后点击阅览
NIST 提供有关衡量和改进公司网络安全计划的指南
草案发布可以帮助评估信息安全工作。
来源:美国国家标准技术研究所图片来源:PopTika/Shutterstock
图片来源:想象一下,您是公司新任网络安全主管。您的团队在建立防御系统以抵御黑客和勒索软件攻击方面取得了良好的开端。随着网络安全威胁不断增加,您需要向 CEO 和客户展示随着时间的推移所取得的进步。您如何衡量您的进展并使用有意义的数字细节来呈现它?
您可能需要一份创建实用信息安全测量程序的路线图,您可以在美国国家标准与技术研究所 (NIST) 新修订的指导草案中找到它。这份两卷文件的总标题为《NIST 特别出版物 (SP) 800-55 修订版 2:信息安全测量指南》,它提供了制定有效计划的指导,以及制定信息安全措施以满足组织绩效目标的灵活方法。NIST 呼吁公众在 2024 年 3 月 18 日之前就这份初稿发表意见。
NIST 特别出版物 (SP) 800-55 修订版 2: 信息安全测量指南, 信息安全测量指南该出版物旨在与任何风险管理框架一起使用,例如 NIST 的网络安全框架或风险管理框架。它旨在帮助组织从关于风险水平的一般陈述转向基于硬数据的更连贯的图景。
网络安全框架 风险管理框架“每个人都在管理风险,但许多组织倾向于使用定性描述其风险水平,使用诸如红绿灯颜色或五点量表之类的想法,”该出版物的作者之一、NIST 的 Katherine Schroeder 表示。“我们的目标是帮助人们用数据而不是模糊的概念进行交流。”
征求意见稿初稿的反馈 第一个 第二个 cyber-measures [at] list.nist.gov (cyber-measures[at]list[dot]nist[dot]gov)