美國NIST《網絡安全人人有責（草案）》進入公開意見征集階段

為了解決“最薄弱的一環”（人），美國國家網絡安全教育倡議(NICE)下屬勞動力管理小組，啟動了基于業務職能為機構所有成員起草網絡安全指南的項目。

人的因素對企業安全而言非常重要。網絡攻擊常利用不安全人類行為來突破企業安全防線——因為公司企業必須信任其員工，至少必須信任其中一部分員工，賦予他們對關鍵系統的訪問權。 風險平衡決策、安全項目投資、安全策略遵從以及安全人員招聘等等影響公司安全態勢的多個方面都是人在操作。從剛進入公司的實習生，到公司首席高管，全都具備傷害或鞏固敏感數據及基礎系統安全性的力量。 承認這一點是十分必要的一步，但僅承認尚不足夠，我們所依賴的人員還必須知道該怎么做。鑒于網絡安全既談不上是大多數人的專長，也不是多數人的興趣所在，簡單易懂易操作的行為列表就很有必要了。 但現有安全意識及培訓的資源中極少有根據員工業務職能來編撰的安全指南，也就是根據員工的工作角色來制定的行為規范。比如財務和管理人員該怎么做才是安全的，或者法律及合規部門的員工該如何安全操作。 NICE是美國國家標準與技術局(NIST)的一個項目。NIST主導維護著包括網絡安全框架(CSF)在內的一系列標準，比如詳細描述了安全技術標準的特別出版物800系列。 勞動力管理小組是由政府、行業和學術界專家結成的志愿協作組織，旨在發展通過勞動力安全意識與安全操作提升企業安全性的指南。 該指南草案題為《網絡安全人人有責》，如今已進入其歷時一年半的編撰過程的最后階段——公開意見征集階段。 這最后階段旨在廣泛征集意見以確保指南達到其預定目的：通過易于理解的方式提供基于業務職能的可行安全操作指南，讓全體員工都參與進企業安全改善工作中來。 來源：安全牛