CISO 需要了解的有關 NIST 的所有信息 - 網安 - 專業的網絡安全產業、社區、知識平臺

成為首席信息安全官 (CISO) 從未如此艱難。與 2020 年相比， 2021 年每周的攻擊次數增加了50% 。如果沒有計劃，保持強大的安全態勢是一場艱苦的斗爭。

值得慶幸的是，美國國家標準與技術研究院 (NIST) 為 CISO 提供了他們需要的指導。繼續閱讀以了解更多關于 NIST、它為何如此重要以及它如何幫助您的公司抵御網絡安全威脅的信息。

NIST 是一個非監管政府機構，負責制定和維護一套重要的信息系統網絡安全標準。

美國商務部的這個部門促進工業競爭力和科技創新。他們的指導方針和標準旨在幫助聯邦機構滿足《聯邦信息安全管理法》的政府要求。

CISO 可以從采用 NIST 的最佳實踐中獲得多種好處。通過接受這些指南，您可以：

NIST 標準是一組推薦的最佳實踐，可幫助組織建立、改進和維護強大的網絡安全態勢。

根據 NIST 網站的說法，該框架核心是“一組網絡安全活動、預期結果以及關鍵基礎設施部門常見的適用信息參考”。

借助 NIST 指南，首席信息安全官和安全團隊可以改進他們識別、預防和應對威脅的方式。它還可以幫助您在發生任何事件后恢復。

在這些最佳實踐中，有五個核心功能：

在保護您的數據方面，NIST 是黃金標準。也就是說，政府并沒有強制要求每個行業都這樣做。CISO 應遵守 NIST 標準，但業務領導者可以使用他們認為最適合其業務模式的任何方法和標準來處理風險管理。

但是，聯邦機構必須使用這些標準。由于美國政府支持 NIST，當華盛頓在2017 年宣布這些標準為聯邦機構信息系統的官方安全控制指南時，也就不足為奇了。

同樣，如果 CISO 作為承包商或分包商與聯邦政府合作，他們必須遵守 NIST 安全標準。考慮到這一點，任何有 NIST 違規歷史的承包商都可能被排除在未來的政府合同之外。

網絡安全框架是 NIST 最廣泛采用的標準之一。雖然是可選的，但該框架是許多公司在嘗試降低風險和改進其網絡安全系統和管理時所遵循的值得信賴的資源。訪問 NIST 網站以了解有關最新更新的更多信息。

此外，許多最流行的標準都是 NIST 800 系列的一部分。此特別出版物系列文件包含美國政府關于信息系統的程序、技術標準、政策和指南。以下是 NIST 800 系列中的一些關鍵文件：

800-37：這些指南展示了如何將風險管理框架(RMF) 應用于信息系統和組織。指南包括有關 RMF 角色、職責和生命周期過程的最佳實踐。
800-53：這套安全和隱私控制指南幫助團隊處理和保護聯邦信息系統上的數據，以保護運營、資產和人員。
800-171：該標準旨在保護受控的非機密信息不被不受歡迎的各方訪問。自 2019 年以來，國防部已將重點轉向其網絡安全成熟度模型認證計劃。這有朝一日將取代 SP 800-171。
800-190：本文檔概述了安全問題并提供了與容器技術相關的實用說明。
800-204（A、B 和 C）：本文提供了有關微服務應用程序的技術和威脅背景的背景信息。另外三篇論文（204A、204B 和 204C）探討了基于微服務的應用程序的相關領域。訪問 NIST 網站了解更多信息：
SP 800-204A，使用服務網格架構構建基于微服務的安全應用程序
SP 800-204B，使用服務網格的基于微服務的應用程序的基于屬性的訪問控制
SP 800-204C，使用 Service Mesh 為基于微服務的應用程序實施 DevSecOps

NIST 還提供工具、白皮書和其他資源。

訪問 NIST 資源頁面以獲取工具和文檔的完整列表。

雖然聯邦機構必須遵守 NIST 標準，但它們對許多公司也很重要。對于處理大量數據的公司來說，它們甚至更為重要。在威脅不斷演變的時代，防守團隊必須始終尋找方法來領先潛在的攻擊者一步。

最高級別的政府認可 NIST 框架并信任標準來保護他們的組織、系統、數據和人員。當 CISO 需要一個框架來建立一個新項目或加強他們現有的安全態勢時，他們無需再尋找更多。