美國NIST《網(wǎng)絡(luò)安全人人有責(zé)(草案)》進(jìn)入公開意見征集階段
責(zé)編:gltian |2018-07-05 17:41:10為了解決“最薄弱的一環(huán)”(人),美國國家網(wǎng)絡(luò)安全教育倡議(NICE)下屬勞動(dòng)力管理小組,啟動(dòng)了基于業(yè)務(wù)職能為機(jī)構(gòu)所有成員起草網(wǎng)絡(luò)安全指南的項(xiàng)目。
人的因素對企業(yè)安全而言非常重要。網(wǎng)絡(luò)攻擊常利用不安全人類行為來突破企業(yè)安全防線——因?yàn)楣酒髽I(yè)必須信任其員工,至少必須信任其中一部分員工,賦予他們對關(guān)鍵系統(tǒng)的訪問權(quán)。
風(fēng)險(xiǎn)平衡決策、安全項(xiàng)目投資、安全策略遵從以及安全人員招聘等等影響公司安全態(tài)勢的多個(gè)方面都是人在操作。從剛進(jìn)入公司的實(shí)習(xí)生,到公司首席高管,全都具備傷害或鞏固敏感數(shù)據(jù)及基礎(chǔ)系統(tǒng)安全性的力量。
承認(rèn)這一點(diǎn)是十分必要的一步,但僅承認(rèn)尚不足夠,我們所依賴的人員還必須知道該怎么做。鑒于網(wǎng)絡(luò)安全既談不上是大多數(shù)人的專長,也不是多數(shù)人的興趣所在,簡單易懂易操作的行為列表就很有必要了。
但現(xiàn)有安全意識(shí)及培訓(xùn)的資源中極少有根據(jù)員工業(yè)務(wù)職能來編撰的安全指南,也就是根據(jù)員工的工作角色來制定的行為規(guī)范。比如財(cái)務(wù)和管理人員該怎么做才是安全的,或者法律及合規(guī)部門的員工該如何安全操作。
NICE是美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)的一個(gè)項(xiàng)目。NIST主導(dǎo)維護(hù)著包括網(wǎng)絡(luò)安全框架(CSF)在內(nèi)的一系列標(biāo)準(zhǔn),比如詳細(xì)描述了安全技術(shù)標(biāo)準(zhǔn)的特別出版物800系列。
勞動(dòng)力管理小組是由政府、行業(yè)和學(xué)術(shù)界專家結(jié)成的志愿協(xié)作組織,旨在發(fā)展通過勞動(dòng)力安全意識(shí)與安全操作提升企業(yè)安全性的指南。
該指南草案題為《網(wǎng)絡(luò)安全人人有責(zé)》,如今已進(jìn)入其歷時(shí)一年半的編撰過程的最后階段——公開意見征集階段。
這最后階段旨在廣泛征集意見以確保指南達(dá)到其預(yù)定目的:通過易于理解的方式提供基于業(yè)務(wù)職能的可行安全操作指南,讓全體員工都參與進(jìn)企業(yè)安全改善工作中來。
草案下載:
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧