CISO 需要了解的有关 NIST 的所有信息 - 网安 - 专业的网络安全产业、社区、知识平台

成为首席信息安全官 (CISO) 从未如此艰难。与 2020 年相比， 2021 年每周的攻击次数增加了50% 。如果没有计划，保持强大的安全态势是一场艰苦的斗争。

值得庆幸的是，美国国家标准与技术研究院 (NIST) 为 CISO 提供了他们需要的指导。继续阅读以了解更多关于 NIST、它为何如此重要以及它如何帮助您的公司抵御网络安全威胁的信息。

NIST 是一个非监管政府机构，负责制定和维护一套重要的信息系统网络安全标准。

美国商务部的这个部门促进工业竞争力和科技创新。他们的指导方针和标准旨在帮助联邦机构满足《联邦信息安全管理法》的政府要求。

CISO 可以从采用 NIST 的最佳实践中获得多种好处。通过接受这些指南，您可以：

NIST 标准是一组推荐的最佳实践，可帮助组织建立、改进和维护强大的网络安全态势。

根据 NIST 网站的说法，该框架核心是“一组网络安全活动、预期结果以及关键基础设施部门常见的适用信息参考”。

借助 NIST 指南，首席信息安全官和安全团队可以改进他们识别、预防和应对威胁的方式。它还可以帮助您在发生任何事件后恢复。

在这些最佳实践中，有五个核心功能：

在保护您的数据方面，NIST 是黄金标准。也就是说，政府并没有强制要求每个行业都这样做。CISO 应遵守 NIST 标准，但业务领导者可以使用他们认为最适合其业务模式的任何方法和标准来处理风险管理。

但是，联邦机构必须使用这些标准。由于美国政府支持 NIST，当华盛顿在2017 年宣布这些标准为联邦机构信息系统的官方安全控制指南时，也就不足为奇了。

同样，如果 CISO 作为承包商或分包商与联邦政府合作，他们必须遵守 NIST 安全标准。考虑到这一点，任何有 NIST 违规历史的承包商都可能被排除在未来的政府合同之外。

网络安全框架是 NIST 最广泛采用的标准之一。虽然是可选的，但该框架是许多公司在尝试降低风险和改进其网络安全系统和管理时所遵循的值得信赖的资源。访问 NIST 网站以了解有关最新更新的更多信息。

此外，许多最流行的标准都是 NIST 800 系列的一部分。此特别出版物系列文件包含美国政府关于信息系统的程序、技术标准、政策和指南。以下是 NIST 800 系列中的一些关键文件：

800-37：这些指南展示了如何将风险管理框架(RMF) 应用于信息系统和组织。指南包括有关 RMF 角色、职责和生命周期过程的最佳实践。
800-53：这套安全和隐私控制指南帮助团队处理和保护联邦信息系统上的数据，以保护运营、资产和人员。
800-171：该标准旨在保护受控的非机密信息不被不受欢迎的各方访问。自 2019 年以来，国防部已将重点转向其网络安全成熟度模型认证计划。这有朝一日将取代 SP 800-171。
800-190：本文档概述了安全问题并提供了与容器技术相关的实用说明。
800-204（A、B 和 C）：本文提供了有关微服务应用程序的技术和威胁背景的背景信息。另外三篇论文（204A、204B 和 204C）探讨了基于微服务的应用程序的相关领域。访问 NIST 网站了解更多信息：
SP 800-204A，使用服务网格架构构建基于微服务的安全应用程序
SP 800-204B，使用服务网格的基于微服务的应用程序的基于属性的访问控制
SP 800-204C，使用 Service Mesh 为基于微服务的应用程序实施 DevSecOps

NIST 还提供工具、白皮书和其他资源。

访问 NIST 资源页面以获取工具和文档的完整列表。

虽然联邦机构必须遵守 NIST 标准，但它们对许多公司也很重要。对于处理大量数据的公司来说，它们甚至更为重要。在威胁不断演变的时代，防守团队必须始终寻找方法来领先潜在的攻击者一步。

最高级别的政府认可 NIST 框架并信任标准来保护他们的组织、系统、数据和人员。当 CISO 需要一个框架来建立一个新项目或加强他们现有的安全态势时，他们无需再寻找更多。