E安全5月23日讯 美国国家标准与技术研究院（NIST）发布指南草案，就联邦机构如何实施NIST《提升关键基础设施网络安全的框架》提出指导。

奥巴马政府于2014年发布了这份网络安全框架，描述了关键基础设施操作人员评估和提升防御能力、检测并响应网络攻击的流程。

特朗普上周签署网络安全行政令之前，NIST开始制定新指南草案“机构间8170报告”，指导联邦机使用该框架。

美国国家安全顾问汤姆·博塞特宣布这项网络安全行政令时表示，私有部门被要求执行该框架，但对联邦机构没有强制要求。他建议联邦部门和机构应践行，并采用同样的NIST框架管理以降低风险。

华盛顿州健康保险交易所的首席信息官柯特·夸克表示，实施这份行政令是政府机构一贯处理网络安全的方式。他肯定了将某框架作为基准是一件好事，尤其涉及到与NIST一致的要求时。

然而并非所有专家都认为，框架是保护组织机构数字资产的有效过程。

FBI网络部前副助理总监兼白宫无党派国家网络安全委员会委员史蒂文·查彬斯基指出，执行框架相当困难、并且成本昂贵。这并不是因为NIST框架不够好，恰恰相反，面对如今不断变化的威胁格局，美国政府缺乏指标衡量NIST框架是否或在某种程度上能实现成本效益。如果漏洞缓解耗资少，并且易于实施，当然他不会反对，然而事实却并非如此。

• 将企业和网络安全风险管理进行整合；

• 管理网络安全要求；

• 整合并调整网络安全和采集流程；

• 评估组织机构的网络安全；

• 管理网络安全计划；

• 全面了解网络安全风险；

• 报告网络安全风险；

• 通知适当的流程。

NIST正在征求新草案意见，包括征求机构使用该指南的方式的建议。