5月23日訊美國國家標準與技術研究院（NIST）發布指南草案，就聯邦機構如何實施NIST《提升關鍵基礎設施網絡安全的框架》提出指導。

奧巴馬政府于2014年發布了這份網絡安全框架，描述了關鍵基礎設施操作人員評估和提升防御能力、檢測并響應網絡攻擊的流程。

特朗普上周簽署網絡安全行政令之前，NIST開始制定新指南草案“機構間8170報告”，指導聯邦機使用該框架。

美國國家安全顧問湯姆·博塞特宣布這項網絡安全行政令時表示，私有部門被要求執行該框架，但對聯邦機構沒有強制要求。他建議聯邦部門和機構應踐行，并采用同樣的NIST框架管理以降低風險。

NIST這份草案指出，聯邦機構可以使用這份網絡安全框架補充現有的NIST安全和隱私風險管理標準，以及為響應《聯邦信息安全管理法案》制定的指導方針和實踐。

華盛頓州健康保險交易所的首席信息官柯特·夸克表示，實施這份行政令是政府機構一貫處理網絡安全的方式。他肯定了將某框架作為基準是一件好事，尤其涉及到與NIST一致的要求時。

然而并非所有專家都認為，框架是保護組織機構數字資產的有效過程。

FBI網絡部前副助理總監兼白宮無黨派國家網絡安全委員會委員史蒂文·查彬斯基指出，執行框架相當困難、并且成本昂貴。這并不是因為NIST框架不夠好，恰恰相反，面對如今不斷變化的威脅格局，美國政府缺乏指標衡量NIST框架是否或在某種程度上能實現成本效益。如果漏洞緩解耗資少，并且易于實施，當然他不會反對，然而事實卻并非如此。

指南草案提供了八大政府用例，描述機構如何使用該框架：

將企業和網絡安全風險管理進行整合；

管理網絡安全要求；

整合并調整網絡安全和采集流程；

評估組織機構的網絡安全；

管理網絡安全計劃；

全面了解網絡安全風險；

報告網絡安全風險；

通知適當的流程；

NIST正在征求新草案意見，包括征求機構使用該指南的方式的建議。