跳转到主要内容

【风险管理】使用NIST网络安全框架解决组织风险

NIST的CSF与其他指南一起使用,可以帮助将风险映射到实际威胁,并更好地遵守安全授权,如美国的网络安全行政命令。

美国联邦政府在过去一年一直非常积极,特别是在网络安全行政令(EO)以及由此产生的相关任务和目标方面。NIST网络安全框架(CSF)是一个越来越受到关注的框架和行业来源。

CSF来自另一个EO 13636,该EO于2013年,指示NIST与利益相关者合作,制定一个降低关键基础设施风险的自愿框架。它是通过与工业和政府的协调努力产生的,这两个部门都广泛采用了该框架。

以下是CSF的组成,它的各个方面如何有助于实现最近的一些网络安全EO目标,以及任何组织如何使用它更好地将风险映射到威胁。

网络安全框架的组成部分是什么?

在其基础上,CSF有三个组成部分:

【数据隐私】数据隐私执法行动加强

监管机构最近几天忙于对 Twitter、Meta (Facebook) 和 Clearview AI 等一些最知名的科技公司对违反数据隐私的行为采取执法行动和罚款。

虽然数据分析和包括机器学习在内的人工智能等高级分析可以改变业务结果的游戏规则,但作为客户数据的管家也有很多责任。贵组织的数据治理负责人是否有效地跟踪最近有关数据隐私的执法行动?有哪些教训值得学习?

一些备受瞩目的执法行动、和解和其他事件再次表明,企业组织需要密切关注其内部实践,以防止罚款、法律诉讼和声誉受损。

推特


Twitter 已与联邦贸易委员会达成和解,同意因违反 2011 年 FTC 禁止该公司歪曲其隐私和安全做法的命令而支付 1.5 亿美元的罚款。 Twitter 收集了有关手机号码和电子邮件地址的信息,称这些数据将仅用于 2 因素身份验证。根据 FTC 的说法,这些信息还被用于定向广告。 Twitter 将为 2 因素身份验证收集的数据与公司已经拥有的数据或从数据经纪人处获得的数据进行匹配。从 2014 年到 2019 年,超过 1.4 亿 Twitter 用户向公司提供了此类信息。