NIST 发布Baldrige Cybersecurity Excellence Builder——一款自评估型网络安全工具


E安全9月20日讯 美国国家标准与技术研究院(简称NIST)已经发布一款自评估型网络安全工具相关草案,名为Baldrige Cybersecurity Excellence Builder。

这款工具基于Baldrige绩效卓越计划以及NIST网络安全框架中的多项网络管理机制

Baldrige Cybersecurity Excellence Builder的设计目标在于帮助企业客户衡量其现有网络安全框架的实施效果,同时提升风险管理水平。

“这款builder将有效强化现有网络安全框架,从而帮助企业更好地管理自身网络安全风险,”商务部副部长Bruce Andrews在一场互联网安全联盟会议上这样评价此款工具。

Baldrige Cybersecurity Excellence Builder设计草案的发布正是NIST与管理与预算办公室辖下电子政务与信息技术办公室间的协作成果,同时亦得到了众多私营部门代表的帮助。


Baldrige Cybersecurity Excellence Builder工具的设计目标在于帮助企业确保自身网络安全方案(包括系统与流程)能够切实支持业务活动与功能。

“这些与网络安全相关的决策将影响到企业自身,包括其活动目标与实施方式,”Baldrige绩效卓越计划主管Robert Fangmeyer指出。“如果您的网络安全运营团队及方案无法适应宏观发展战略,那么请不要将其纳入您的实际开发项目当中。由于这些方案无法融入并持续追踪您的组织运作及整体绩效机制,因此其几乎不可能带来良好的实际效果。”

NIST方面还解释称,使用Baldrige Cybersecurity Excellence Builder工具将帮助任何规模与类型的企业客户实现以下效果:

·识别对于业务策略以及重要服务交付非常关键的网络安全相关活动。

·在网络安全风险管理层面对投资方向进行优先级排序。

·评估当前所使用网络安全标准、指导与实践的实际效率与效果。

·评估其网络安全成果。

·判断改进事务优先级。

这款Builder将引导用户经由一套流程具体了解所在机构的自身特色并立足于网络安全战略进行用户引导。在此之后,其能够利用多个问题帮助组织机构了解当前方案在领导力、策略、客户、员工以及运营层面的网络安全评估结果。

Baldrige Cybersecurity Excellence Builder背后的实际方案相当简单,该款工具利用一系列问题帮助企业评估自身网络安全相关策略。调查当中涉及的评估方向包括领导力、策略、客户、员工以及运营等等。

作为评估的最后一步,其将提供专栏工具帮助用户评估自身组织机构的网络安全成熟度水平。

“这款工具的评估专栏能够帮助用户了解其所在机构的网络安全成熟度水平属于被动、早期、成熟或者基于角色模式,NIST方面表示。其完整的评估内容能够引导用户对现有安全网络实践与管理机制进行升级,从而实现一系列实质性提升。”NIST在其发布的公告中指出。“其亦能够衡量整个流程的进展与效果。NIST建议各组织机构利用此Builder定期进行自我评估,从而维持较高的网络安全水平。”

截至2016年12月15日星期四之前,大家亦可向baldrigecybersecurity@nist.gov地址发送邮件以提交自己对于这份草案的意见与建议。

E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。