NIST CSF 是當今很多企業在搞網絡安全建設時,肯定會碰到的一個熱門話題,不少人覺得這東西聽起來挺高大上,實際上操作起來不知道從哪兒下手,心裡頭都是七上八下的!今天就跟大家好好聊一下這個NIST CSF 的那些事,保證讓你聽了之後能明白個大概,知道下一步該咋走!
首先,得跟大家說說這個NIST CSF到底是個啥東西! NIST CSF全稱是美國國家標準與技術研究院的網絡安全框架,對,它說到底就是一個幫助企業網絡安全風險的工具,不是那種硬邦邦的非要你執行的規定,而是給你指條路,讓你知道往哪個方向使勁,能把安全搞得更好些……大概就是這麼個意思。
那具體咋實施這個NIST CSF?別著急,聽我慢慢給你分解成幾個部分來講:
1.先搞清楚自己現在啥樣兒:這個就是所謂的“發現”階段!得把企業裡頭現在有哪些重要的資產,比如服務器、數據啊這些,都通通找出來,一個也別落下!然後看看現在都已經有了哪些安全措施,防火牆、殺毒軟件啊之類的是不是都配上了,效果到底怎麼樣,有沒有啥漏洞沒堵上,這些都得摸得一清二楚才行。
2.說說想達到啥目標:知道了自己現在的情況,接下來就得立下個目標,就是“目標”階段了!企業想把安全做得多好?是想達到行業裡的平均水平就行,還是說想做得比同行都厲害,成為榜樣?目標不一樣,以後乾活的使勁程度就不一樣,這個可得想明白了!
3.瞧瞧中間差多少:那現在的情況和將來的目標一對比,是不是就能看出中間差距在哪兒了?對,這就是“差距分析”!哪個安全領域做得還不夠好,哪些地方需要趕緊補上,哪些地方maybe 還能再加強加強,都得在這個階段分析出來,列個清單最好。
4.趕緊想辦法補上:找出差距了之後,總不能就這麼放著不管?肯定是要想辦法把這些短板都補上,這就是“行動”階段!比如說,缺了啥硬件設備就趕緊回來裝上,安全制度不完善就趕緊組織人手修訂修訂,員工安全意識不行就多搞幾次,讓大家都學起來!
5.時不時回頭看看,改改:這個NIST CSF ,不是說做完前面幾步就完事了,這事得常抓不懈!要經常回過頭去look 看做得怎麼樣了,年初定的目標到年底有沒有達成,安全狀況有沒有變更好。要是發現有新的安全問題冒出來了,或者之前的措施不咋管用了,就得趕緊調整,讓這套東西一直都管用,能適應新的變化。
下面,再回复幾個大家可能會問到的問題,幫大家再梳理梳理:
問:搞這個NIST CSF ,對我們這種小公司來說,是不是太麻煩、不值得做
答:可別這麼想!小公司雖然少一些,但它也有不少重要的數據和業務,也面臨著各種網絡安全的風險。 NIST CSF給的是一個的框架,小公司完全可以根據自己的實際情況,挑那些最的部分先做起來,一步一步來,慢慢把安全搞好,總比啥都不做,等出了問題再後悔強!
問:那我照著這個NIST CSF 的步驟去做,是不是就肯定不會出安全問題了聽起來就這麼神?
答:這可不敢保證說絕對不出問題!畢竟網絡安全這東西,從來沒有一勞永逸的事,壞人也在不停地琢磨新的壞點子。 NIST CSF 只不過能幫你大大降低出安全問題的可能性,讓你面對風險的時候能更有底氣,能更快地察覺到問題,並且及時fix 它,把損失降到最小,也算是很不錯的了!
我的個人觀點是,NIST CSF 對於保障企業網絡安全來說,確實是一個挺好用的寶貝,不管公司大小,要是重視安全,就都應該好好研究研究,實實在在地照著去做一做。雖然過程可能會遇到一些難題,花點時間和錢,但從長遠來看,絕對是值得的,能讓企業安安穩穩地發展,少操很多心!
發佈留言