据国外媒体报道，上周，美国国家标准技术研究所（NIST）在美国圣地亚哥举行了第三次网络安全框架研讨会，根据2013年2月12日美国总统奥巴马所签署的总统令，建立一个完善的网络安全框架，以提高关键性基础设施网络安全。这次研讨会有将近500人参与，NIST意在从这些参与者中收集有效反馈信息，以填补初步框架草案内容，初步框架将于10月初发布。

本次研讨会召开之前，NIST就提供了一份基本框架草案大纲，让研讨会参与者填补框架的核心内容，其中包括五项网络安全功能：了解、检测、预防、应对和恢复。每一项功能需要归类，比如“了解”功能，可以分为“了解企业资产和系统”，转而还要将这些类别进行再分类，比如“了解企业风险架构”。

参与者需要指出每个类别和子类别下的相关信息参考，比如现有的标准，这可能有助于实现类别和子类别的目标。NIST提供了一个包含322个信息参考的纲要，这些参考大部分来源于国际标准化组织（ISO）、美国国家标准协会（ANSI）和全国环境研究委员会（NERC）等标准制定组织。

为了完成这项工作，NIST将研讨会参与者分为了8个工作组，每个组同一个NIST协调者合作，在为期三天的研讨会上评估和修改这五项功能并并行分类和再分类，同时设法将相关参考定位到核心内容的恰当部位。

NIST计划在7月底完成整合8个工作组的成果，形成统一文件，并在8月底第四次研讨会召开前发布一个更加完善的版本。第四次研讨会将于9月11日在美国达拉斯召开。

尽管很少有参与者了解8个工作组在哪些工作领域上意见一致或者出现分歧，但是NIST很满意于整个工作过程。“它看起来更像是一个非常丰富的工具箱，而规则管理程序则是教你怎样使用这个工具箱”，NIST主管Patrick Gallagher研讨会第二天说。

“大多数工作组已经着手这项任务并开始准备大纲、完成我们提出的工作”，Adam Sedgewick说。Adam Sedgewick是NIST资深信息技术政策顾问，同时也是这项框架建立程序的主要组织者之一。

“独立概括总结8组的工作，这有点难”，一个大型政府公共设施网络安全专家说，“我觉得，整合收集反馈信息会给NIST带来一些有价值的见解，给完善框架草案核心内容带来一个良好的开端”。

事实上，三天的研讨会进展的非常顺利，NIST为参与者提供了高质量、专业以及便利的工作条件，从而赢得了参与者们的高度评价。即使如此，在10月最后期限进入了紧张的倒计时阶段，框架开发工作也出现了一些裂痕。

比如一些声音质疑：“NIST是要推翻现有的网络安全战略重新创建吗？”，对此，NISTSedgewick回应说，现阶段NIST着手开发的网络安全框架，是不断完善现有的网络安全战略，建立一个更高层次、更加灵活且应用范围更广的网络安全框架，而不是推翻重建。

同时，在网络安全框架开发过程中，只有少数选定部门领域，如能源、金融和通讯等领域，对于开发工作表现出积极性，其他一些相对比较弱势的领域可能会给网络安全框架应用的广泛性拖后腿。

还有人对美国国土安全部和NIST能否更好的协调合作表示担心，尤其在12日美国国土安全部部长Janet Napolitano宣布辞职，更加剧了参与者的这种担心。但是，来自NIST和美国国土安全部的代表均表示，两个组织在共享和相关任务中协调得很好。

还有人担心这个基于自愿性基础的网络安全框架有可能会演变成为一种强制的规章制度，针对这一问题，参与者在研讨会上强调并讨论过，同时介绍了参议院商务委员会网络安全法案的草案，草案中包含了网络安全框架的相关内容，现阶段这个草案仍然基于自愿性的基础。