5月23日讯美国国家标准与技术研究院（NIST）发布指南草案，就联邦机构如何实施NIST《提升关键基础设施网络安全的框架》提出指导。

奥巴马政府于2014年发布了这份网络安全框架，描述了关键基础设施操作人员评估和提升防御能力、检测并响应网络攻击的流程。

特朗普上周签署网络安全行政令之前，NIST开始制定新指南草案“机构间8170报告”，指导联邦机使用该框架。

美国国家安全顾问汤姆·博塞特宣布这项网络安全行政令时表示，私有部门被要求执行该框架，但对联邦机构没有强制要求。他建议联邦部门和机构应践行，并采用同样的NIST框架管理以降低风险。

NIST这份草案指出，联邦机构可以使用这份网络安全框架补充现有的NIST安全和隐私风险管理标准，以及为响应《联邦信息安全管理法案》制定的指导方针和实践。

华盛顿州健康保险交易所的首席信息官柯特·夸克表示，实施这份行政令是政府机构一贯处理网络安全的方式。他肯定了将某框架作为基准是一件好事，尤其涉及到与NIST一致的要求时。

然而并非所有专家都认为，框架是保护组织机构数字资产的有效过程。

FBI网络部前副助理总监兼白宫无党派国家网络安全委员会委员史蒂文·查彬斯基指出，执行框架相当困难、并且成本昂贵。这并不是因为NIST框架不够好，恰恰相反，面对如今不断变化的威胁格局，美国政府缺乏指标衡量NIST框架是否或在某种程度上能实现成本效益。如果漏洞缓解耗资少，并且易于实施，当然他不会反对，然而事实却并非如此。

指南草案提供了八大政府用例，描述机构如何使用该框架：

将企业和网络安全风险管理进行整合；

管理网络安全要求；

整合并调整网络安全和采集流程；

评估组织机构的网络安全；

管理网络安全计划；

全面了解网络安全风险；

报告网络安全风险；

通知适当的流程；

NIST正在征求新草案意见，包括征求机构使用该指南的方式的建议。