美国国家标准与技术研究院（简称NIST）已经于2017年12月5日发布〈改进关键信息基础设施网络安全框架〉第二稿（即网络安全框架1.1版本第二稿）。NIST方面指出，第二稿草案旨在澄清、改进及加强网络安全框架，扩大其价值与易用性。新的草案反映了NIST迄今为止收到的意见，包括2017年1月启动的公开审查流程与2017年5月召开的研讨会活动。

NIST网络安全框架最初发布于2014年，旨在帮助各类组织机构——特别是来自关键信息基础设施领域的组织机构——管理网络安全风险。当时，NIST方面发布了《改进关键信息基础设施安全框架》报告，这份文件就安全计划与网络安全标准及实践的制定提出了指导性意见。

时至今日，NIST网络安全框架被广泛视为各类组织机构与企业实现网络安全保障的最佳实践性指南。

此项网络安全框架基于美国前任总统奥巴马发布的总统行政令，现任特朗普政府亦将该框架视为一套适用于政府机构以及各关键信息基础设施运营商的最佳实践指导方案。

特朗普政府在发布的网络安全总统行政令中，同样要求各联邦政府机构及关键信息基础设施运营商使用这套框架。

在最初版本发布的四年之后，NIST如今再次对其作出更新。NIST网络安全框架第一稿于今年1月发布，而12月5日亮相的则是其第二稿草案。

与2014年2月发布的1.0版本一样，本次第二稿草案同样为各私营与公共部门广泛参与磋商所得出的共识性结论。相关修改内容基于针对第一稿草案的120条回复意见，外加今年5月研讨会上500名与会者线出的建议。

以下为更新内容的概括性总结：

宣布网络安全框架适用于由技术方案、运营技术、网络物理系统心服物联网所构成的“技术体系”。

加强指导以切实将网络安全框架应用于供应链风险管理工作当中。

总结网络安全框架衡量机制在各组织机构自我评估工作中的相关性与实际效果。

进一步考虑授权、认证与身份验证等事务。

立足行政层面更新此份参考信息。

与第二稿一同发布的还有一份经过更新的发展路线图，其中详尽阐述了推进该框架发展过程的未来计划。关于NIST网络安全框架第二稿内容制定相关的各项建议内容，皆可发送至cyberframework(at)nist.gov ，截止时间为2018年1月19日。

NIST希望了解1.1版本中的修订是否能够准确反映当前网络安全形势的实际变化。而更新版本的评估结果，对于当前正在实施该框架1.0版本的组织机构而言自然也非常重要。