美国NIST《网络安全人人有责（草案）》进入公开意见征集阶段

为了解决“最薄弱的一环”（人），美国国家网络安全教育倡议(NICE)下属劳动力管理小组，启动了基于业务职能为机构所有成员起草网络安全指南的项目。

人的因素对企业安全而言非常重要。网络攻击常利用不安全人类行为来突破企业安全防线——因为公司企业必须信任其员工，至少必须信任其中一部分员工，赋予他们对关键系统的访问权。

风险平衡决策、安全项目投资、安全策略遵从以及安全人员招聘等等影响公司安全态势的多个方面都是人在操作。从刚进入公司的实习生，到公司首席高管，全都具备伤害或巩固敏感数据及基础系统安全性的力量。

承认这一点是十分必要的一步，但仅承认尚不足够，我们所依赖的人员还必须知道该怎么做。鉴于网络安全既谈不上是大多数人的专长，也不是多数人的兴趣所在，简单易懂易操作的行为列表就很有必要了。

但现有安全意识及培训的资源中极少有根据员工业务职能来编撰的安全指南，也就是根据员工的工作角色来制定的行为规范。比如财务和管理人员该怎么做才是安全的，或者法律及合规部门的员工该如何安全操作。

NICE是美国国家标准与技术局(NIST)的一个项目。NIST主导维护着包括网络安全框架(CSF)在内的一系列标准，比如详细描述了安全技术标准的特别出版物800系列。

劳动力管理小组是由政府、行业和学术界专家结成的志愿协作组织，旨在发展通过劳动力安全意识与安全操作提升企业安全性的指南。

该指南草案题为《网络安全人人有责》，如今已进入其历时一年半的编撰过程的最后阶段——公开意见征集阶段。

这最后阶段旨在广泛征集意见以确保指南达到其预定目的：通过易于理解的方式提供基于业务职能的可行安全操作指南，让全体员工都参与进企业安全改善工作中来。

草案下载：

https://www.nist.gov/sites/default/files/documents/2018/06/28/nist_nice_guidebook_cybersecurity_is_everyones_job_public_comment_version_6.27.2018.pdf