[翻译]NIST CSF、ISO 27001/2、NIST 800-53与SCF安全框架比较_nist sp 800-53

1. 什么是“最适合”组织需求的网络安全框架?

“最佳”（Best）网络安全框架的概念是错误的，因为最合适的框架完全取决于组织的业务模式。组织必须遵守的适用法律、法规和合同义务通常会将引向四(4)个起点之一，以启动关于“哪个框架最适合组织需求?”的讨论：
• NIST Cybersecurity Framework (NIST CSF);
• ISO 27001/27002; 或者
• NIST SP 800-53 (中级或高级基线); 或者
• Secure Controls Framework (SCF) (或者一个类似的元框架（metaframework）).

当用图形从“易到难”地描述各种领先的网络安全框架时，它主要关注独特的网络安全和隐私控制的绝对数量。这些控制的数量（例如，需求）直接影响网络安全框架所覆盖域的数量。网络安全框架中较少数量的控制可能使其看起来更容易实现，但它也可能无法从管理、技术和物理网络安全和隐私实践的角度提供组织所需的必要覆盖。为组织的网络安全和隐私控制定义“恰到好处（just right）”的要求主要是一个业务决策，基于组织的风险概况（risk profile），需要考虑适用的法律、法规和合同义务，这些都是支持现有或计划的业务流程所必需。
在选择框架时，一个非常重要的考虑因素是必要的定制。单个框架不太可能完全满足您的需求，因此您必须期望根据您的特定需求定制框架（例如：添加、删除不必要的内容或合并多个框架）。从定制的角度来看，将内容“绑定”到网络安全框架类似于将钉子的方形边咬掉以使其适合圆孔的概念——它最终会适合，但它可能看起来不太好或不太适合。这是自定义网络安全框架以添加框架所缺乏内容的缺点。与从一个较小的框架开始并添加内容相比，跟一个鲁棒性更高的框架保持一致的基础上删除些内容通常痛苦或成本更少。

2. 有没有一个Goldilocks（注1）框架——不太强也不太弱，而是刚刚好?

网络安全框架的选择过程通常采用“起点”（starting point）框架。这些基础框架是NIST网络安全框架、ISO 27002、NIST 800-53或安全控制框架(SCF)。我们称之为“网络安全Goldilocks困境（cybersecurity Goldilocks dilemma）”，因为它解决了这样的问：对于组织来说，哪个网络安全框架“既不太强，也不太弱，但刚刚好!”这可以归结为首先定义“必须具备”和“最好有”的需求，因为这有助于您找到最合适的框架来满足您的特定需求:
注1：Goldilocks为三只小熊童话故事里的主人公。Goldilocks原则（比喻凡事都必须有度，而不能超越极限），类似中庸之道。
• “必须具备（Must Have）”最低合规要求(MCR)(例如法律、法规和合同义务);和
• “最好有（Nice to Have）”酌情安全要求(DSR)（例如，法律上没有要求，但组织觉得有了更安全，例如FIM、DLP、MFA等）(注2）
注2：FIM-文件完整性监测；DLP-数据泄露防护；MFA-多因子认证。
这两个考虑因素结合在一起，解决了组织的网络安全和/或隐私计划既安全又合规的“合规vs安全”决策。

3. “合规”与“安全”的考量

选择的框架越健壮，所含控制措施、所覆盖的主题就越多。这通常意味着使用者将有更全面的策略和标准来满足扩大的覆盖范围。许多公司面临的困境是，他们既想要合规，又希望必要的文档（例如，政策、标准和控制）维护工作量最小化。这是组织的领导团队的重要方面，它真正定义了组织的基本风险文化：

• 以合规为重点——这是通过只关注最低限度地遵守法律、法规或框架来达成平庸的目标。(注意：这种方法很常见。这是错误的，但很常见。)
• 关注安全——关注核心安全工程实践，遵从性不是问题。(注意：这种方法很少见。)
• 以合规和安全为重点——这是一种整体方法，专注于确保系统、应用和服务在设计时和默认情况下是安全的，通过适当融合网络安全和隐私实践，合规被视为一种自然的副产品。(注意：这是组织应该争取的最佳方法)

4. 网络安全框架热力图

并非所有框架都创建成同等的，这没关系。对于经验丰富的网络安全从业者来说，对法律、法规和框架之间的差异存在根本性的误解并不罕见。然而，在这种情况下，热力图上所描述的内容被称为“框架”，因为根据NIST术语表的定义，框架是“指示可以或应该构建哪种程序以及它们如何相互关联的分层结构”。甚至法律或法规也可以作为建立网络安全计划的框架。
我们知道，当从“热力图”的角度来看时可能会有点困惑，因为每个网络安全框架都有自己独特的适用范围（例如，专业化）和覆盖深度。然而，理解这一点可以帮助组织做出明智的决定，从哪里开始寻找最适合组织需求的框架（通常，组织使用多个框架）。甚至可能发现需要利用元框架（例如，框架的框架）来处理更复杂的遵从性要求。

（译者：从上图可以看出，COBIT、SP800-53 low之类框架其涉及范围广度和深度都不大，而ISO 27001/2、SP800-53 moderate无论设计范围广度和深度都比较大。）

5. 如何选择网络安全框架?(可口可乐与百事可乐的对比)

如果你从关于哪种软饮料味道最好的争论（例如，可口可乐和百事可乐）的角度来看，这通常归结为个人偏好，因为这两种产品本质上都是含糖的碳酸饮料，只是在味道和包装上略有不同。同样的理由也适用于网络安全的两大重量级标准——NIST 800-53和ISO 27002。越来越受欢迎的是NIST网络安全框架(NIST CSF)，但它缺少适当的开箱即用措施，无法被视为一个全面的网络安全框架。对于更复杂的遵从性要求，SCF是一个“元框架”，在一个混合框架中包含了100多个法律、法规和框架，可以跨越多个遵从性要求。

6. 网络安全框架比较:NIST CSF与ISO 27001/2、NIST 800-53与SCF

选择网络安全框架的一个关键考虑因素是了解每个框架提供的内容级别，因为这直接影响到“开箱即用”的可用网络安全和隐私控制，而不必为组织特定需求增加内容。如果组织要求网络安全专业人员确定他们首选的“最佳实践框架”，通常会归结为NIST或ISO，因为它们是最常见的框架。然而，这并不意味着应该限制组织的搜索范围。
如果不确定从哪里开始，这里有一些建议:

• 与组织的法律和采购部门进行讨论，找出组织需要遵从的法律、法规和合同义务。如果他们不知道，那么需要在他们的参与下发现（需遵从的法律法规），以确保组织掌握实际情况。不要试图消除假设!
• 与组织所在行业的同行交流，以确定他们的组织选择与哪些框架保持一致，以及哪些决策导致他们采用一种框架而不是另一种框架。组织仍然需要做自己的分析来确定什么是正确的，但是与同行交流可以帮助避免在分析过程的某些方面“重新发明轮子”。
• 确定组织拥有哪些可用资源来采用和实现框架。如果觉得两个框架都能满足组织的需求，那么在这两个框架之间进行掷硬币的选择，需要确保考虑到哪个框架的实现和维护效率最高。
• 评估组织的业务和IT策略，以确定可能需要采用特定框架的组件。例如：组织的首席执行官制定了业务增长路线图，明年公司将开始争取美国政府和国防部的合同。这意味着组织将不得不解决DFARS、FAR和CMMC合规性问题，这是基于NIST SP 800-171的。这意味着与NIST SP 800-53或SCF保持一致可能是最好的前进路线。
• 一个业务部门正在扩展到欧洲市场，并将专注于B2C销售。这意味着除了网络安全之外，组织还必须解决欧盟GDPR的隐私保护问题。这意味着可以选择任何框架来处理潜在的网络安全实践，但需要一个隐私程序。SCF可能是最好的路线。与声誉好的顾问交流。并非所有的“网络安全专业人员”都有相同的背景、经验和能力。与治理、风险和遵从性（GRC）专业人员讨论与合规相关的框架和范围决定。

NIST CSF < ISO 27001/2 < NIST 800-53 < Secure Controls Framework (SCF)

进一步提供上图的背景信息:

• ISO 27001/2本质上是NIST 800-53中内容的子集（ISO 27002从2013年的十四(14)部分增加到2022年的三(3)部分），其中ISO 27002的网络安全控制适用于NIST 800-53 rev5安全控制的二十(20)个系列。
• NIST CSF是NIST 800-53的子集，也共享ISO 27001/2中的控制。
• NIST CSF整合了ISO 27001/2和NIST 800-53的部分内容，但不包括两者——这使得NIST CSF需要一套“行业公认的安全实践”来配合小公司的常见选择，而ISO 27001/2和NIST 800-53更适合大公司或那些有独特合规要求的公司。

当组织开始考虑诸如支付卡行业数据安全标准（PCI DSS）之类的通用需求时，将从人行道映射（注3）中看到，这些通用需求比NIST CSF本身包含的要求更全面，因此组织需要使用ISO 27002或NIST 800-53来满足PCI DSS作为框架（取决于您的SAQ（Self-Assessment Questionnaire）级别），除非组织想要为NIST CSF绑定额外的控制以使其工作。这做法（指绑定额外的控制）有错吗？没有错。但是当组织开始绑定到框架上时，它就会变得很乱。
注3：人行横道crosswalk mapping，是一个代码列表中，每一对代码值之间单向对应关系的可视化表示。

6.1 安全控制框架(SCF)概述

如果不熟悉安全控制框架（SCF），那么它的开发目标是提供一个全面的网络安全和隐私控制指导目录，以涵盖组织的战略，运营和战术需求，无论其规模，行业或来源国家。通过使用SCF，组织的IT、网络安全、法律和项目团队可以在控制和需求期望方面使用相同的语言！SCF是一个“元框架”，它是框架的框架。SCF是一个超集，涵盖了在NIST CSF、ISO 27002、NIST 800-53和100多个其他法律、法规和框架中发现的控制。这些领先的网络安全框架往往涵盖了网络安全计划的相同基本构建模块，但在某些内容和布局上有所不同。在选择框架之前，重要的是要了解每个框架都有其优缺点。因此，选择应该由该组织业务所在的行业类型以及组织需遵从法律、法规和合同义务驱动。

SCF是一个开源项目，为企业提供免费的网络安全和隐私控制。SCF侧重于内部控制，即与网络安全和隐私相关的政策、标准、程序和其他流程，旨在为实现业务目标和防止、发现和纠正不良事件提供合理保证。

安全控制框架（SCF）是一种“同类最佳”（best in class）方法，它涵盖了100多个网络安全和隐私法律、法规和框架，包括NIST 800-53、ISO 27001/2和NIST CSF。作为一种混合产物，它允许组织同时处理多个网络安全和隐私框架。SCF是供企业使用的免费资源。

安全控制框架(SCF)通常用于大中型企业，但也可用于任何具有复杂网络安全和隐私需求的企业。
安全控制框架(SCF)是一种“同类最佳”的方法，涵盖了100多个网络安全和隐私法律。
SCF可用于:

• 任何规模的企业
• 任何行业

SCF不用于:

• 简单的合规要求

6.2 NIST SP 800-53概述

美国国家标准与技术研究院（NIST）正在进行NIST SP 800-53（信息系统和组织的安全和隐私控制） 的第五次修订(rev5)（译注：现在rev5已经完成修订并发布）。从rev4到rev5, NIST放弃了“美国政府”对NIST SP 800-53的关注，现在它已经普及到足以供私营企业使用。对于完全以美国政府为中心的措辞，仍然存在“NISTisms”，但对于私营企业的采用来说，这是一个重大的进步。NIST 800-53“最佳实践”是与美国联邦政府做生意的私营企业的事实上标准。
要记住的一件事是，NIST 800-53是ISO 27002的超集——这意味着你会发现NIST 800-53涵盖了ISO 27002的所有组成部分。然而，ISO 27002并没有涵盖NIST 800-53的所有领域。
联邦信息安全管理法案（FISMA）和国防部信息保障风险管理框架（RMF）依赖于NIST 800-53框架，因此美国联邦政府的供应商必须满足这些相同的要求才能通过这些严格的认证计划。此外，对于NIST 800-171（保护非联邦信息系统和组织中的受控非机密信息），NIST 800-53被称为政府承包商保护其系统的最佳实践。这进一步加强了NIST 800-53在美国的最佳实践地位，尤其是对任何政府承包商而言。

NIST 800-53包括ISO 27002和NIST CSF处理的问题，以及其他一系列要求。NIST 800-53是NIST 800-171 / CMMC中控制的基础。NIST 800-53常见于金融、医疗和政府承包行业。NIST 800-53的一大优点是，它几乎普遍适用于所有NIST 800系列出版物。与其他NIST出版物一样，它是免费提供的，对公众免费。
链接：NIST 特别出版物入口
NIST 800-53 中级（Moderate）通常被大中型企业使用，主要主要集中在美国。
NIST 800-53 中级可用于:

• 国防承包商（CMMC、RMF等）
• 政府承办商(FedRAMP、RMF等)
• 科技企业(如msp、csp等)
• 一般业务（大型）
• 零售（大型）
• 医疗保健（大型）
• 保险（大型）
  NIST 800-53 中级不用于:
• 中小企业

NIST 800-53 高级（High）通常被基线要求高的大中型企业使用，主要集中在美国。
NIST 800-53高级可用于:

• 国防承包商(大型)
• 政府承建商(大型)
• 科技企业(大型)

NIST 800-53 高级不用于:

• 中小企业

6.3 NIST SP 800-171概述

美国国家标准与技术研究所(NIST)正在进行特别出版物(SP) 800-171的第二版(rev2)，保护非联邦系统和组织中的受控非机密信息。美国国家档案馆（NARA）为美国政府运作受控非机密信息（CUI）计划，NARA指定NIST SP 800-171和800-171A作为保护CUI的最低要求。NIST SP 800-171是美国国防部网络安全成熟度模型认证（CMMC）使用的控制基础。与其他NIST出版物一样，它是免费提供的，对公众免费。
链接：NIST 特别出版物入口

NIST 800-171可以被任何规模的组织使用，因为它是保护存储、处理和/或传输CUI（Controlled Unclassified Information，受控未分类信息）所需的一套控制措施。
NIST 800-171可用于:

• 国防承包商
• 政府承包商
• 技术企业(msp, MSPs等)

NIST 800-171不用于:

• 遵从FedRAMP或RMF

6.4. ISO 27001 / 27002概述

国际标准化组织(ISO)是一个非政府组织，总部设在瑞士。对于IT安全或合规性的新手来说，ISO可能有点令人困惑，因为2007年发生了重新命名，以保持ISO的IT安全文档在其文档目录的27000系列中- ISO 17799被重新命名并成为ISO 27002。为了避免混淆，ISO 27002是一份辅助实施ISO 27001的支持性文件。更令人困惑的是，需要注意的是，公司不能通过ISO 27002认证，只能通过ISO 27001认证。

标准的附录A包含构建信息安全管理系统（ISMS）所需的安全控制的基本概述，但ISO 27002提供了实际实施ISO 27001所必需的那些特定控制。大体上（Essentially），如果不实施ISO 27002，组织就无法达到ISO 27001标准:

• ISO/IEC 27001:2022 -信息安全、网络安全和隐私保护-信息安全管理系统-要求
• ISO/IEC 27002:2022 -信息安全、网络安全和隐私保护-信息安全控制
  为了简单起见，请记住ISO 27001列出了创建“信息安全管理系统(ISMS)”的框架（例如，一个全面的IT安全计划），而ISO 27002包含了构建一个全面的IT安全计划的实际“最佳实践”细节。由于ISO的信息安全框架自20世纪90年代中期以来一直存在，因此它在“正确的时间和地点”发展成为美国以外事实上的IT安全框架。您会发现ISO 27002被跨国公司和不需要特别遵守美国联邦法规的公司广泛使用。ISO 27002也比NIST 800-53“不那么偏执”，它的优点是不那么复杂，因此更容易实施。

关于ISO 27001/2，一个不幸的事情是ISO对其出版物收费，包括所有ISO出版物。
链接：ISO出版物入口

ISO 27001 / 27002通常被大中型企业使用，并得到国际认可（如ISO 27001认证）。
ISO 27001 / 27002可用于:

• 一般业务
• 零售
• 医疗保健
• 保险

ISO 27001 / 27002不用于:

• 国防承包商

6.5. NIST网络安全框架(NIST CSF)概述

NIST网络安全框架（NIST CSF）在主要网络安全框架中覆盖范围最小。NIST CSF非常适合那些只想与公认的网络安全框架保持一致的小型和不受监管的企业。NIST CSF的缺点是它的简洁性使其与常见的合规性要求不兼容，例如NIST 800-171、GDPR、CPRA/CCPA和PCI DSS（取决于SAQ级别）。对于这些，建议采用更全面的框架，如NIST 800-53或ISO 27002。
实际上，NIST CSF是NIST 800-53的“简化”和平民化版本。它是近十年前出现的，当时NIST 800-53完全专注于美国政府，因此需要NIST 800-53提供控制措施的子集，用于私营行业的非企业空间（如：为中小型企业量身定制）。在过去的十年中，不同的美国联邦机构发布了文件，描述了如何利用NIST CSF v1.1控制来遵守HIPAA, FINRA等。
总的来说，NIST CSF并没有引入新的标准或概念，而是利用和整合了由NIST和ISO等组织开发的行业领先的网络安全实践。NIST CSF分为五类控制措施：
• 识别（Identify）
• 保护（Protect）
• 检测（Detect）
• 响应（Respond）
• 恢复（Recover）
NIST CSF包括基于风险的指南汇编，可以帮助组织识别、实施和改进网络安全实践，并为网络安全问题的内部和外部沟通创建通用语言。NIST CSF旨在随着网络安全威胁、流程和技术的变化而发展。本质上，NIST CSF将有效的网络安全设想为对威胁和解决方案的动态、连续的响应循环。然而，应该避免使用“框架实现层”（framework implementation tiers），因为它给指导并不好。例如，在制定政策、标准或程序之前，组织必须达到第三级。这意味着一级和二级企业如果未能满足安全计划的“合理期望”（reasonable expectations），将被视为玩忽职守。这是一个“通往地狱的道路是由善意铺就”（注4）的例子，所以NIST CSF的组件应该避免。
注4：好心办坏事的意思。“通往地狱的路是由善意铺成的”是一句谚语，指的是虽然你可能相信自己在做好事，但这往往会给你和你周围的人带来负面影响。我理解这里是指不顾实际情况对组织提出过高要求反而容易背上法律责任风险。

NIST CSF通常被小型企业和不受监管的行业使用。
NIST CSF可用于:

• 一般业务
• 零售
• 医疗保健(小)
• 保险

NIST CSF不用于:

• 国防承包商

7. 网络安全策略、标准和程序旨在满足组织的合规需求

重要的是要记住，选择网络安全框架更多是业务决策而不是技术决策，因为外部法律、法规或框架中确定的网络安全和隐私控制直接影响您组织的内部政策、标准和程序。

• 政策Policies由组织的企业领导层制定，为支持组织的整体战略和使命所必需的网络安全和数据保护要求建立的“管理意图”。
• 控制Controls的目标是确定通常与法律、法规、行业框架或合同义务相关的技术、行政和物理保护。
• 标准Standards为网络安全和数据保护提供了组织特定的、可量化的要求。
• 指导方针Guidelines是推荐的附加指导，但不是强制性的。
• 程序Procedures（也称为控制活动）建立已定义的实践或步骤，这些实践或步骤是为了实现标准和满足控制/控制目标而执行的。

8. 构建网络安全和隐私文档的分层方法

分层网络安全治理框架（HCGF）是网络安全和隐私文档的“ComplianceForge参考模型”。这个免费指南是一个文档模型，它利用行业公认的术语，在逻辑上将这些文档组件按正确的顺序排列。该模型创建了一种简洁、可扩展且全面的文档架构方法。当所有这些都安排得当时，组织的网络安全和数据保护文档应该是分层的，并从策略到指标一直链接在一起。下面显示的泳道图定义了术语，并演示了这些不同文档组件之间的联系。
这一切都始于影响者（influencers）——这些外部和内部的影响者为网络安全和数据保护运营的尽职调查奠定了基调。

• 对于外部影响者，这包括公司必须解决的法定要求(法律)、监管要求(政府法规)和合同要求(具有法律约束力的协议)。
• 对于内部影响者来说，这些都是业务驱动的，更关注管理层对一致、高效和有效运营的预期，包括：
  • 与业务战略保持一致
  • 达到业务目的

从根本上说，选择网络安全框架的过程必须由您的组织从法律、监管和合同的角度有义务遵守的内容驱动，因为这种理解建立了最低限度的必要要求，以便:

• 通过能够证明与“合理预期”的安全和隐私做法有关的尽职勤勉（due diligence）和尽职关注（due care）的证据，避免被视为疏忽;
• 通过适当的控制来保护组织的系统、应用程序和流程免受合理的威胁，从而正确地处理风险管理预期。

一旦知道了需要满足的最低需求，它就可以帮助组织缩小范围，找到最合适的框架。正如“框架图谱”（如下）所示，它有助于描述并非所有框架都是相同的，需要专注于为组织选择最合适的网络安全控制(例如，控制框架)。

9 遵从NIST CSF, ISO 27002或NIST 800-53需要哪些文件?

要正确执行NIST CSF, ISO 27002或NIST 800-53，需要的不仅仅是一套政策和标准。虽然这些是构建与该框架一致的网络安全计划的基础，但仍需要特定于计划的指导，以帮助实施这些政策和标准(例如，风险管理计划、第三方管理、漏洞管理等)。了解符合NIST CSF、ISO 27002和NIST 800-53的要求是很重要的，因为预期水平有很大的不同。
当组织开始考虑“我们应该购买什么来遵从或与某框架保持一致？”时，对各种框架的预期有所了解是很重要的。当组织从较弱到更健壮的控制覆盖范围的维度来看这些框架时，基本的预期是，当组织沿着这个范围推进时，会产生更多的需求。下面的图表有助于识别与NIST CSF、ISO 27002、NIST 800-53和NIST 800-171/CMMC要求相交的各种ComplianceForge产品。如本页顶部的频谱图所示，遵从NIST CSF框架的要求较少，而ISO 27002则要求更多。然而，ISO 27002的要求比NIST 800-53还少。（译者：言下之意，SP800-53是要求最多的）