美國國家標準與技術研究所網路安全框架( NIST CSF )第一版於2014年釋出，旨在幫助各類組織機構加強自身網路安全防禦，最近更新到了1.1版。該框架是在奧巴馬總統授意下，由來自政府、學術界和各行各業的網路安全專業人士編撰的，特朗普執政後納入了聯邦政府策略範疇。
儘管絕大多數公司企業都認識到了這項改善所有企業網路安全的有益協作的價值，調整和實現該框架確實說起來容易做起來難。NIST CSF 的內容都是公開的，誰都可以查閱，此處不再贅述。這裡要討論的，是可以幫助公司企業根據自身情況現實應用 NIST CSF 的五個步驟。

在開始考慮實現 NIST CSF 之前，公司企業必須先著眼設定自己的目標。過程中遇到的第一個困難通常是在公司範圍內就風險承受水平達成一致。在風險的可接受水平由什麼組成這個問題上，高階管理層和IT部門之間通常存在斷層。
首先，制訂一份關於治理的協議草案，明確到底哪種風險水平是可以接受的。在進行到下一步前所有人都必須就此達成共識。另外，規劃預算、設立實現優先順序和需重點關注的部門也非常重要。
從公司裡單個部門或少數幾個部門入手意義重大。你可以通過試運行了解到哪些方法有效而哪些是無用功，還可以為後續的廣泛部署發掘出正確的工具和最佳操作。試執行專案可以幫你構建更深入的實現，更精準地估測預算。

下一步就是根據公司具體業務需求深挖並調適框架。NIST的框架實現層可以幫你瞭解自身當前位置和需要到達的地方。分為3個領域：
風險管理過程
整合風險管理專案
外部參與
與 NIST CSF 大部分內容一致，這些也不是一成不變的東西，可以根據公司具體需求來調整。你也可以將之歸類為人員、過程和工具，或者往框架中加上兩個自己的類別。
上述3個領域都有4個層次。
第1層 - 不全面的：一般表示一種不協調、不一致的反應式網路安全站位。
第2層 - 風險指引型：有一些風險感知，但規劃還是一致的。
第3層 - 可重複的：表明覆蓋公司範圍的CSF標準和一致的策略。
第4層 - 自適應的：指的是主動式威脅檢測與預測。
層次越高，CSF標準的實現越完整，但最好調整這些層次以確保它們與自身目標相貼合。可以用自定義的層次來設定目標得分，但要確保在推進前徵得所有利益相關者的同意。最有效的實現是針對具體公司和業務仔細調適過的那種。

前面2步走完，就到了執行細緻的風險評估以建立自身當前狀態的時候了。最好既有具體職能部門的內部評估，又有針對整個公司的獨立評估。尋找能評測你目標領域的開源工具和商業軟體並訓練員工使用這些工具軟體，或者僱傭第三方來做風險評估。比如說，漏洞掃描器、CIS基線測試、網路釣魚測試、行為分析等等。要確保的是，執行風險評估的人不知道你的目標得分是多少。
CSF實現團隊要在呈交給關鍵利益相關者之前收集並核對最終得分。評估過程的目的是讓公司明確瞭解自身運營(包括使命、職能、形象或聲譽)、資產和人員所面臨的安全風險。此過程應發現並完整記錄漏洞與威脅。
舉個例子，下面的圖表中，公司標出了3個職能領域：策略、網路和應用。這些可能分佈在混合雲上，也可能被打散到不同環境以便能在更細緻的層次上跟蹤——這種情況下需要另外考慮不同部門領導是否需對現場及雲端部署負責。
左側熱度圖列出了不同CSF功能，可被擴充套件到任意粒度。採用4級量表，綠色表示一切OK，黃色代表該領域還需要做些工作，紅色說明尚需認真分析和校正。這裡，出於跨業務部門核心小組比較評估分數的目的，“識別”核心功能被打散了。SME和核心得分是根據企業目標平均的，然後再計算風險缺口。缺口大說明需要加快修復。這張表中，該公司的“防護”和“響應”功能是最弱的。

有了對風險和潛在業務影響的深入認知，便可以開展缺口分析了。要將自身實際得分與目標得分做對比，或許可以考慮採用熱度圖以直觀易懂的方式來呈現結果。任何顯著差異都會立即凸顯出你應加以關注的領域。
你得找出補足當前得分與目標得分間差距所需要完成的工作，發現一系列可以用來提升得分的動作，並與所有關鍵利益相關者商討執行這些動作的優先順序。具體專案要求、預算考量和人員配備水平可能都會影響到你的計劃。

上面4步為你帶來了自身防禦現狀的清晰圖景、一套貼合公司情況的目標、全面的缺口分析和一系列修復動作，於是你終於走到了實現 NIST CSF 這一步。將你的第一次實現當做為後續廣泛實現記錄過程和建立培訓資料的機會。
行動計劃的實現並不是終結，你還需設定標準來測試其有效性，並不斷重新評估該框架以確保符合預期。這裡面就應包含持續的迭代和與關鍵決策者進行驗證的過程。為收穫最大益處，你需要精煉實現過程，進一步校正 NIST CSF，使其更加貼合你的業務需求。