NIST《网络安全框架》v1.1 全文中文翻译

前段时间，数据法盟DataLaws公益翻译小组全文翻译了《美国隐私框架1.0》，广受数据法共同体的欢迎。在此基础上，我们又完成了对其姊妹篇《美国网络安全框架1.1》的全文翻译，以飨读者！

美国依赖于关键基础设施的可靠运行。网络安全威胁利用了关键基础设施系统的日益复杂性和联结度，使国家的安全、经济、公共安全和健康处于危险之中。与财务和声誉风险类似，网络安全风险也会影响公司的根本利益。它会推高成本并影响收入，也会损害组织创新能力、以及赢得和维护客户的能力。网络安全是组织进行全面风险管理的一个重要且日趋关键的组成部分。

为了更好地应对这些风险，2014年《网络安全加强法案》（CEA）中更新了美国国家标准与技术研究院（NIST）的职责，包括识别和开发网络安全风险框架，供关键基础设施所有者和运营商自愿采用。通过CEA、NIST必须识别 “一种优先、灵活、可重复、基于绩效的且兼顾成本收益的方法，其中包含信息安全措施和控制，以供关键基础设施所有者和运营者在识别、评估和管理网络风险时自愿采用。”这正式确立了NIST先前依据13636号行政命令（Executive Order (EO) 13636）“提升关键基础设施安全”（2013年2月）开发框架1.0版的工作, 并为后续的框架演进提供了指导。该框架是根据13636号行政命令进行开发的，并根据CEA发展持续演进，它采取了通用语言，立足于业务和组织需求，以一种兼顾成本和收益的方式解决、管理网络安全风险，而不向业务部门提出额外的监管要求。

该框架关注通过业务驱动指导网络安全活动，并将网络安全风险视为组织风险管理过程的一部分。该框架由“框架核心”、“框架实现层级”和“框架轮廓”三部分组成。框架核心是一系列的网络安全活动、目标成果和关键基础设施部门通用的参考性文献。核心的要素为编制单个组织的框架轮廓提供了详细的指导。通过使用轮廓，该框架将帮助组织根据其业务或愿景的要求、风险承受能力和资源调整其网络安全活动并确定其优先级。这些层级为各组织提供了一种机制，使其能够审视、了解其网络安全风险管理方法的特点，这将有助于网络安全目标优先顺序的确定和实现。

该框架通过总结当今行之有效的标准、指南和实践，得出多种网络安全方法，进而提出了一个共同的组织架构。此外，由于该框架参照了全球公认的网络安全标准，因此可以作为加强关键基础设施以及其他部门和社区网络安全国际合作的典范。

该框架从包含网络安全对“物理”、“网络”和“人”三个维度影响的角度，为解决网络安全问题提供了一种灵活的方法。它适用于依赖技术的组织，无论其网络安全关注点是否主要是信息技术（IT）、工业控制系统（ICS）、网络物理系统（CPS）或是更普遍的连接设备，包括物联网（IoT）。该框架可以帮助组织解决网络安全问题，因为它影响到客户、员工和其他主体的隐私。此外，该框架的成果可以作为劳动力发展和演变活动的目标。

这一框架不是一种管控关键基础设施网络安全风险的普适方法。组织将因不同威胁、不同脆弱性、及其不同的风险承受能力持续面临其特有风险。他们还会在自定义框架中的实践描述上有所不同。组织可以确定影响关键服务交付的重要活动，并优先安排投资，以最大限度地发挥每份投资的作用。最终，该框架旨在减少并更好地管控网络安全风险。

基于此，DataLaws成立本译组，专门对美国《网络安全框架1.1》进行全文翻译，期待为数据法实务界及理论界的各位同仁提供参考。

借此机会向所有译校者的无私奉献致敬，他们分别是：组长：李芊晔；译校成员：刘洪森、葛迎、曾希雯、李双喜、李烨茗、赵彤彤、袁俊、刘玲麟、洪玮、李芊晔、洪振宇等数据法同仁。感谢他们的无私奉献！

以下是美国《网络安全框架1.1》中译本全文：