미국 NIST CSF 인증
미국 NIST CSF 인증
-
개요
미국 NIST에서 발표한 사이버 보안 관련 리스크를 관리하기 위한 표준, 지침 및 모범 사례로 구성된 프레임 워크
2013년 2월 오바마 대통령이 발표한 국가 주요 기반시설의 사이버 위협 대응 강화를 위한 행정명령에 따라 2014년 2월 2일마련
2017년 5월에 서명된 연방 네트워크 및 중요기반 시설의 사이버 보안강화에 관한 행정명령에 따르면 미국정부기관은 기관 시스템에 대한 위험 평가를 수행 할때 NIST CSF또는 후속 문서를 사용해야함
2018년 4월 16일에는 개정판에 해당하는 인프라사이버 보안 개선을 위한 프레임워크 1.1이 발표됨
※미국의 주요 보안 표준 / 지침 사례
구분 설명 인증마크 NIST SP800-53 Security and Privacy Controls for Information Systems and Organizations 
NIST SP800-63 Digital Identity Guidelines NIST SP800-161 Cybersecurity Supply Chan Risk Management Practices for Systems and Organizations NIST SP800-171 Protecting Controlled Undassifled Information Nonfederal Systems and Organizations NIST SP800-207 Zero Trust Architecture -
대상
국가의 주요 인프라 및 글로벌 공급망과 관련한 제품과 서비스를 제공하는 책임이 있는 모든 규모의 조직
-
기준
정보 보호 및 사이버 보안 조치의 구축과 적용에 대한 비용 효율적이고 유연하며 우선 순위에 따른 반복 가능한 접근법 제공
CSF구조 및 요구사항
구분 설명 프레임 워크 코어 조직이 특정 사이버보안 결과를 달성하도록 돕는 일련의 활동으로 구성
1)Identify -> 2)Protect -> 3)Detect -> 4)Response -> 5) Recover프레임워크
프로파일기능, 카테고리 및 하위 카테고리를 조직의 특정 비지니스 요구사항, 리스크 허용
수준 및 자원과 일치시키는데 도움프레임워크
구현계층조직이 사이버보안 리스크를 바라보는 방식과 그 리스크를 관리하기 위해 보유하고 있는 프로세스에 대한 맥락을 제공
계층의 범위는 부분 부터 적응까지가 해당
CSF Tiers(4단계)
* KISA주관, 2022년 ISMS-P인증 심사원 온라인 워크샵 발표자료