空间与技术委员会通过NIST《网络安全框架》法案

E安全3月2日讯 美国众议院科学、空间与技术委员会于周三通过了《网络安全框架》法案。按照此法案规定，美国国家标准与技术研究院（简称NIST）将向联邦机构说明如何实施这个《网络安全框架》（Cybersecurity Framework）。这份框架专为拥有并运营关键行业的公司制定。

对于采用该框架的机构而言，遵守这项法案，就不必满足联邦信息安全规则的传统合规要求。
美国众议院科学、空间与技术委员会通过的这项立法为——《2017 NIST网络安全框架、评估和审查法》（NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017）（H.R. 1224），以19：14的投票通过。


投票记录
委员会一位助理表示，这项法案旨在推进联邦机构使用NIST《网络安全框架》，NIST将为联邦机构提供实施该框架的指南。该框架是在重要行业投入下制定的，包含一系列灵活的自愿准则供企业用来评估并管理网络安全风险。
这位助理指出，法案旨在提高联邦网络的网络安全准备和防御能力。但是，这项法案不能强制联邦机构使用此框架，因为美国众议院科学、空间与技术委员会只对NIST具有管辖权。众议院监督和政府改革委员会或国土安全委员会可能需要通过一项法案。
他表示，“我们已经与其它委员会的同事讨论网络安全监督，还在初期讨论阶段，我们基本上让他们参与了我们目前正在做的事。”
一份行政令也将奏效。例如，特朗普政府官员拟定的网络安全行政令草案将强制联邦机构采用NIST这个《网络安全框架》。但是，这份草案一直搁置数周，仍无任何要行动的迹象，其未来不明朗。
科学、空间与技术委员会通过的这项法案还将强制NIST首先评估，之后使用基于结果的指标和测试来审查机构对该框架的使用情况。
这名助理表示，“最终，该框架应该取代当前《联邦信息安全现代化法案》（the Federal Information Security Modernization Act，FISMA）的网络安全要求。”他将该框架称之为“更符合21世纪的方法。”


“这份框架是风险管理...协调和调整所有这些网络安全要求的好工具。为了避免新的规则和安全措施重叠，我们认为该框架最终应取代FISMA。”
他总结道，“从我们的观点来看，这将是一个重大改进。”
但是NIST的审查角色是委员会民主党困惑的症结。德克萨斯州民主党人Eddie Bernice Johnson表示，“我不记得任何专家曾建议，让NIST担负起对其它机构执行年度网络安全审查的职责。NIST并非审查机构。他们过去没有这样做过、缺乏专业知识或能力”。她反对该法案。
这名助理表示，下一步举措轮到众议院决定。每个人都非常专注网络安全立法的下一步方案。但我们不确定这项法案的具体确定时间。


转自：E安全