2022年2月,美国商务部下设的国家标准与技术研究所(NIST)发布了最终版《基于NIST网络安全框架的勒索软件风险管理内部报告》,这是对2020年以来重大勒索攻击事件从技术和管理层面的整体策略回应,同时也是履行其基于2014年《网络安全促进法》和制定、完善《提升关键基础设施网络安全框架》(Framework for Improving Critical Infrastructure Cybersecurity,2018年1.1版本,本文统称网络安全框架,下同)的行政职责。 CSA大中华区隐私与个人信息保护法律工作组翻译了该文件(有删减),以期对国内的关键信息基础设施保障和提高应对勒索攻击的能力上有所借鉴,特别是在支持《关键信息基础设施安全保护条例》制度落地的方法论和策略方面,且在具体的应用场景上与网络安全等级保护的措施形成有益的补充和对照。 值得注意的是,本报告的风险控制主要是在组织层面实现,这与《关键信息基础设施安全保护条例》专章突出行业、领域的保护工作部门的机制有所不同,企业在参考时应予以关注和区别。