美國總統川普(Donald Trump)正式簽屬美國商務部國家標準與技術研究所(NIST)中小企業網路安全法案(Small Business Cybersecurity Act),要求NIST向中小企業提供網路安全所需要的資源。

NIST中小企業網路安全法案最初在2017年4月,由眾議院起草提出,而後被併入美國聯邦法律S.770,要求NIST在該法案通過一年內,為中小企業發布防範網路攻擊指南,提供幫助辨識、評估和降低網路安全風險的一系列資源,這些資源除了指南,還包括工具、最佳實踐、標準以及方法等。

而S.770還要求NIST在訂定這些建議作法時,需要考量中小企業的需求,重點要求像是建議必須要能廣泛適用,並且維持技術中立,讓中小企業可以使用基於國際標準的現成商業解決方案來實施,另外,還要提供可執行的元素,透過促進簡單意識和基本控制,來培養企業網路安全的文化,在達成這些目的同時,還要兼顧股東利益。

這項法律在川普簽署前,在參議院一致通過,這個法律特別之處在於,具體的描述NIST向中小企業提供資訊的方法,以及提供資訊的種類,其規定資訊必須在NIST的網站上隨時保持更新,甚至還規範資訊必須要具一致性並且清楚簡潔。

NIST被要求完成許多工作,並且其建議要在中小企業可以負荷的情況下進行,不過,在過去NIST發出的安全指南中,其採用的工具或是方法都超出一般中小企業可負擔的範圍,更別說要小型企業聘請全職的網路安全團隊開發內部安全工具。

由於國會認為中小企業的網路易受駭客攻擊,因此催生了這個法案,但是外界仍在觀察這個法案產生的後續效應,因為該法案並沒有分配預算,即便這個法案要執行的工作看似很龐大,但是NIST需要使用和過去一樣的資源,完成這些任務,後續執行的情況值得觀察。

熱門新聞

Advertisement