[美国下一届政府网2022年4月26日报道] 代表美国最大互联网服务提供商的贸易协会要求美国国家标准与技术研究所（NIST）将其里程碑式的网络安全框架（一个用于组织自愿实施的安全控制菜单）与拜登政府要求NIST公布的关键基础设施性能目标相连接。

乌斯特莱科姆在给NIST的评论中写道：“目前的网络安全框架是有效的，因此变化应该是最小的。然而，如果网络安全框架不可避免的需要变更，那么NIST应该解决向后兼容性问题，尤其是与美国政府的其他努力相关的问题。确保国土安全部、网络安全和基础设施安全局能够制定其跨部门控制系统网络安全绩效目标和部门特定绩效尤其重要将目标转换为网络安全框架，而不会在短时间内使映射变得过时。”

NIST开启了一个公众评论期，以接收对最初于2014年发布的框架的反馈，该评论期于周一结束。与该机构分享的意见还将影响NIST履行第14028号行政命令规定的其他义务的工作，包括那些专注于确保软件供应链安全的义务。

NIST在评论征集中写道：“这种广泛的公私合作关系将侧重于为技术开发人员和供应商确定工具和指导，以及为获取此类技术的人员提供面向绩效的指导”。

NIST已经建议机构将政府供应商的说法作为政府“零信任”运动的一部分。

建立绩效目标是拜登政府的一项努力，目的是贯彻奥巴马总统的设想，即私营部门实体可能已经受到激励，改善其网络安全，因为如果不解决其弱点，它们的声誉和一般业务运营将面临风险。国会现在也在考虑政府如何在管理“商业”信息和通信技术的安全方面应用性能目标或标准，这一类别通常包括主要的ISP和云服务提供商。当奥巴马下令建立网络安全框架时，他还禁止将此类技术作为“关键基础设施”进行管理。

在网络安全与基础设施安全局和网络安全界一直强调网络攻击可能会产生非常真实的物理影响，以及总体而言——一种更全面的解决系统性风险的方法之际，乌斯特莱康的评论还建议在其他风险考虑的真空中使用网络安全框架。

乌斯特莱康网络安全高级总监保罗·艾斯勒写道：“网络安全框架本身不应扩展到解决非网络风险，因为这样做可能会妨碍其网络专用功能。企业面临一系列财务、声誉、劳动力、新冠疫情相关风险和其他风险。网络安全框架不应扩大到解决其他风险，而应作为自愿、灵活框架的模型”。（国家工业信息安全发展研究中心 张昇）