美国通过《NIST小企业网络安全法》，为小企业提供网络安全指导资源

【时事摘要】

《NIST小企业网络安全法案》（https://www.congress.gov/bill/115th-congress/house-bill/2105/text）最初于2017年4月被提议为HR 2105，后来被纳入美国联邦法律S.770。通过国会召集，美国参议院和众议院制定与批准，历时一年四个月后，终于由美国总统唐纳德·特朗普于上周二（2018年8月14日）正式签署，纳入美国法律。

该法案要求国家标准与技术研究院（以下简称“NIST”）院长在法律通过后一年内发布指引和一系列“清晰、简洁”的资源，以帮助中小企业识别、评估和降低其网络安全风险。It requires NIST to "disseminate clearand concise resources to help small business concerns identify, assess, manage,and reduce their cybersecurity risks."。

该法案修订了国家标准与技术法案，要求国家标准与技术研究院促进与支持小型企业基于共识的自愿性行业指导方针和有效降低关键基础设施网络风险程序的发展。

（来源：https://www.securityweek.com/nist-small-business-cybersecurity-act-becomes-law）

【M姐评论】

立法背景：

《NIST小企业网络安全法案》（以下简称“该法案”）的制定主要是要求NIST提供专门针对小型企业（SME）的网络安全资源。这些资源是为了提高对简单基本控制的认识; 工作场所网络安全文化; 和第三方利益相关者的关系，以帮助中小企业减轻常见的网络安全风险。资源应该是技术中立的，可以使用商业和现成技术来实现，并应符合《2014网络安全增强法案》的要求，该法案给予了更多的重视和支持NIST网络安全框架。NIST网络安全框架是建立网络安全标准化方法的良好开端。虽然大型组织广泛使用，但中小企业通常会忽视NIST框架。

立法目的：

• 提高小企业的网络安全

2017年3月发布了一项针对1,420名小企业主的调查，该调查显示目前“小型企业占美国雇主的99.7％[来源于SBA数据]，多达50％的小企业[来源于CNBC数据]经历了网络攻击，小企业网站平均每天可能遭受多达50次攻击[来源于Sitelock数据]。只有69％的小企业主拥有控制措施来防止黑客入侵--这意味着三分之一的小企业主没有安全措施。然而，小企业现在越来越多地成为电子邮件泄密、敲诈勒索（例如勒索软件）和网络攻击（特别是那些业务可能是大型组织供应链的一部分）的对象。

由于小型企业往往没有配备专门IT资源或人员来保护他们的网络，也不具备足够的资源来防范复杂的网络攻击，因此，网络攻击可能对小企业及其客户造成灾难性的影响。关注《小企业网络安全的法案》对保护美国经济起到至关重要的作用。该法案向小企业提供了联邦机构的资源和协调支持，特别是满足小企业的独特需求，帮助他们保护敏感数据和系统免受窃贼和黑客攻击，更好地管理风险，帮助小企业减少他们的网络安全风险。

• 适用对象

小企业是本法案的适用对象。本法案将小企业的概念直接指向了《小企业法案》（15 U.S.C. 632）第三章中给出的定义：

小企业，包括但不限于食物生产企业、织物制造企业、牧场、水产养殖业以及所有其他农牧行业，该类企业应为个体独立拥有、独自经营且在该领域并非占主导地位。

除上述约定的标准外，NIST负责人可以为执行本法案或者其他法案而细化小企业的定义或确定小企业的标准，包括：雇佣员工数、营业额、资本净值、净收入或综合上述各项标准或其他适合的指标。

此外，确定小企业的规模标准会根据不同的行业而有所调整，从而反映出不同行业的不同特点并将其他相关因素考虑进去。

适用要求：

NIST小企业网络安全法案将为小企业提供资源和简化的网络安全框架，以便他们能够有效地保护企业免受威胁。

• 由NIST与其他联邦机构发布资源

NIST必须与其他联邦机构协商，在其网站上发布小型企业可能自愿使用的标准、方法和资源，以帮助识别、评估、管理和降低其网络安全风险。

为执行《国家标准与技术研究院法案》第2(e)(1)(A)（viii）的规定，资源必须：（1）包括可应用于实践的案例研究；（2）尽可能基于国际标准；（3）根据小企业的性质和规模以及所收集或存储的数据性质和敏感性不同而有所不同；（4）能够提高对第三方利益相关者关系的认知，以帮助小企业减轻常见的网络安全风险；以及（5）与《2014年网络安全增强法案》（见下述具体解释）保持一致，增强国家网络安全意识和教育计划。

其他联邦机构可以选择在自己的网站上发布资源，但所发布的资源需要保持一致并且清晰、简明，并且可以确保按本法案要求进行更新。

• 要提供的资源是信息性的

它们必须普遍适用于广泛的小型企业; 因小企业的性质和规模而异; 促进网络安全意识和工作场所网络安全文化; 并包括实际应用策略。资源必须进一步技术中立并与COTS解决方案兼容; 并尽可能符合国际标准和《1980年的史蒂文森- 威德勒技术创新法案》（见下述具体解释）规定。

• 小企业使用这些资源是自愿的

该法案将为小型企业提供巩固其网络安全基础设施和打击在线攻击的工具。但小企业是否选择使用政府所提供的资源，由其自愿意志决定。

本法案涉及的其他法案：

• 《1980史蒂文森—怀德勒技术创新法案》15 U.S.C. 3701 et seq.条款：

该条款指出了技术和工业创新对美国经济、环境和社会福祉的重要性。认为技术和工业创新能够创造新的产业，从而创造就业机会，提高生活水平，提高社会生产力，提高公共服务水品，提高美国产品在世界市场上的竞争力。因此国家应当出台政策促进技术和工业创新。国家要资助新技术的研究和开发者，以促进他们向企业和政府提供有潜在用途的科学和技术发展成果。而小企业在推进工业和技术创新方面发挥了重要作用，国家应充分认可为这种技术创新或培养技术人才做出突出贡献的个人和公司。

• 《2014网络安全增强法案》（15 U.S.C. 7451）第401条规定的安全意识与教育项目

这个项目是由国家标准与技术研究院负责人与相应的联邦机构、咨询行业、教育机构、国家实验室、网络和信息技术部门研究和开发的。

由负责人确定一个网络安全技术标准和最佳实践的做法，将此标准和做法在全国范围内广泛传播，并努力使上述标准和做法可供个人、中小型企业、教育机构以及政府使用。提高公众对网络安全和网络道德的认识。增加政府、高等教育机构和私营部门实体对以下两点的了解：确保信息技术有效风险管理的好处与未能做到这一点的成本；缓解和补救漏洞的方法。支持所有教育层次的正式网络安全教育项目，培养网络安全和计算机科学人才。评估和预测未来的网络安全劳动力需求，制定培训战略。

之后，负责人与相关联邦机构和其他利益相关者合作，制定和实施了一项战略计划，以支持国家网络安全意识和教育计划。

• 《2017财政年度国家国防授权法案》中确定的小企业发展中心网络战略

小企业发展中心网络战略是小企业管理局局长和国土安全部长协同制定的。战略包括以下内容：

一是，允许小型企业发展中心（以下称为“SBDC”）的计划进入现有美国国土安全部和其他适当的联邦机构的网络计划，以加强服务和简化网络援助，以解决小企业的问题。    

二是，为小企业提供咨询和协助，以改善其网络安全基础设施，提高其网络威胁指标意识，为其提供员工网络培训计划。

三是，分析SBDC如何利用联邦政府的计划来改善小企业对高质量网络支持的获取，以及SBDC为有效地发挥其作用可能需要的额外资源。

M姐的担心与建议

由于是否使用法案中所提供的资源是小企业的自愿行为，因此，有些小企业可能仍然会忽视网络安全，也不寻求解决方案。如果他们不寻求解决方案，也不会更好地利用NIST资源。在小企业并没有采取更积极的方式情况下，他们可能会错失这个机会并继续处于危险之中。因此，M姐认为，下一步是否需要对小企业所实施的行为或者安全处理行为要求进行适当必要的记录要求或者进行审计，可能是解决上述担心的有效方法之一。

尽管M姐对“自愿使用”存在些许担心，但该法案的立法目的与相关做法却是非常值得我国立法借鉴的。对于能力弱、经济实力差、自我保护措施不够完善的小企业的网络运营安全方面，国家是否可以给予更多的资源支持与协调呢？值得我们思考。

全文翻译：

注：崔卫红、谭德芳对本时评中涉及资料的查询亦有贡献。

下载该法案中英文译文：https://pan.baidu.com/s/1fueMUgSY6Mhv8VZh2m3gGQ

声明：本文来自网安寻路人，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。