NIST CSF 包含的术语和概念可能以特定方式表达，包括框架实施中可能独有的视角和用法，与您在正常操作中习惯处理的内容不同。 您必须对整个行业使用的安全基础知识有基本的了解。例如，在我们的课程中会大量提到我们熟悉的 CIA 三要素。 此外，在本课程的所有主题讨论中，都会包含框架的某些方面。我们将在此介绍它们，其中包括网络安全与信息安全、业务驱动因素与环境以及网络安全基础。这些概念将包含在本课程所有 Modulation 的各种讨论中，您应该熟悉这些概念。

NIST CSF 因为是基于风险的网络安全风险管理方法，所以由三部分组成：框架核心及其四个领域和五个流程，框架的四个实施层级及其方案和流程，以及框架简介、目标、类型和级别。 框架的每个组成部分都加强了业务和任务驱动因素与网络安全活动之间的联系。

NIST CSF 提供了一种通用语言，用于在负责提供重要关键基础设施产品和服务的相互依赖的利益相关方之间沟通要求。 例如，一个组织可以使用目标配置文件向外部服务提供商（如向其输出数据的云提供商）表达网络安全风险管理要求。此外，组织还可以通过当前配置文件表达其网络安全状态，以报告结果或与获取要求进行比较，我们将在课程中介绍更多示例。

风险管理是识别、评估和应对风险的持续过程。为管理风险，组织应了解事件发生的可能性以及可能造成的影响。有了这些信息，组织就能确定实现组织目标可接受的风险水平，并可将其表述为风险容忍度。 影响组织的风险可能造成从经济绩效影响到专业声誉的后果。在本课程中，我们将讨论 RMF 流程，它为管理安全和隐私风险提供了一个规范、结构化和灵活的流程，其中包括信息安全分类；控制选择、实施和评估；系统和通用控制授权；以及持续监控。我们还将讨论如何通过识别、评估和应对风险来管理风险，从而帮助组织在充满不确定性的环境中更好地开展工作。

网络 SCRM 是管理与外部方相关的网络安全风险所需的一系列活动。更具体地说，网络 SCRM 既涉及组织对外部各方的网络安全影响，也涉及外部各方对组织的网络安全影响。

核心功能是一个类别、子类别和信息参考的列表，描述了所有关键基础设施部门共同的具体网络安全活动。这些功能并不是为了形成一条串行路径，也不是为了达到一个静态的预期最终状态。相反，这些功能应同时持续执行，以形成一种应对动态网络安全风险的 Operator 文化。本课程介绍了六个框架核心功能（治理、识别、保护、检测、响应和恢复），并包括类别、子类别和信息参考的说明。

CSF 旨在补充现有的业务和网络安全 Operator。它可以作为新网络安全计划的基础，也可以作为改进现有计划的机制。它提供了一种向业务合作伙伴和客户表达网络安全要求的方式。此外，它还有助于找出企业网络安全实践中的差距。课程概述了组织可采用哪些步骤，通过创建档案将其当前的网络安全活动与 CSF 核心中概述的活动进行比较，以确定是否有机会或需要改进。

CSF 旨在通过改善对组织目标的网络安全风险管理来降低风险。理想情况下，使用该框架的组织将能够衡量和分配其风险值，以及采取措施将风险降低到可接受水平的成本和效益。本课程介绍了清楚了解组织目标的重要性、这些目标与支持性网络安全成果之间的关系，以及如何实施和管理这些离散的网络安全成果，以帮助组织预测网络安全风险是否可能发生，以及可能产生的影响。