彼时，NIST研讨会适逢中国《关键信息基础设施安全保护条例》施行一周年和《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）标准于2022年11月正式发布，实际上也到了对条例进行整体的“立法后评估”和研判改进的阶段，借助于多方参与和建言献策，有助于提升条例设定的关键信息基础设施安全保护体系的稳健性，扩展其保护弹性。
 

众多行业机构和社会化安全服务机构的参与，这也是《网络安全法》第31条规定的“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系”的“主动防御”的应有之义。（我们也注意到，主动防御在GB/T 39204-2022有大幅内容增加，其本质上属于一类安全保护机制，但标准将其从一般的前置安全防护、过程监测预警和后置的事件处置中独立出来，旨在强调其在关键信息基础设施保护中的独特价值）

从中国的《关键信息基础设施安全保护条例》和美国的《关键基础设施安全保护框架》的异同看，两者在保护范围、保护方法上有一些类似，包括都隐含了以风险管理为出发和按照设施与数据的内外部风险因素、生命周期进行管理的流程化思路，通过一些弹性和预留设计，可以实现对特定风险管理策略和措施的模块化部署和增强等等。

两者对个人信息和隐私直接保护的粒度上存在不足也属于共识，但如何实现保护路径的打通则各有选择；此外两者也存在一些现象级的差异，最重要的包括两国在关键（信息）基础设施的权属和运营者上存在区别，由此出发导致两者在强制适用性和标准化支持方面产生明显不同，基于CSF形成的认证和国际化认可生态方面也有较大差异等等。

目前CSF进入迭代2.0的关键时期，中国的《信息安全技术 关键信息基础设施安全保护要求》正式发布也将接受行业实践的广泛考验，以下是国际云安全联盟CSA对CSF的建议摘选，也期待能为国内关基单位《关键信息基础设施安全保护条例》的落地和进一步细化、完善有所启示或参考。

国际云安全联盟CSA在为 NIST安全框架提供指导和框架修改方面，有关的风险管理考虑整体概述如下：

1、目前的框架虽然针对关键基础设施，但没有提供指导或讨论：当该框架应用于指定的关键基础设施部门而非真正的关键部门时，如何校准组织的风险容忍度以及相应的风险偏好。从风险的角度来看，确定关键部门的推论是该组织对风险的容忍度低于非关键部门。因此，应该提高安全控制、政策和程序的强度，以最大限度地减少暴露和成功攻击的风险和可能性。这对组织如何设计企业风险管理计划（ERMP）至关重要。企业风险管理计划能够确保组织的关键部门适当地处理和加强控制，以达到降低组织的风险容忍度的需求。

2、目前的NIST框架没有识别也没再讨论与采用和/或使用基于云的服务和平台有关的技术和其他风险。当务之急是认识到、并衡量此类"固有风险"，以及将其纳入组织的风险登记（册），以确保建立相关的和适当的控制、程序和流程，有效管理所有引入的云风险。

3、以下给出旨在识别和讨论组织采用云计算相关的大量固有风险的示例。