美国政府要为中小企业提供适合的网络安全建议及资源

美国总统川普（Donald Trump）正式签属美国商务部国家标准与技术研究所（NIST）中小企业网络安全法案（Small Business Cybersecurity Act），要求NIST向中小企业提供网络安全所需要的资源。

NIST中小企业网络安全法案最初在2017年4月，由众议院起草提出，而后被并入美国联邦法律S.770，要求NIST在该法案通过一年内，为中小企业发布防范网络攻击指南，提供帮助辨识、评估和降低网络安全风险的一系列资源，这些资源除了指南，还包括工具、最佳实践、标准以及方法等。

而S.770还要求NIST在订定这些建议作法时，需要考量中小企业的需求，重点要求像是建议必须要能广泛适用，并且维持技术中立，让中小企业可以使用基于国际标准的现成商业解决方案来实施，另外，还要提供可执行的元素，透过促进简单意识和基本控制，来培养企业网络安全的文化，在达成这些目的同时，还要兼顾股东利益。

这项法律在川普签署前，在参议院一致通过，这个法律特别之处在于，具体的描述NIST向中小企业提供资讯的方法，以及提供资讯的种类，其规定资讯必须在NIST的网站上随时保持更新，甚至还规范资讯必须要具一致性并且清楚简洁。

NIST被要求完成许多工作，并且其建议要在中小企业可以负荷的情况下进行，不过，在过去NIST发出的安全指南中，其采用的工具或是方法都超出一般中小企业可负担的范围，更别说要小型企业聘请全职的网络安全团队开发内部安全工具。

由于国会认为中小企业的网络易受骇客攻击，因此催生了这个法案，但是外界仍在观察这个法案产生的后续效应，因为该法案并没有分配预算，即便这个法案要执行的工作看似很庞大，但是NIST需要使用和过去一样的资源，完成这些任务，后续执行的情况值得观察。