美國政府在2014年為了加強公部門的資安防護能力，頒布了NIST (NIST Cybersecurity Framework)架構。因為美國公部門落實這個架構非常成功，所以政府也將這套辦法逐漸傳到民間企業以及學術領域，也希望透過此資安架構來提升各單位的資安保護力。根據Gartner調查指出，在2020年時美國已經有50%的企業已經採用此架構。

CSF的三大要素
CSF 提供了一個簡單而有效的結構，由三個元要素組成 — — 核心(Core)、層級(Tier)和配置文件(Profile)。 核心代表一組網路安全實踐、成果以及技術、運營和管理安全控制，支持五種風險管理功能 — — 識別(Detection)、保護(Protection)、調查(Investigation)、響應(Response)和恢復(Recover)。 層級表徵了組織管理 CSF 功能和控制的能力和成熟度，配置文件是指在傳達組織的“現狀”和“未來”網路安全態勢。
在這三大要素中，最常被拿來當作資安服務稜量標準的就是核心的五大面向。

AWS針對CSF五大面向的相關服務

AWS針對CSF五大面向而分類的相關服務(資料來源：AWS 官網)

AWS當然也針對NIST CSF五大面向，將自有服務歸類為IAM、偵測、基礎設備保護、資料保護以及事件回應。後面的天數將會介紹AWS資安五大面向以及其服務如何佈建。