Khung NIST CSF gồm 5 chức năng: Identify, Protect, Detect, Respond, Recover.

   - Mỗi chức năng có các danh mục và tiêu chí đánh giá, được lượng hóa theo thang điểm: Compliant (10), Partially Compliant (5), Non-Compliant (0).

   - Đánh giá được thực hiện ở 3 cấp độ: Executive, Management, Technical.

   - Kết quả đánh giá:

     • Identify: 36% – thiếu chiến lược quản lý rủi ro, chưa có chính sách bảo mật rõ ràng.

     • Protect: 45% – có đào tạo và kiểm soát truy cập, nhưng thiếu công nghệ và quy trình bảo vệ dữ liệu.

     • Detect: 25% – thiếu công cụ giám sát và quy trình phát hiện sự kiện bất thường.

     • Respond: 38% – có cơ chế báo cáo sự cố, nhưng thiếu phân tích hậu sự kiện và kế hoạch ứng phó.

     • Recover: 100% – có kế hoạch phục hồi đầy đủ, được kiểm tra và cải tiến định kỳ.

   - Khuyến nghị cải thiện:

     • Xây dựng chính sách bảo mật thông tin, quy trình quản lý rủi ro, và phân loại tài sản.

     • Tăng cường đào tạo nhận thức bảo mật, kiểm soát truy cập, bảo vệ dữ liệu.

     • Thiết lập công cụ giám sát, phát hiện mã độc, và phân tích sự kiện.

     • Xây dựng kế hoạch ứng phó sự cố, phân công vai trò rõ ràng, và cải thiện quy trình phản hồi.

   - Công cụ hỗ trợ:

     • Sử dụng Microsoft Power BI để theo dõi tiến độ cải thiện, trực quan hóa dữ liệu đánh giá.

     • Mục tiêu đạt Tier-2 (Risk Informed), cân nhắc nâng lên Tier-3 nếu đủ nguồn lực.

   - So sánh với các khung khác:

     • NIST SP800-53, ISO/IEC 27001, COBIT5, ISA 62443, HITRUST, SABSA, v.v.

     • NIST CSF được đánh giá là dễ áp dụng hơn, nhưng cần công cụ hỗ trợ triển khai.