能源行业已经熟悉了北美电气可靠性公司（NERC）的关键基础设施保护（CIP）可靠性标准，而且应当注意：满足这些标准可能还不足以防范不断演变的网络安全威胁以及满足对保护电子资产及个人数据的需要。

随着网络犯罪行为继续成为头条新闻，除了本行业自有标准之外，能源行业可以转而采用第一版国家标准和技术研究院（NIST）的《改善关键基础设施网络安全性》框架标准，以减轻关键基础设施的网络安全风险。原告律师和政府执法部门也可以随之采用这个框架作为一种实施网络安全的事实标准，即使各个实体已经遵守了NERC标准或能源部的电力行业网络安全风险管理流程。除了运行网络安全和风险管理之外，这个框架还突出了评估和管理风险以确保个人数据安全的需要。

制定框架标准

犯罪分子和恐怖分子正在不断扫描着系统，寻找着系统后门或未被监管的资产。事实上，NERC在制订框架标准的NIST流程当中提交的文件当中，承认了能源行业缺乏端对端网络安全协议，并且承认了跨行业之间的“孤岛式”方法导致了制订了各不相同的指南、标准和规范。而据NIST介绍，这个框架标准提供了一种“用于应对和管理网络安全的通用语言”，同时又允许各组织在其实施规范时发挥灵活性。

这个框架标准的意图并不是取代CIP标准，而CIP标准集中关注对大型电力系统的影响。具体的框架标准提供了三套风险评估和管理工具，这些工具可以更广泛地用于电子资产和个人数据。其中一种工具提供了对组织用于应对风险的现有和目标活动的高阶战略性视图。另一种工具允许组织对自己当前风险等级进行评级并根据业务目标检查风险降低措施的成本效益比。第三种工具有助于定义改进的战略性领域，考虑了具体风险以及风险减轻措施的成本。

NIST框架

与NERC不同，NIST没有执行授权。这个框架标准属于自愿遵守的标准。但是，随着美国政府努力确立和实施奖励措施，以促进这个框架已经停滞不前的采纳进程，国会也有可能随之要求强制性遵守。有几个尚未表决的提案可能会赋予美国国土安全部（DHS）扩大授权，确保关键基础设施和其他私营实体的网络安全准备度。另一项提案可能对责任施加一些特定限制，并为采用经DHS批准网络防御技术的公用事业公司提供重要的防卫保护。尽管每一个提案目前都将保持本框架的自愿遵守性质，但立法流程孵出了可以添加强制要求的足够空间。

这个NIST框架并没有仅限于关键资产的安全性，框架还包括了组织应对消费者隐私权和公民自由的标准。这些标准包含了一些功能，诸如清点个人数据；隐私保护培训；透明度；向其个人信息被收集、使用和保存的个人提供通知；以及数据最少化规范。这些框架条文突出了电务公司不仅需要强健的电子防御手段，还需要制订符合的政策和标准，防止个人数据遭受网络盗窃以及其他不适当的使用或透露，诸如通过智能电网收集的用户电力使用数据。

注重网络安全

每一家能源公司都在收集和保持着数据很多的来自员工的个人信息，包括NERC CIP标准本身有时候要求进行了背景核查信息。面向零售用户的公司会收集姓名、地址、电子邮件地址、电话号码和财务信息，包括信用卡数据。在全部这些数据的采集、使用、分享、保护和销毁方面存在着各不相同的标准。例如，严格的PCI数据安全标准负责保护信用卡数据。最近一些加利福尼亚法律和法规限制了向第三方透露任何具体客户的能源耗用数据。并且联邦贸易委员会也通过至少50项数据安全行为和解案例证明了，对于任何委员会认为未能遵守“合理”数据保护标准的公司，委员会将行使自己的第5节执法授权，无论其他联邦部门是否在表面上拥有优先司法管辖权。

在这种环境下，遵守NERC网络安全标准有可能不足以保护能源公司免受电子犯罪和其他数据违规事件所带来的无数风险。公司必须切实地考虑其业务资产和消费者数据所承受的具体风险，定义自己对于这些风险的容忍度，并设立或改进基于风险的计划，根据风险经济有效地解决需改进领域的问题。以这种方式系统化地考虑了网络安全和个人数据保护的能源公司将负责任地管理好自己的风险，保护自己的组织声誉，并准备好满足更多的政府审查。