NIST CSF 2.0更新還納入營運風險管理領域必須考量的額外措施。以下是NIST CSF的最新職能。
NIST CSF框架2.0職能
治理
NIST CSF框架內的治理職能包括監控、溝通和制定網路安全風險管理策略、期望和政策。
- 可帶來的幫助:幫助組織根據其目標和利害關係人的需求,決定優先採取哪些網路安全行動。
- 為什麼這很重要:將網路安全納入組織更廣泛的企業風險管理(ERM)策略至關重要。
識別
識別職能著重於掌握當前的資安風險。
- 可帶來的幫助:協助組織了解其在政策、計畫與作業程序等層面的弱點與精進空間,進而影響其他資安職能的有效實施。
- 為什麼這很重要:對組織資產、供應商及資安風險的充分掌握,有助於釐清優先事項,並支援治理職能下的重點工作。
防護
防護職能使用安全措施來管理網路安全風險。
- 可帶來的幫助:重點關注關鍵基礎設施的安全、身份管理、存取控制和身份驗證的結果。
- 為什麼這很重要:保護已識別和高優先的資產可降低網路安全攻擊的機會和影響。
偵測
偵測職能發現並分析可能的網路安全攻擊。
- 可帶來的幫助:識別並分析可能代表網路攻擊正在發生的入侵指標、不利事件與異常行為。
- 為什麼這很重要:此職能支援組織有效進行應變與復原作業,並可減輕網路攻擊帶來的不利影響。
回應
回應職能將對偵測到的網路安全事件採取行動。
- 可帶來的幫助:提供事件管理、分析、緩解、回報和溝通結果。
- 為什麼這很重要:此職能支援控制網路安全事件影響的能力。
復原
復原職能可恢復受影響的操作和資產。
- 可帶來的幫助:修復損壞、找出從網路安全事件中吸取的教訓,並更改計畫以減少未來類似事件發生。
- 為什麼這很重要:這有助於組織將資安事件的影響降至最低、更快恢復正常運作,並符合相關法規要求。
概況和層級
NIST CSF 2.0同時整合概況與層級,協助組織理解自身的資安狀況,並持續優化資安視角。概況記錄組織期望達成的資安狀態,並明確指出其資安目標。這些內容依據七大職能分類如下:管理、識別、防護、偵測、回應及復原。還納入組織的使命、風險和利害關係人的期望。
層級描述組織網路安全風險管理實務的成熟度、記錄組織的表現,並找出可改進的地方。層級範圍從第1級(部分)到第4級(自我調整)。層級可透過以下方式通知設定檔開發
- 提供組織如何管理風險的背景脈絡
- 協助釐清優先順序,以達成職能中的目標成果
實施NIST CSF的常見挑戰
在實施階段,將NIST CSF整合到您的組織中可能會遇到幾個挑戰,包括:
- 資源限制,如合格人員、財務和時間
- 缺乏現有的網路安全基礎設施或專業知識
- 員工反對這些改變
- 如何跟上最新的網路威脅
- 如何抽出時間持續監控和更新實務
閱讀以下五個步驟,幫您的組織取得成功並實現NIST CSF成熟度。
NIST CSF提高安全成熟度的5個步驟
步驟1:快速評估
遵循NIST CSF的第一步,是對您的目前資安狀態進行穩健但快速的評估。推動資安進程的關鍵,於60至90天內快速完成全組織的初步評估。這項快速評估程序能提供足夠的細節,協助制定初步的資安成熟度藍圖,並推動公司持續邁進。其目的不是診斷每個威脅途徑或端點漏洞。
快速評估應涵蓋人員、流程、政策與技術等面向的資安現況,作為建立基準的依據。通常包括以下內容:
- 就公司不同成熟階段所要建立的「概況」或等級達成共識。
- 針對組織內關鍵人員進行簡短調查(少於50題),並透過目標式訪談補足量化調查結果。
- 供應鏈風險管理(SCRM)評估,以找出關鍵供應商、存取等級及其安全實務。您可以透過簡短的問卷或供應商認證來完成此項工作。
- 直接從系統中收集端點和網路資訊,以評估修補程式、配置、使用者、網路和其他漏洞。
- 依據標準架構(如縱深防禦策略或CIS Top 18控制),建立風險優先順序。
步驟2:目標成熟度藍圖
評估雖提供起始的資安基準點,但關鍵在於後續必須依據企業的具體營運需求、法規要求等,明確訂定公司的資安成熟度目標,並從流程建置、技術導入、訓練與認知推廣等多元面向,規劃出一套具體而完善的藍圖。
要制定成功的藍圖,應考慮以下因素:
- 與風險管理策略保持一致:藍圖必須直接支援貴組織的整體風險管理策略,並清楚地闡明每項措施如何與降低風險概況一致。
- 措施/基本要素的順序:某些措施是其他措施的先決條件。例如,建立完整且詳盡的硬體與軟體(作業系統、韌體、應用程式、設定、連接埠、服務等)清單,是強化系統設定及執行多項其他CSF類別措施的前提條件。
- 根據業務需求、風險和預算進行優先順序排序:根據評估結果,某些具體措施會因對業務營運構成最大威脅而優先處理。評估應提供必要的核心資訊,以優先處理組織面臨的最大風險。當然,仍需在整體預算限制下取得平衡。
- 衡量與追蹤:在推動各項防禦或偵測措施的同時,組織也應具備追蹤與衡量進展的能力。
- 整合技術、人員和流程:若缺乏相應的人員或流程支援,單靠技術導入將導致資源浪費。同樣地,若缺乏技術輔助,企業所制定的程序可能過於繁瑣,難以有效掌握資安狀況。
- 整合平台(或稱「黏合劑」):隨著時間推移,相關的措施、技術與作業程序將不斷增加。若未審慎投入資源於統整這些要素的整合平台或黏合劑,計畫可能會變得繁雜。
換句話說,推動這些措施需採循環式方式,透過多個獨立的專案與預算階段逐步進行。目標是依據資安成熟度循環,從基礎防護層級逐步邁向更高階的資安能力,最終從被動應對轉為主動監控與偵測。
成熟度週期
值得注意的是,成熟度週期只是實現更穩健資安計畫的一般預期模式。各項具體任務的內容、執行順序與部署時程,必須緊密對應於各組織所面臨的特定風險與目標。
步驟 3: 執行基礎措施
如上所述,每項計畫都應具備一組基礎性措施,作為推動整體計畫的必要基礎。這些措施應同時具備快速提升資安成效的作用,並建立基本的資安能力。
首「波」措施應為可在90天內完成的事項,以展現初步成效,並為後續擴展奠定基礎、加速推進。這些措施將涵蓋「資訊收集」或「基準建立」措施,以及首波「修復」或「強化防護」活動。基準建立類的活動可能包括硬體與軟體清單、設定基準、防火牆規則對照表等;而修復類的活動則可能涵蓋軟體刪除、防護基準強化,或初步的網路區隔實施。
這些措施通常包含「企業層級」與「場域層級」兩部分的執行內容。對於地理分布廣泛的組織而言,他們將專注於約3至5個試點場域,代表涵蓋不同地區的「場域層級」。這些試點場域將率先導入基礎措施,作為「領頭羊」,帶頭推進資安成熟度,為後續其他場域的推行樹立標竿。
執行的第一階段可能包括幾個關鍵要素:
- 中央層級的關鍵要素包括:例如敏感資料處理或密碼標準等政策、變更管理或修補程序等作業流程,以及具備集中回報功能的技術工具。
- 場域層級的要素則包括資產清冊、設定基準、以及網路設計/區隔檢討等項目。
- 建立關鍵決策點,例如:針對特定資產不適用的控制項、風險與報酬或成本效益的取捨決策,以及「技術可行性例外」的規則,例如PLC或老舊HMI等設備無法符合控制標準時,需採取替代性控制措施來補強。
基礎措施可透過以下方式強化供應鏈風險管理(SCRM):
- 採行安全的軟體開發實務,如弱點掃描與程式碼審查,有助於降低第三方軟體導入系統的資安風險。
- 要求供應商提供軟體材料清單(SBOM),以提升對軟體組成元件的可視性與透明度。如此可讓您迅速識別並處理來自第三方的資安弱點。
- 為組織內部與供應商系統建立設定基準,以確保第三方系統符合您的資安要求。
- 定期進行掃描與修補,有助於提升整體資安防護,並降低威脅行為者的入侵途徑。
- 將供應鏈納入事件應變計畫中,以因應來自第三方供應商延伸而來的資安事件。
步驟4: 在基礎上深化發展
在第1.1版階段,多數組織將驗證有效的工具套件推廣至更多場域,並啟動第二或第三階段的資安工具與程序設計、測試與部署,以推動更加完善且具多層防禦架構的資安方案。
導入NIST CSF 2.0的組織,多數已進入精煉強化、深化建設與成熟發展的階段。在您持續擴展資安計畫、導入更多流程與技術時,請記住以下幾點:
- 盡可能將日常任務自動化。
- 持續重複檢視並優化流程,以推動不斷的改進。
- 為新導入的基礎設施維持完整的整合架構。
- 確保員工已掌握最新的資安訓練內容與技能。
- 依據風險狀況與業務需求,定期更新資安優先事項。
步驟 5: 監控、衡量並改進
一套健全的監控與成效衡量機制,是成功導入NIST CSF 2.0的關鍵要素。如同所有管理工作,檢視與追蹤進展是持續改進的關鍵。
許多企業常在完成前四個步驟後,才想起成效衡量與進度追蹤這些關鍵環節。持續監控與成效衡量所需的資源、工具與預算,應在初期就納入規劃考量。成效衡量可提供進度狀況報告,並在執行各項措施時協助進行方向修正。藍圖勢必會隨時間演進,而在推進過程中持續衡量進展與問題,對於智慧化調整至關重要。
指標與儀表板有助於直觀呈現計畫的執行狀況,並評估其相對於關鍵目標的達成程度。每個指標都應與藍圖中的結果保持一致,並與每個NIST CSF 2.0職能相關聯。您的儀表板應具備易於理解且足夠高層次的資訊,以便關鍵利害關係人迅速掌握重點。
成效衡量工作與治理職能密切相關,因其核心在於確保資安措施與組織目標一致,並採取以資料為依據的決策方式。透過成效衡量,您可以肯定階段性成果、找出待改善之處,並持續監控優先風險項目。
結論
關鍵要點:資安成熟是一段過程,而非終點。成功資安計畫的關鍵,在於其能隨著新風險的出現與新解決方案的發展,不斷提升成熟度。上述所提的藍圖應為可隨時調整的動態文件。那些基礎要素與作為整合資訊與工具的「黏合劑」,應具備持續支撐資安成熟度隨時間成長的能力。
歡迎觀看我們的六集網路研討會系列,深入瞭解NIST架構如何從威脅識別到災後復原,全方位強化您的資安知識。
已發佈 2025年6月11日
為您推薦