TOP
 
 

我們還需要另一個資安標準嗎?從NIST CSF思考數位韌性

文/吳明璋 韋萊韜悅企業風險管理與經紀服務協理

去年九月起,國內資訊媒體龍頭一連舉辦五次大型百人活動,推廣美國「國家標準技術研究所」(National Institute of Standards and Technology)「網路安全管理架構」產業標準(Cybersecurity Framework,簡稱CSF),有助於國內資訊人與資安人了解最新資安標準與產業趨勢。

何謂CSF?從數位韌性角度來看,可將CSF五大功能區分為:資安事件前的「識別」(Identify)與「保護」(Protect)、資安事件中的「檢測」(Detect)、資安事件後的「回應」(Respond)與「復原」(Recover)。

從2014年推廣至今,CSF已成為國際性資安實務標準。2018年起,韋萊韜悅與合作夥伴首度進行全球性資安評比調查報告 Cybersecurity Imperative。本調查以CSF為基礎,蒐集受訪者五大項目的預算分配與能力自評。

根據最新的2019年調查顯示,超過十分之一受訪企業資安損失超過千萬美金以上,在面對資安損失不斷創新高的情況之下,受訪企業不僅著重事前的防禦,更把預算分配於資安事件中與後的關鍵資源。

相較於國際企業導入CSF的現況,我們歸納國內客戶對於CSF實際反應:

1.有別於ISO 27001,CSF為另一個新標準:因應大型客戶的要求,有些國內企業率先由IT部門導入ISO 27001,頂多再加上研發單位與客戶在意的業務單位。最常問到CSF的問題:什麼是CSF?有哪些國際標竿企業已經導入?和國際知名資訊安全管理系統標準ISO 27001差異為何?

2. CSF是管理框架,非技術框架:A客戶資安窗口強調,CSF是管理框架,對於IT幫助不大;至於 CSF提到的風險管理,由風險管理委員會負責。

我們先回答第二點問題,這牽涉到部門的權責。由於A客戶資安隸屬於資訊部門,他只在意IT有關的標準或指標。至於CSF所重視的風險管理內涵,則是另一個委員會負責的業務範圍。B客戶風險管理部門原本想推CSF,但與IT部門討論資安緊急應變流程時,發現IT部門保護主義太重,只好先作罷。事實上,IT本位主義也會限縮IT對於公司全盤的瞭解。以C客戶為例,IT部門提到他們已經與ISO 27001合規,其實,他們僅鑑別IT部門的資訊風險,非整體公司的資訊風險。

第一點問題與標準的範疇有關。2004年,有幸協助推動英國資訊安全管理系統標準BS7799(ISO27001前身)。細數這15年的觀察,通過ISO驗證單位從政府A級機關與金融業,擴大到政府關鍵基礎設施與高科技產業。2013年ISO27001新增版也將供應鏈管理、資安事件管理與資安營運持續納入控制措施。

表面上,NIST CSF控制措施和ISO 27001諸多雷同,彼此措施也可相互對應;從技術面上,CSF控制措施不似ISO 27001來的具體。既然ISO 27001和CSF這麼多重疊之處,為何我們還需要另一個新的CSF標準?

早在CSF標準制定之初,上述問題可能都已經釐清與討論。從我個人的淺見,從資安AI工具與數位韌性的趨勢來看,CSF補充ISO 27001在「檢測」、「回應」與「復原」的不足。倘若企業僅是從技術方面考量,往往會忽略資安事件後所須的「回應」與「復原」專家資源。這也就是2019年Cybersecurity Imperative調查強調,企業必須重視資安事件的所有損失與成本。一旦遭受資安事件,牽涉到的專家費用包括:鑑識、IT復原、公關、法律等。除了上述專家費用之外,因資安造成的營運中斷損失也可透過資安保險獲得保障與補償。

資安的難處在於既要深入,又要全面。在有限的資安資源之下,資訊人或資安人面對許多難題,如:仍以Excel做資產盤點,或是廠商無法更新機台的老舊系統。站在企業風險管理的高度,有些客戶風險管理委員會已經在定期推動資安演練。這些都是CSF重要的控制措施,也是國際企業分配資安預算的重點。根據2019年Cybersecurity Imperative調查,受訪者回答2019~2020年資安預算分配比重為:「識別」(22%)、「保護」(22%)、「檢測」(19%)、「回應」(18%)、「復原」(18%),這和前兩年的比重差異不大。倘若國際資安的趨勢是從風險管理角度分配資安資源,高階主管何妨透過CSF順勢導入數位韌性,以整體全面觀點因應駭客「木馬屠城」的全面性攻擊。
>>訂閱名家評論周報,關心全球財經大小事


延伸閱讀

資安最大的風險是人

從關鍵科技布局看中美貿易戰的可能演變

2020年金融科技開花結果

中美競爭對抗下,台灣宜謹慎因應

企業私有雲即時通訊大行其道,竟是因為這原因?

工商時報名家廣場,供名家、讀者針砭時局,發表其多元觀點。

名家廣場