【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標

對許多企業而言，擔心資安防護不知從何著手，或是推動多年難以評估成效，近年來，NIST網路安全框架（Cybersecurity Framework，CSF）的應用，正成為企業關注的焦點，最大原因是，它能夠快速幫助企業找到方向，並具有靈活彈性、易於實施的特性，為企業在規畫與執行網路安全時，能有一個容易遵循的方式。

為了能夠建立通用的網路安全架構，其實，美國國家標準與技術研究所（NIST）做了不少的努力，像是在這個核心框架中，是以風險為基礎來設計，與ISO 27001精神相同，並是基於現有標準、指引與最佳實務作法而成，是一個通用且易於單位實施的架構，進而幫助組織與企業，都能依據自身環境彈性使用，更好地管理與降低網路安全風險。

基本上，CSF是由三個需要持續的要素組成，分別是：

● 框架核心（Framework Core）

● 框架層級（Framework Tiers）

● 框架輪廓（Framework Profiles）

或許，框架的概念對於許多人來說，可能還是有點抽象，因此這次我們先從第一個要素「框架核心」中，內容條列結構較清晰的資安工作檢核表談起，幫助大家能夠更好去理解，再來一步步說明如何使用。

CSF框架核心就是資安工作檢核表

關於NIST網路安全框架，主要包含5大功能面向，提供一個網路安全生命週期的管理策略。在此資安工作檢核表中，5大功能下具有23個類別與108個子類別，方便企業或組織能夠依循這些項目，評估各子類別可採行的安全措施與行動，並提供了許多參考資訊，可以對應到國際共通的標準與指引。同時，NIST也提供了Excel檔案格式的內容，方便組織或企業可以直接下載使用。圖片來源／NIST

框架核心具有5大功能，檢核表細分為108個控制措施

首先，CSF基於其核心所展現的資安工作檢核表，就是實用的工具。為了便於使用，NIST已經提供了一份Excel檔案格式的表格。簡單來說，在表格的最上方一列，是核心框架的組成要素與結構，包括功能、類別、子類別與參考資訊；而在表格最左側一欄，則是列出了框架核心的5大功能，分別是：識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。

基本上，這裡呈現的5大核心功能就是重點，定義了企業建構網路安全防護時，所需要重視的5大構面，讓企業在管理安全風險時，能夠對應到事前、事中與事後的環節，提供網路安全生命週期的管理策略。

在這CSF的5大功能之下，目前的1.1版總共定義出23個類別，以及108個子類別。基本上，主要類別是較為明確的管理方向，而更細分出的子類別項目，是企業可採行的安全措施與活動。

例如，在第一個「識別」的功能之下，包含了6個類別，分別是資產管理、企業環境、治理、風險評估、風險管理策略與供應鏈風險管理。

而類別之下的子類別內容，就是可供企業逐一檢視自身防禦的控制措施，如此簡易的表列工具，可讓企業執行網路安全防護的工作時，更容易聚焦。例如，第一個項目是，組織內的實體設備和系統列入清單，第二個是，組織內的軟體平臺和應用程式列入清單，接下去還包括資料流量的管理、資訊系統編目列管、資源調度的優先順序，以及與供應商之間的資安任務等，這些項目也等於是較為明確的內容。

換言之，在此檢核表之下，企業就能作為落實網路安全的參考與依據，而且不論企業規模大小都能適用。

建立網路安全計畫，企業需考量業務、風險與資源來決定優先級別

關於組織、企業在框架輪廓的描繪上，NIST提供了簡單的說明，可以依據本身的業務營運要求，從優先級別、風險評鑑之差異分析，以及所需要的資源，來決定安全現況改善的實施順序，讓企業每次強化都能夠最大化地提升網路安全防護水準。圖片來源／NIST

可對應到國際共通的標準與指引，並且是IT與OT環境都能適用

特別的是，在檢核別的最右側一欄，CSF還列出了各子類別的參考資訊。對於企業而言，這不僅是讓使用框架的人，能夠方便將CSF的子類別，對應到不同重要標準之下的控制措施，讓不夠理解內容的人能有更進一步的參考資料，另一方面，這其實也顯示出，CSF與其他資安架構的互通性。

關於這些參考資訊的內容，主要包括5大標準與引指，例如，ISO/IEC 27001：2013、CIS CSC、NIST SP 800-53 Rev. 4，以及ISA 62443-2-1：2009、ISA 62443-3-3：2013，還有COBIT 5。

其中的ISO/IEC 27001，是常見資訊安全管理標準；CIS CSC是非營利組織網路安全中心（CIS），發展出的資安防護架構CIS Critical Security Controls（CSC），或稱為CIS Controls；SP 800-53則是由NIST提出，針對聯邦資訊系統的安全性和隱私權規範。

同時，還有近年OT安全領域常提到的ISA 62443，它是國際自動化協會（International Society of Automation，ISA）提出，針對工業自動化和控制系統網路安全的標準。

基本上，這些都是與整體網路安全有關的資安架構，不僅如此，當中也包含了COBIT 5，這是國際電腦稽核協會（ISACA）所提出的企業IT資訊治理框架。特別的是，從這些參考資訊的內容來看，也可看出這個網路安全框架在IT、OT環境都適用的特性。

透過框架輪廓與實施層級，可評估資安防護現況與成熟度

在這個框架核心的檢核表之外，還有兩個重要的概念，也是執行上的關鍵，那就是一開始提到的CSF組成要素──框架輪廓與實施層級。

簡單來說，框架輪廓就是一種組織側寫，一種現況與目標的描述。主要將依據組織與企業本身的業務營運，以及風險容忍度，還有資源成本，來建立適合企業本身環境的網路安全活動計畫。

而要盤點的項目，就是根據前面提到的108項子類別，各別依照這個組織輪廓，來了解自己的網路安全現況，並與設定的下一個目標理想狀況相比較，來找出防禦強化上的優先順序。

而實施層級方面，則是可以幫助組織評估執行的程度。基本上，NIST也為了此框架，定義了4個實施層級（Tier），來代表各項子類別的落實程度，第一層是部份實施，第二層為察覺風險，第三層為重複評估，第四層為完全適應。

簡單來說，透過實施層級，企業就可以大概知道現有的資安現況與樣貌。因此，企業可以針對108項子類別去檢視與落實，瞭解自己是部分完成，還是已經實施，更進一步，或是已經能重複進行，甚至可以做到最佳化。

雖然，實施層級越高，一般也就表示CSF標準的實現越完整。不過，最好要能設定與自身業務營運相符合的目標，而這也顯示出此框架所提供的彈性。

不過，其實NIST也有提醒，這個實施層級不一定代表成熟度等級。因此，關鍵原則在於，要從企業自身的角度來評估，根據任務、監管要求與風險偏好，來確定現在實踐的網路安全風險管理，是否與業務活動可以充分整合。

有助於評估總體資安實施成效，易於找出企業優先補強之處

對於NIST網路安全框架這樣的議題，國內也有一些資安相關專家，已經在關注這個網路安全框架，並呼籲大家重視。例如，在今年9月開始舉行的Cybersec 101系列研討會上，勤業眾信風險諮詢公司總經理萬幼筠表示，其架構包含了組織、策略管理，以及類似ISO 27001的框架，而他更是強調，此框架所談的就是成熟度的布建，他並以內功來比喻CSF的架構。

基本上，這是一個以風險為導向、持續運作的管理架構。論及NIST網路安全框架的內涵時，針對核心功能所包含的產業標準、指引與最佳實作部分，萬幼筠指出產業知識、風險分析的重要性。例如，以一臺Unix作業系統而言，在不同環境下的風險分析，應該要有差別，像是用在電力分配分布的電腦，還是放在路邊讓人查詢的Kiosk。

他並強調，這個框架其實與產業別、資訊供應鏈，並且關係到規畫到採購，以及預算成本考量。

而從實施層級方面來看，萬幼筠也更明確指出，這裡講的完全就是風險管理流程，要管理風險，建立風險，以及考量風險。

關於CSF框架對於企業的幫助，BSI英國標準協會臺灣分公司客戶經理花俊傑，也進一步解釋該框架的應用優勢。例如，若是企業不知道如何進行網路安全防護，就可以從這五個主要的功能來做，參照其中的子類別要求來評估，幫助企業建立基礎。而且，這裡隱含了成熟度的概念在其中。

在落實資安防禦上，一般企業往往可能不知從何做起？或是不知道做得好還是不好？花俊傑表示，透過使用CSF，將可以看出組織現有的資安現況，之後，就能依照組織特性，考量風險與企業現有的資源，再訂出目標，決定日後要採取補強的策略。

對於評估現有和目標的框架輪廓，花俊傑指出其重要性，並舉例說明，像是現有網路的設備管控不足，或是系統身分驗證機制比較薄弱，企業將可透過評估現有的輪廓與目標的輪廓，進行差異分析，來決定要做哪些實質的資安管控作法，以降低風險。

已有規畫工具可為企業參考，持續執行將是一大關鍵

在這個NIST網路安全框架的使用上，NIST還有提供了7個建議步驟，讓組織能持續落實。簡單來說，這7個步驟就是從優先級別與範圍、業務流程目標確認，到建立現況輪廓、風險評估、建立目標輪廓，再從優先級別與差異來分析與決定，並實施行動計畫。

換言之，根據這些步驟，企業或組織就能依據業務特性，一步一步來建立新的網路安全計畫，不論是盤點安全現況輪廓，以及自訂想要達成的目標輪廓，以及做到持續強化與改善。

值得一提的是，對於這個檢核表的規畫方式，其實NIST也提供了簡單的說明，以便將組織資安防禦落實的現況，以及目標進行比較，並了解兩者之間的差距。例如，可以建立優先級別（Priority）、風險差異（Gap）、估計成本（Budget），以及每年活動（Activities）的欄位。

當然，對於企業而言，如果能有實際的參考範例，會更理想。因此，我們看到一些資安專家與資安業者，都分享了一張圖表，是由美國奧勒岡州波特蘭市的資安長Christopher Paidhrin所製作，而這個規畫工具，其實也是他實際在市府實施框架時所使用。

簡單而言，在這個圖表中，前面三欄的項目，與NIST提供的Excel表格一致，就是功能、類別與子類別，接下來的一些重點，就是建立了風險等級評估、預算、成熟度，以及年度行動計畫的欄位。

其中，在風險等級評估方面，這裡搭配了CIS CSC的指引，來確認風險優先級別；在預算方面則分成了3欄，可便於規畫未來3個年度的估計成本；而成熟度的欄位可依定義的層級數量而定；至於年度計畫與初步行動的欄位，可以制定3年以上的進度，並以每欄就是一季的方式來展現。因此，以這樣的檢核表內容而言，其實也就能看出評估時，所要考量的重點。

整體而言，這套NIST 網路安全框架的執行，不僅能夠幫助建立新的網路安全計畫，或是為現有計畫帶來改進與幫助，同時，企業也要注意，要能有自我評估的方法，做到持續性的檢視，並不是做完一次就能一勞永逸的工作。

最後要提醒的是，行動計劃的實施並不是結束。對於安全計畫的有效性，花俊傑提醒，持續的概念相當重要，才能讓企業維持健康的狀態，而且，一旦目標達成之後會變成現況，因此又會有下階段的目標。如此一來，透過持續與改進，將能拉高企業資安防禦水準。

 相關報導  NIST網路安全框架當紅