【NIST CSF導入關鍵】7步驟打造整體安全防護網，從盤點現況與成熟度評估著手

面對企業進行整體資安架構盤點的議題，即便本身沒有專屬的安全團隊，仍有一些通用準則可以遵循。例如，美國國家標準與技術研究所（NIST）提出的網路安全框架，也就是Cybersecurity Framework（CSF），就是當今值得企業參考的資安架構。

但是，在採用CSF的過程中，企業可要注意一些關鍵與細節，才能讓框架的實施運作，可順利且更好的發揮效用。

落實企業安全計畫需從上而下，針對存在風險決定優先強化順序

基本上，CSF框架涵蓋了資安的5大面向，包括識別、保護、偵測、回應與復原，對於企業而言，可供建立網路安全生命週期的風險管理。

特別的是，在2018年的NIST CSF 1.1版後，不僅是將5大功能，從22類別與98項子類別，擴增到23類與108項。在此當中，新版特別針對供應鏈安全、身份識別與驗證，以及自我評估資安風險的內容，進行強化，因此，更能貼近目前實務面的需求，並成為不限組織規模大小和業務型態，所有企業對於網路安全強化都能通用的架構。

為了方便組織採用，NIST已經提供使用CSF的7個步驟，幫助打造與實施所需的管控措施。讓組織或企業可以依據其安全現況，進行風險評鑑，然後自訂出想要達成的目標輪廓，評估出優先強化的順序以實施計畫，並藉由框架來持續評估其安全成熟度。

但要注意的是，許多資安標準導入或是制度推動，都有一項關鍵要素，那就是要獲得公司上層的支持。因此，NIST也建議，組織應透過由上而下來貫徹與落實資安政策，並且持續地進行。

企業該如何做？從組織運作方式來看，可採用由上而下的方式，從最高的管理層（Executive Level）、業務層（Business/Process Level），以及實施層（Implementation/Operations Level），經過這三個階層的互相合作，來落實這項整體安全的計畫。

以管理層為例，簡單來說，不僅是要關注組織所面臨的威脅，也要決定因應的措施與優先順序，因此要與業務層確認任務的優先順序、風險偏好與預算。

接下來，業務層將依照管理層的決定，進行現況盤點的輪廓側寫，並回報管理層與目標輪廓的差距，再往下交由實施層來擬定行動計畫。之後，上報實施結果，以供下一階段計畫評估。

值得注意的是，目前國內也有一些業者在談CSF，BSI英國標準協會就是一例。對於導入時的注意事項，他們的臺灣分公司客戶經理花俊傑給出3個建議：首先，CSF已經提供完整的文件和實施步驟，對於想要建置導入的組織而言，了解框架內容是第一步，同時也需要有管理階層的支持；其次，要從整個組織管理階層與本身業務結合，基於風險管理的角度，從資源與風險找出強化優先順序；最後，他提醒，這是要持續檢視的作法，不是做過一次就結束，周而復始進行才能維持一定的健康狀態。

此外，他也用日常身體健康檢查來比喻，資源越多檢查作法越細緻，資源少也還是能做到一個適當的檢視。

成熟度如何評估是關鍵，外部驗證是進一步的作法

在使用NIST網路網路安全框架時，往往可能還會面對成熟度評估的問題。除了CSF本身的實施層級，花俊傑也指出評估時可考量的3個元素，分別是風險管理流程、整合的風險管理計畫，以及外部參與等來進行評估。

如果企業還想提升評估的有效性，在自評方式之外，尋求外部第三方協助是進一步的作法。這樣的作法，如同企業管理一般也有內稽、外稽之別。

在NIST網路安全框架提出後，近年也已經發展出驗證方案，透過獨立第三方單位來協助實際評估，以進一步加強企業管控風險。而驗證方案的出現，這其實顯示出一件事，這個框架也開始被視為一項資安上的指標。

目前，BSI在2018年3月開始推出NIST CSF認證，HITRUST也在2018年5月提供相關評估方案，不過，兩者驗證方式不同。對於企業取得相關認證的現況，花俊傑表示，例如，包含美國、加拿大的企業，與臺灣鄰近的香港，也有雲端服務業者取得BSI的CSF證書。

對於評估作業可能遇到的難題，花俊傑也特別分享一些他們的經驗，供國內企業參考。舉例來說，對於NIST網路安全框架，BSI將成熟度分為5個等級，並有1到15的分數級別，每3分為一級，讓5個等級可以有更細的畫分，更容易瞭解下一成熟度的目標。

他舉例，以CSF識別功能的資產管理類別而言，如果組織沒有定義資產盤點的實施做法與計畫，評分上就會落在第一級的「無正式方法」；若組織對於資產盤點已有自定的規範程序和方法，並能依照規範要求執行，評分時就會達到第二級的「被動」；更進一步來看，如果組織在資安盤點上，已從風險角度涵蓋所有日常作業，並有量測的KPI指標，相關人員皆有足夠的培訓技能來自我管理，就能達到第三級的「主動」。

特別的是，如果還要達成第四級的「改善」和第五級的「最佳化」，他也具體指出，企業需要的是建置自動化的監督與量測系統，投入更多資源，並且考量從各種來源的不同輸入資訊，進而決定有效地管理風險和改善作業。

另外，關於BSI的CSF證書，他也表示，企業必須先取得ISO 27001認證，因為它是所有企業通泛適用的基礎，對已導入的企業而言，可透過CSF對網路安全的面向提升，朝更好的成熟度邁進。

NIST網路安全框架的源起

圖片來源／NIST

由美國國家標準技術研究所（NIST）提出的網路安全框架（Cybersecurity Framework，CSF），原是美國政府為改善關鍵基礎設施資安防護的需求而產生。

面對近年重大網路安全事件的威脅，在2013年2月，美國總統歐巴馬發布了第13636號行政命令（EO），下令NIST與利益相關方合作，根據現有的標準、指引與最佳實務作法，訂立一套可供相關單位採用的資安框架，能夠藉此強化網路安全。接著，NIST也在同年7月，推出該框架的草案，並於2014年2月發布1.0正式版本。

後續，在2017年5月，美國總統川普簽署新的行政命令，更是要求所有美國190個聯邦機構，依循Cybersecurity Framework框架。而NIST也在蒐集已採用企業與單位的意見回饋後，於2018年4月發布此框架的1.1版。

雖然，這個網路安全框架一開始要求的實施對象是政府單位，但其實也不限於政府單位採用，而且它也受到受到全球多國組織與企業的認可，不只是影響多國在關鍵基礎建設的網路安全法規面，同時也成為企業強化自身網路環境安全，相當值得參考的工具。

 相關報導  NIST網路安全框架當紅