過去企業組織推動落實資安,導入資訊安全管理制度已是常見的作法,但隨著資通訊科技發展,及資安威脅趨勢變化,除了內部資通安全稽核、相關資安演練,資安成熟度自評也是重要的概念。
特別是在這兩三年來,資安成熟度的概念已經越來越浮上檯面,在我們之前也介紹過的資安框架與標準中,其實就有資安成熟度的展現。例如,近年當紅的資安框架,就是由美國NIST推出的Cybersecurity Framework(CSF),最新為2018年推出的1.1版,供美國政府與民間企業能從五大面向,包括辨識、防護、偵測、應變到復原,評估自身防護程度與能力,而其核心精神,就是一個能夠持續運作的成熟度評估框架。
而由英國國家標準協會推出的BS 31111:2018,同樣強調掌握自我安全成熟度現況,能提供組織高層對風險決策方向,並強化對資安事件威脅的韌性。
還有像是,由澳洲政府發展出的網路攻擊減緩八大策略──ACSC Essential Eight,當中也定義了5個成熟度層級,要讓各組織在每種緩解策略中,都能達到安全基準,進而提升更高安全層級。
資安成熟度將在臺灣產業間發酵
資安成熟度的觀念,其實已經在臺灣慢慢成形,甚至變成2021年的焦點。
舉例來說,我國政府為落實資安,早已在持續推動這樣的概念。例如在7年前,國家資通安全發展就計畫輔導部分政府機關,試行導入資安治理成熟度評估模式,多年下來,推動規模已經越來越擴大,而在2020年的規畫中,已是推動所有A級政府機關,都落實資安治理成熟度自評,並達到成熟度第3級以上。
對於國內企業而言,也有一些公司公開表示他們重視這樣的概念。封測大廠日月光投控就是一例,他們在自家官網率先揭露了公司資安作為,強調注重資安成熟度評量,並指出他們是透過導入NIST CSF,作為落實企業資安規畫第一步,並定期制定改進計畫。國內電信龍頭中華電信也有行動,他們在官網揭露其資安與個資風險管理機制,是參考NIST CSF,並會衡量資安治理成熟度。
只是,現在仍有許多企業可能還不知該如何著手強化資安,亦沒有資安成熟度的概念。不過,近期我們看到國內已有政策要將此一概念,推動到國內各產業,尤其是製造業與金融業。
舉例來說,在2020年9月,經濟部工業局旗下工研院打造的資安整合服務平臺Secpaas,就推出「資安成熟度評級服務」,目的就是希望促進國內產業在強化資安時,可以藉此找到方向。
同時,金管會在2020年8月提出的金融資安行動方案,新增措施中也包括相關事項,例如,要研議訂定金融機構資安治理成熟度評估方法,並鼓勵金融機構辦理資安治理成熟度評估。
另外,除了上述政府機關與大型企業,對於國內普遍的中小企業而言,資安成熟度的概念同樣能帶來幫助。畢竟,資安重要性已不言而喻,當在擬定資安強化策略時,已有許多資安框架與標準可以參考,而資安成熟度是重要概念,讓企業能自評現況並設定目標,讓提升資安能夠有方向地持續精進。
成熟度模型應用於資安的面向廣
還有更多成熟度模型在不同資安面向的應用,也很值得關注。
例如,美國國防部對於競標承包商的管理,在2020年推出了網路安全成熟度模型認證── Cybersecurity Maturity Model Certification(CMMC),最大重點就是要求今後的承包商,須經由美國防部授權的第三方評估單位,取得專案相應等級的安全認證;還有像是微軟在談零信任時,不僅是從六大要項切入,包括身分、設備、應用程式、資料、基礎設施與網路,同時定義三個層級的成熟度等級,讓企業在建立零信任的管理機制上,能有階段性的安全改進目標。
另一方面,對於資安策略的規畫,在資安成熟度的概念之外,資安標準與框架的活用也成焦點。例如,近年Cyber Defense Matrix(CDM)正受到重視,在近年美國舉行的RSA大會上,都有分享這樣的議題,而在2020年,臺灣也提倡這樣的概念,包括戴夫寇爾執行長翁浩正、奧義智慧創辦人邱銘彰等,都在公開演講上說明CDM的好處,因為它是有助於剖繪企業防禦範圍的矩陣,而且搭配其他資安框架做到靈活應用後,同樣有助於擬定資安策略。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29