【務實推動企業資安持續強化】富邦人壽率先通過NIST CSF驗證的過程大解析

在當今數位化、全球化的商業環境中，網路安全已成為企業運營不可忽視的關鍵議題。隨著數位化進程的加速，企業所面臨的安全風險也日益增加。為了能夠有效管理並減少網路安全風險，許多企業選擇採用NIST（美國國家標準與技術研究院）CSF（網路安全框架）作為其資安防護的指導標準。

也有一些第三方驗證單位，根據NIST CSF的規範，協助企業組織通過NIST CSF驗證。對於企業而言，通過驗證不僅顯示其對資安風險管理的承諾，也能夠提升企業的內部防護機制，並加強對外界合作夥伴和供應鏈的安全管控。

NIST CSF的核心思想是以風險為基礎的網路安全管理方法，幫助企業識別、保護、偵測、回應及復原，形成一個完整的資安防護體系。此框架不僅關注法規遵循，更強調針對網路攻擊、弱點分析及實際風險的應對，與傳統的ISO 27001驗證體系相比，NIST CSF提供了更靈活的風險管理模式。

在國際上，已有不少企業成功實施NIST CSF並獲得驗證，這些案例不僅證明NIST CSF的有效性，也展示對企業資安管理的實質貢獻。例如，泰國的航太業者RV Connex、泰國資服業者INET MS、加拿大軟體開發業者LoginRadius和加拿大資服業者CDW等，均已透過公開資訊的方式，明確揭露該企業已經成功通過第三方單位的驗證，並且已經在企業內運用NIST CSF網路安全框架作為資訊安全的指引，這些公司通過對該框架的全面實施，不僅提升資安防護能力，也加強對外界合作夥伴的風險管理能力。

導入NIST CSF的關鍵挑戰

不過，富邦人壽資訊安全處經理曾淑玲表示，導入NIST CSF的過程中，最大的挑戰在於「風險評估」與「第三方管理」部分。

曾淑玲指出，NIST CSF與ISO 27001最大的差異在於：風險評估方法論的生成。

她進一步解釋，在風險評估的方法論上，NIST CSF比較著重網路弱點、威脅與衝擊層面的評估，跟ISO 27001偏向法令遵循的風險思維不太相同。因此，富邦人壽必須自行設計適合人壽業務應用的量化風險評估工具，來衡量網路威脅的潛在影響。她強調，量化風險評估能夠提高內部接受度，並以實質網路風險作為依據，呈現風險級距。

富邦人壽資訊安全處協理賴居正補充說明，他表示，因為NIST CSF注重於威脅因應與弱點分析，而非僅僅關注法規遵循，這對公司原先都以ISO驗證為主的資安團隊來說，都是全新的挑戰。他解釋，NIST CSF關注實際的弱點威脅，會對企業組織如何帶來衝擊；而ISO 27001多半關注組織法遵面的風險。

但是，與ISO 27001相較，NIST CSF更著重於網路弱點威脅、攻擊行為模式等實務面，因此，富邦人壽在面對NIST CSF的風險評估時，對於應該要用什麼指標或數字來佐證風險等級，就需要大量的內部辯證。

賴居正強調，富邦人壽導入NIST CSF後，便能從「辨識、保護、偵測、回應、復原」的角度，檢視企業在各階段的防護機制。這不僅補足以往較偏向「合規性」的操作方式，也讓資安團隊在面對新型威脅時，能夠更靈活地反應。畢竟，他說：「連臺灣BSI一開始時，也無法給出一個可供參考的標準答案，就是因為各家公司的應用情境不同，面對的風險衝擊也不同。」

除了風險評估之外，第三方管理也是NIST CSF著墨的重點。曾淑玲表示，由於金融業在業務推進上，常仰賴各類IT供應商與技術廠商，因此供應鏈安全成為一大變數，這也促使該公司須做好第三方管理，在這方面，NIST CSF也要求更嚴謹的供應商管控。

她表示，富邦人壽還為此制定一版詳細的SOP（標準作業流程），包括供應商評估矩陣與風險分級管理，從簽約前的資安強度評估，到合約結束後的稽查機制，全部流程都納入風險評估，包括：如果乙方供應商風險太高，甲方業主甚至要進行實地稽查。

因此，資訊部門與供應商的合作至關重要。賴居正進一步解釋，在相關的作業辦法公布後，富邦人壽資安處便和資訊部門有共識，要求資訊、資安業者在承接該公司的業務之前，必須先填寫一份風險評估文件。

這份文件內容主要呈現這些供應商本身的資安強度，包括：確認這些供應商是否做社交工程演練？是否取得其他資安驗證？以及是否根據業務風險高低採取不同的控制措施。

曾淑玲指出，供應鏈安全是導入NIST CSF後特別注重的部分，「以往可能只在意公司內部的防護，但現在透過這個框架，會更加關注外部合作夥伴或供應商的安全狀況。」她說。

賴居正強調，過去ISO 27001的第三方管理，可能只要檢核合約即可；但NIST CSF和主管機關都強調供應鏈風險，像「金融資安行動方案」就再三強調，資安供應鏈的管理。他說：「這種對供應商的要求，在金融業看似流程繁瑣，但對於確保整體網路安全有很大助益。」

曾淑玲認為，ISO 27001和NIST CSF這兩套標準並不是互斥的，反而是可以同時並行。前者，幫助企業保持合規，同時讓內、外部利害關係人都知道，該公司有一套相對穩健的安全管理系統；後者，強調對實質風險的管理，以及成熟度概念的導入，能看見該公司在網路安全的水準為何。

提升組織內部的資安共識與協作

在導入NIST CSF資安框架的過程中，是否遇到內部溝通、資源分配或技術上的瓶頸？富邦人壽資訊安全處專案經理林原慶直言，導入NIST CSF的過程中，最大的挑戰之一是「人力」與「認知」問題。

「在人力方面，資安與資訊部門得投入許多額外精力，不僅要進行差異分析，還要收集各項稽核資料，這確實需要組織上下的支持。」林原慶說道。

他進一步解釋，至於認知部分，NIST CSF畢竟是新的框架，許多同仁一開始並不熟悉。因此，我們在2023年便開始安排教育訓練及專案會議，藉由一次次溝通與文件分享，讓大家知道這件事的重要性，同時也降低了導入阻力。

賴居正也提及，富邦人壽對資安並不陌生，因為先前已經有ISO 27001、BS 10012（個資保護）以及ISO 22301（業務持續營運）等驗證。有了這些跨部門合作的先例，所以在推動NIST CSF時，並沒有太大的阻礙。

他認為，關鍵在於：怎麼做才符合NIST CSF要求？而這部份的溝通和磨合，則是透過一次次的內部會議，把艱澀的條文翻譯成大家都了解的白話文後，再去和資訊部門或其他單位做溝通，這才減少時程上的摩擦。

富邦人壽資訊安全處協理賴居正表示，NIST CSF注重威脅因應與弱點分析，而非僅僅關注法規遵循，對原先以ISO驗證為主的資安團隊來說，NIST CSF更著重於網路弱點威脅、攻擊行為模式等實務面的角度。（攝影／洪政偉）

至於如何培養內部員工對NIST CSF的理解與認同，賴居正指出，目前法令規定公司全員每年須接受3小時的資安訓練，資安專責人員則需要15小時的進階課程。但他坦言：「這對於要真正落實NIST CSF的要求還不夠。」

落實NIST CSF涉及跨部門的合作，NIST CSF 提供一套共同語言，讓資安、資訊、法遵、風控及業務部門都能在相同的框架下進行討論。過去，資安常被視為「額外負擔」或「不必要的麻煩」，但在引入NIST CSF後，各部門更能理解每項要求背後的風險考量，形成上下同心的合作氛圍。

因此，富邦人壽計畫從今年（2025年）開始，加強並擴大相關人員資安教育深度。「除了資安部門，也會開放資訊部門、法遵、稽核與風控等單位一起上課」賴居正說。藉此也讓所有與資安密切相關的部門，都能對NIST CSF的五大構面（Identify、Protect、Detect、Respond、Recover）有更深層的理解與應用。

林原慶坦言，導入NIST CSF的確要投入額外的人力支援，並需透過專案會議及教育訓練，減少內部阻力。賴居正指出，內部會議在優化執行方式上發揮關鍵作用，讓資安需求能以更易於理解的語言傳達給其他部門。

NIST CSF的導入和推動能否順利的關鍵是什麼？賴居正坦言，企業組織的文化一定要先支持。他表示，富邦人壽總經理陳世岳已經指示，所有新的系統、新作業程序、新的流程等，要正式上線前，都必須先經過法遵、風控和資安部門的審核；若是資訊系統相關的應用，則必須先經過資安處的評估。

至於業務單位有新的需求需要資訊部門協助完成，賴居正指出，資訊部門也已經習慣，會在完成相關的系統規畫後，再請資安部門檢視是否有需要因應相關風險，也會將相關的評估強化內容，並放入該計畫中。

「目前資安處每年要做資安評估的專案大概120～130件，」賴居正說，只要有新系統或新工具要規畫或上線使用前，資訊部門一定會與資安部門會辦；而目前資訊和資安部門則以NIST CSF作為共通語言做評估，更容易凝聚共識。

「資訊和資安部門互動密切，資訊部門就不會忽視資安部門的建議。」他說。

曾淑玲則強調，NIST CSF與ISO的體系標準不盡相同，有些條文連資安單位自己都必須再三研究才能看懂，更何況是其他業務部門。因此，曾淑玲認為，NIST CSF作為一個全新的框架，對其他非資安背景的部門而言仍然陌生，未來將邀請專家提供進一步的深度課程，並協助其他相關單位快速上手。

從資安到營運的雙重提升

富邦人壽資訊安全處副總經理暨資安長黃文解表示，導入NIST CSF驗證後，帶來最直接的效益就是：內部資安能力與營運發展雙雙提升。他指出，藉由NIST CSF讓該公司重新檢視成熟度，重新審視風險，知道好與不好的地方在哪裡。

富邦人壽以前也有做資安，但透過NIST CSF的資安框架，可以使人員和資訊部門的合作更加緊密，整體風險的認知也更深刻。黃文解認為，對富邦人壽的客戶（保戶）而言，該公司重視網路安全的態度更鮮明，也可提升客戶對富邦人壽的信任，對業務帶來正向幫助。

他進一步強調，有些消費者可能原本不太願意使用網路投保，擔心資安風險。現在富邦人壽在網路投保範圍取得驗證，對外是一種強而有力的背書，成為他們業績引流的新亮點。對內方面，富邦人壽也能更落實自我評估、知道哪些地方還有待提升，更清楚未來在技術能力上該怎麼強化。

富邦人壽資安處副總經理暨資安長黃文解表示，通過NIST CSF驗證後的最直接效益就是：提升公司內部的資安和營運能力，並藉由NIST CSF讓該公司重新檢視成熟度，以及重新審視風險。（攝影／洪政偉）

賴居正補充指出，導入NIST CSF 後，資訊部門跟資安部門的互動方式有了明顯的改變，因為，資訊部門成為資安處最密切的合作夥伴。他解釋，以前有些開發測試流程，可能只是走走形式；但現在大家更加重視元件檢測、漏洞掃描，軟體後門等議題。資訊部門也主動找資安單位商量。他說：「這代表公司整體文化，真的開始轉向更重視資安了。」

賴居正也提及，第一次評鑑臺灣BSI給出的面向與成熟度參考，NIST CSF驗證裡面共有23類、108個控制點，這些控制點會對應五大構面，並從風險識別、風險評鑑到保護維運做出更細緻的衡量，像有些部分可達到第四級成熟度，也有地方需要再持續精進。

林原慶則指出，該公司在風險識別、風險評鑑、保護與維運方面，確實做得不錯，算是高水準；透過這些評鑑結果則能協助該公司知道其不足之處，以便後續能夠改進。

富邦人壽資訊安全處副處長陳慧玲總結導入的好處，她表示，取得NIST CSF驗證，幫該公司第一次立下一個標竿，未來，就能以PDCA（計畫、執行、檢查、行動）循環來持續改善。她也說：「公司也會藉由這樣的方式，檢視每一年的資安策略與計畫，確保每年都能持續提升。」

資安從「專業部門的事」演變成「全員共識」

NIST CSF框架中最核心的「五大構面」：識別、保護、偵測、回應與復原，若能全面融入日常營運，對金融業的風險控管便能產生重大效益。黃文解表示，該公司原本就在進行偵測和情資分析，現在則透過NIST CSF來檢視風險和成熟度。因為有了這套框架，他們能更有系統地掌握整個企業網路防禦狀況。」

資安標準很多，賴居正表示，公司需要導入哪一種資安標準，端看公司當下處於哪個階段和需求。例如，ISO 27001是資安的基本盤，金融機構大多會先通過ISO 27001資安驗證；但NIST CSF更著重「網路安全」的管理與實務，假如公司未來要往雲端或其他新興應用走，就還需要考慮雲端的資安驗證。

曾淑玲補充說明，NIST CSF的優勢在於實用性更高，也更有「成熟度」的概念；ISO 27001相對更強調合規，NIST CSF則是更靈活，更能因應實際風險的變化。「因此，在金融界已經有不少業者開始關注NIST CSF驗證，以落實風險導向的資安管理。」她說。

不過，NIST CSF已經發展到2.0版，更重視強化資安治理與落實日常資安策略。陳慧玲透露：「富邦金控也非常看重資安治理框架，所以，富邦人壽也把NIST CSF框架納入金控的資安技術規畫，並分門別類地整合到日常作業。」她認為，這樣做，就能讓整個金融集團的資安治理更有一致性。

黃文解則表示，NIST CSF資安框架的彈性很適合金融業運作，還沒有取得驗證前，該公司就已經開始用NIST CSF資安框架落實網路安全管理。隨著升級到NIST CSF 2.0，該公司在風險與成熟度提升方面，也會更聚焦。「在取得驗證的過程中，富邦人壽獲得高層的支持，真正做到從上而下重視資安，並融入日常營運的每個面向。」他說。

NIST CSF使資安從「專業部門的事」演變成「全員共識」，讓管理層、資訊部門、業務單位、風控及一般員工都能站在相同的基準上思考與行動，進而形塑出一個「資安根植於組織基因」的企業文化。

從驗證了解真實狀況，持續驗證則帶動成熟度提升

賴居正認為，要是沒有這個框架及外部評鑑，對於富邦人壽而言，可能就只會覺得「我們做得不錯了」，一旦有了定期外部稽核，就會有清楚的建議，例如，該公司在某一個構面的資安成熟度只達到第三級，後續就會得到建議，了解接下來應該如何精進。

以往富邦人壽在資安事件的應變策略或演練等領域，都陸續投入許多心力，賴居正說：「像2023年、2024年，就有十四個部門參與資安演練，2025年也會繼續規畫，就是希望演練情境更接近實務。」若未來要面對AI或雲端等議題，也希望能保持同樣甚至更好的資安成熟度。

黃文解建議，在導入NIST CSF時，跨部門合作非常關鍵，尤其資訊部門的配合與認同，不可或缺；資安部門絕對因為不能單打獨鬥，很多控制措施都需要資訊部門實際落地執行，雙方一定要有共識。

富邦人壽是臺灣金融保險業第一家取得NIST CSF驗證的企業，黃文解表示，這對同業或整個市場而言，都是拋磚引玉，因為很多同業其實也關注這個框架，只是還沒真的導入。他說：「未來若有更多同業透過第三方驗證審視自己的網路資安成熟度，對整個產業都是好事，能做到所謂的『資安聯防』也可以讓客戶更安心。」

賴居正進一步指出，大家在導入前要先花時間了解NIST CSF的內涵。如果企業資安人員對NIST CSF不了解，僅靠顧問告訴你該怎麼做，可能就無法真正把它落實成自己的框架。最終，這是整家公司的資訊安全，不單單是資安單位的責任。資訊人員必須知道這是共同使命。」

至於技術層面，陳慧玲特別強調「差距評估」步驟，在執行前，企業組織應該先做內部自我評估，掌握公司現況和NIST CSF資安框架要求的安全水準之間的差距，然後再逐步調整，；等到內部準備充足，再尋求第三方驗證就能事半功倍。她說：「這樣流程順序比較順暢，也比較能做到一次到位。」

不過，黃文解強調，驗證並不只是「掛在牆上的證書」，更是第三方公正單位對公司資安成熟度的驗證。他也同意，取得NIST CSF驗證，並不代表資安已經做到萬無一失，而是這樣的資安框架為組織提供了一個鏡子，一個持續改善與成長的基準而已。

黃文解也體認到，「驗證只是開始，不斷的檢討和優化才是關鍵。」未來，他也希望有更多同業一起交流，為客戶帶來更安全的金融服務環境，尤其是需要「資安聯防」的金融保險領域，更是如此。

 NIST CSF V1.1 實施 7 步驟 

1. 決定實施範圍與優先順序

2. 確認組織目標與方向

3. 建立現況設定檔

4. 進行風險評鑑

5. 建立目標設定檔

6. 判定、分析和考量各種差異的優先順序

7. 實施行動計畫

資料來源：臺灣BSI提供，2025年2月