訂閱電子報∣ 友善列印字體大小 文章分享-Facebook 文章分享-Plurk 文章分享-Twitter
國際資安趨勢:美國NIST發布資安框架2.0版
獲取產業訊息零時差!立即訂閱電電公會電子報。

美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2024226日發布資安框架2.0版(NIST Cybersecurity Framework 2.0, CSF 2.0),擴大框架適用對象,除關鍵基礎設施外,可適用於任何規模大小、資安防禦程度的組織,並因應網路攻擊威脅趨勢,重新調整原有核心架構,擴增為六大關鍵功能:識別、防禦、偵測、應變、復原、治理,往下對應共22項類別與106項子類別之控制措施。

資安是企業風險的主要來源之一,組織應一併考慮資安、財務及聲譽等風險,加上全球化、外包和技術服務(如雲端運算)持續發展,應提升供應鏈第三方資安風險的識別能力,本次CSF改版著重「治理」與「供應鏈」面向,協助組織制定和執行資安戰略,並透過示範案例(Implementation Examples)提供實務作法,幫助組織落實CSF 2.0核心目標。

此外,NIST亦更新CSF指南與一系列資源文件,使組織易於掌握CSF框架內涵,以理解、評估、優先排序和傳達資安風險,有助促進團隊的內外部溝通,並與風險管理策略進行整合,因應持續變化的網路攻擊威脅,包含如:

  1. 特定主題之快速入門指南

依不同主題劃分,旨在補充CSF框架內容,說明如何運用框架強化其資安風險管理措施,以及所需留意的重點事項,協助組織掌握框架的要點並促進理解,相關主題包含如:小型企業、供應鏈風險管理(Cybersecurity Supply Chain Risk Management ,C-SCRM)、企業風險管理等。

  1. 參考資訊

組織可使用工具目錄,將CSF與其他NIST所發行多項資安文件進行交互參照,以了解CSF 與其他資安框架、標準、指南和資源之間的關聯性,幫助組織實施控制措施,未來NIST亦將不斷更新與擴充頁面資訊。

  1. 成功案例

介紹不同組織採用CSF框架的原因,以及如何成功改進其資安風險管理措施。透過成功案例分享經驗和教訓,提供相關組織參考,以更好地適用CSF框架。

 

1NIST 新版資安框架之關鍵功能與類別

功能(Function

類別(Category

類別識別碼(Category  Identifier

治理(GV

組織環境(Organizational Context

GV.OC

風險管理策略

GV.RM

角色和職責

GV.RR

政策(Policy

GV.PO

監督(Oversight

GV.OV

資安供應鏈風險管理

GV.SC

識別(ID

資產管理

ID.AM

風險評估

ID.RA

改善

ID.IM

保護(PR

身份管理、身份認證和近用控制

PR.AA

意識和培訓

PR.AT

資料安全

PR.DS

平臺安全

PR.PS

技術設施韌性(Technology Infrastructure Resilience

PR.IR

偵測(DE

持續性安全監控

DE.CM

異常事件分析(Adverse Event Analysis

DE.AE

應變(RS

事故管理

RS.MA

事故分析

RS.AN

事故應變回報與溝通(Incident Response Reporting and Communication

RS.CO

事故緩解

RS.MI

復原(RC

事故復原計畫執行(Incident Recovery Plan Execution

RC.RP

事故復原溝通(Incident Recovery Communication

RC.CO

資料來源:美國國家標準暨技術研究院(NIST

 

 

1:建立和使用 CSF 組織檔案的步驟,資料來源:美國國家標準暨技術研究院(NIST

 

 

參考資料:

  1. National Institute of Standards and Technology(NIST), The NIST Cybersecurity Framework (CSF) 2.0 (2024), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
  2. Navigating NIST's CSF 0 Quick Start Guides, National Institute of Standards and Technology, https://www.nist.gov/quick-start-guides
  3. CSF 2.0 Informative References, National Institute of Standards and Technology, https://www.nist.gov/informative-references
  4. National Online Informative References Program, National Institute of Standards and Technology,  https://csrc.nist.gov/projects/olir/informative-reference-catalog#/
  5. Success Stories, National Institute of Standards and Technology, https://www.nist.gov/cyberframework/success-stories
訂閱電子報 友善列印 字體大小:
獲取產業訊息零時差!立即訂閱電電公會電子報。