美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2024年2月26日發布資安框架2.0版(NIST Cybersecurity Framework 2.0, CSF 2.0),擴大框架適用對象,除關鍵基礎設施外,可適用於任何規模大小、資安防禦程度的組織,並因應網路攻擊威脅趨勢,重新調整原有核心架構,擴增為六大關鍵功能:識別、防禦、偵測、應變、復原、治理,往下對應共22項類別與106項子類別之控制措施。
資安是企業風險的主要來源之一,組織應一併考慮資安、財務及聲譽等風險,加上全球化、外包和技術服務(如雲端運算)持續發展,應提升供應鏈第三方資安風險的識別能力,本次CSF改版著重「治理」與「供應鏈」面向,協助組織制定和執行資安戰略,並透過示範案例(Implementation Examples)提供實務作法,幫助組織落實CSF 2.0核心目標。
此外,NIST亦更新CSF指南與一系列資源文件,使組織易於掌握CSF框架內涵,以理解、評估、優先排序和傳達資安風險,有助促進團隊的內外部溝通,並與風險管理策略進行整合,因應持續變化的網路攻擊威脅,包含如:
- 特定主題之快速入門指南
依不同主題劃分,旨在補充CSF框架內容,說明如何運用框架強化其資安風險管理措施,以及所需留意的重點事項,協助組織掌握框架的要點並促進理解,相關主題包含如:小型企業、供應鏈風險管理(Cybersecurity Supply Chain Risk Management ,C-SCRM)、企業風險管理等。
- 參考資訊
組織可使用工具目錄,將CSF與其他NIST所發行多項資安文件進行交互參照,以了解CSF 與其他資安框架、標準、指南和資源之間的關聯性,幫助組織實施控制措施,未來NIST亦將不斷更新與擴充頁面資訊。
- 成功案例
介紹不同組織採用CSF框架的原因,以及如何成功改進其資安風險管理措施。透過成功案例分享經驗和教訓,提供相關組織參考,以更好地適用CSF框架。
表1:NIST 新版資安框架之關鍵功能與類別
功能(Function) | 類別(Category) | 類別識別碼(Category Identifier) |
治理(GV) | 組織環境(Organizational Context) | GV.OC |
風險管理策略 | GV.RM |
角色和職責 | GV.RR |
政策(Policy) | GV.PO |
監督(Oversight) | GV.OV |
資安供應鏈風險管理 | GV.SC |
識別(ID) | 資產管理 | ID.AM |
風險評估 | ID.RA |
改善 | ID.IM |
保護(PR) | 身份管理、身份認證和近用控制 | PR.AA |
意識和培訓 | PR.AT |
資料安全 | PR.DS |
平臺安全 | PR.PS |
技術設施韌性(Technology Infrastructure Resilience ) | PR.IR |
偵測(DE) | 持續性安全監控 | DE.CM |
異常事件分析(Adverse Event Analysis) | DE.AE |
應變(RS) | 事故管理 | RS.MA |
事故分析 | RS.AN |
事故應變回報與溝通(Incident Response Reporting and Communication) | RS.CO |
事故緩解 | RS.MI |
復原(RC) | 事故復原計畫執行(Incident Recovery Plan Execution) | RC.RP |
事故復原溝通(Incident Recovery Communication ) | RC.CO |
資料來源:美國國家標準暨技術研究院(NIST)
圖1:建立和使用 CSF 組織檔案的步驟,資料來源:美國國家標準暨技術研究院(NIST)
參考資料:
- National Institute of Standards and Technology(NIST), The NIST Cybersecurity Framework (CSF) 2.0 (2024), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
- Navigating NIST's CSF 0 Quick Start Guides, National Institute of Standards and Technology, https://www.nist.gov/quick-start-guides
- CSF 2.0 Informative References, National Institute of Standards and Technology, https://www.nist.gov/informative-references
- National Online Informative References Program, National Institute of Standards and Technology, https://csrc.nist.gov/projects/olir/informative-reference-catalog#/
- Success Stories, National Institute of Standards and Technology, https://www.nist.gov/cyberframework/success-stories