面对企业进行整体资安架构盘点的议题，即便本身没有专属的安全团队，仍有一些通用准则可以遵循。例如，美国国家标准与技术研究所（NIST）提出的网络安全框架，也就是Cybersecurity Framework（CSF），就是当今值得企业参考的资安架构。

但是，在采用CSF的过程中，企业可要注意一些关键与细节，才能让框架的实施运作，可顺利且更好的发挥效用。

落实企业安全计划需从上而下，针对存在风险决定优先强化顺序

基本上，CSF框架涵盖了资安的5大面向，包括识别、保护、侦测、回应与复原，对于企业而言，可供建立网络安全生命周期的风险管理。

特别的是，在2018年的NIST CSF 1.1版后，不仅是将5大功能，从22类别与98项子类别，扩增到23类与108项。在此当中，新版特别针对供应链安全、身份识别与验证，以及自我评估资安风险的内容，进行强化，因此，更能贴近目前实务面的需求，并成为不限组织规模大小和业务型态，所有企业对于网络安全强化都能通用的架构。

为了方便组织采用，NIST已经提供使用CSF的7个步骤，帮助打造与实施所需的管控措施。让组织或企业可以依据其安全现况，进行风险评鉴，然后自订出想要达成的目标轮廓，评估出优先强化的顺序以实施计划，并借由框架来持续评估其安全成熟度。

但要注意的是，许多资安标准导入或是制度推动，都有一项关键要素，那就是要获得公司上层的支持。因此，NIST也建议，组织应透过由上而下来贯彻与落实资安政策，并且持续地进行。

企业该如何做？从组织运作方式来看，可采用由上而下的方式，从最高的管理层（Executive Level）、业务层（Business/Process Level），以及实施层（Implementation/Operations Level），经过这三个阶层的互相合作，来落实这项整体安全的计划。

以管理层为例，简单来说，不仅是要关注组织所面临的威胁，也要决定因应的措施与优先级，因此要与业务层确认任务的优先级、风险偏好与预算。

接下来，业务层将依照管理层的决定，进行现况盘点的轮廓侧写，并回报管理层与目标轮廓的差距，再往下交由实施层来拟定行动计划。之后，上报实施结果，以供下一阶段计划评估。

值得注意的是，目前国内也有一些业者在谈CSF，BSI英国标准协会就是一例。对于导入时的注意事项，他们的台湾分公司客户经理花俊杰给出3个建议：首先，CSF已经提供完整的文件和实施步骤，对于想要建置导入的组织而言，了解框架内容是第一步，同时也需要有管理阶层的支持；其次，要从整个组织管理阶层与本身业务结合，基于风险管理的角度，从资源与风险找出强化优先级；最后，他提醒，这是要持续检视的作法，不是做过一次就结束，周而复始进行才能维持一定的健康状态。

此外，他也用日常身体健康检查来比喻，资源越多检查作法越细致，资源少也还是能做到一个适当的检视。

成熟度如何评估是关键，外部验证是进一步的作法

在使用NIST网络网络安全框架时，往往可能还会面对成熟度评估的问题。除了CSF本身的实施层级，花俊杰也指出评估时可考量的3个元素，分别是风险管理流程、整合的风险管理计划，以及外部参与等来进行评估。

如果企业还想提升评估的有效性，在自评方式之外，寻求外部第三方协助是进一步的作法。这样的作法，如同企业管理一般也有内稽、外稽之别。

在NIST网络安全框架提出后，近年也已经发展出验证方案，透过独立第三方单位来协助实际评估，以进一步加强企业管控风险。而验证方案的出现，这其实显示出一件事，这个框架也开始被视为一项资安上的指标。

目前，BSI在2018年3月开始推出NIST CSF认证，HITRUST也在2018年5月提供相关评估方案，不过，两者验证方式不同。对于企业取得相关认证的现况，花俊杰表示，例如，包含美国、加拿大的企业，与台湾邻近的香港，也有云端服务业者取得BSI的CSF证书。

对于评估作业可能遇到的难题，花俊杰也特别分享一些他们的经验，供国内企业参考。举例来说，对于NIST网络安全框架，BSI将成熟度分为5个等级，并有1到15的分数级别，每3分为一级，让5个等级可以有更细的画分，更容易了解下一成熟度的目标。

他举例，以CSF识别功能的资产管理类别而言，如果组织没有定义资产盘点的实施做法与计划，评分上就会落在第一级的“无正式方法”；若组织对于资产盘点已有自定的规范程序和方法，并能依照规范要求执行，评分时就会达到第二级的“被动”；更进一步来看，如果组织在资安盘点上，已从风险角度涵盖所有日常作业，并有量测的KPI指标，相关人员皆有足够的培训技能来自我管理，就能达到第三级的“主动”。

特别的是，如果还要达成第四级的“改善”和第五级的“最佳化”，他也具体指出，企业需要的是建置自动化的监督与量测系统，投入更多资源，并且考量从各种来源的不同输入资讯，进而决定有效地管理风险和改善作业。

另外，关于BSI的CSF证书，他也表示，企业必须先取得ISO 27001认证，因为它是所有企业通泛适用的基础，对已导入的企业而言，可透过CSF对网络安全的面向提升，朝更好的成熟度迈进。

NIST网络安全框架的源起

图片来源／NIST

由美国国家标准技术研究所（NIST）提出的网络安全框架（Cybersecurity Framework，CSF），原是美国-为改善关键基础设施资安防护的需求而产生。

面对近年重大网络安全事件的威胁，在2013年2月，美国总统奥巴马发布了第13636号行政命令（EO），下令NIST与利益相关方合作，根据现有的标准、指引与最佳实务作法，订立一套可供相关单位采用的资安框架，能够借此强化网络安全。接着，NIST也在同年7月，推出该框架的草案，并于2014年2月发布1.0正式版本。

后续，在2017年5月，美国总统川普签署新的行政命令，更是要求所有美国190个联邦机构，依循Cybersecurity Framework框架。而NIST也在搜集已采用企业与单位的意见回馈后，于2018年4月发布此框架的1.1版。

虽然，这个网络安全框架一开始要求的实施对象是-单位，但其实也不限于-单位采用，而且它也受到受到全球多国组织与企业的认可，不只是影响多国在关键基础建设的网络安全法规面，同时也成为企业强化自身网络环境安全，相当值得参考的工具。

 相关报导  NIST网络安全框架当红