【提升企业网络安全新利器】NIST网络安全框架崛起，成为企业资安共通标准

虽然资讯安全谈了很多年，但还是有很多企业，处于头痛医头、脚痛医脚的状况，不论是导入资安管理标准与指引，建立资安事件应变小组，或是采购各式资安解决方案，都成为这几年企业防护关注的焦点。

但最大问题在于，多数企业在网络安全管理面向上，往往还是欠缺整体通盘的考量，不过，这个由美国国家标准与技术研究所（NIST），所提出的网络安全框架，近年已被看做是企业提升企业资安防御水平的新利器。不仅是因为其框架中所画分的5大功能，包括识别、保护、侦测、回应与复原，将网络安全风险管理的生命周期涵盖，更大的原因，是在此框架的规划与实施方面，提供了结构相当清晰的策略，且相对容易实施，对于还未有完善资安规划的企业而言，可以带来明显的帮助。

而且，这个网络安全框架还有一个优势，就是提供应用弹性，可适用于不同领域的组织或企业，并具备资安成熟度的概念，能便于建立评估的基准，进一步提升资安防御水准。

新版本已将供应链管理纳入范围，未来将会成为更通用的工具

关于这个NIST网络安全框架，大家也可直称NIST Cybersecurity Framework，或是CSF，但它到底为何会受到高度重视？对于多数国内企业而言，可能都对它还是感到陌生。

这是一个由美国国家标准技术研究所（NIST），所提出的网络安全框架，原本是美国-为改善关键基础设施的资安需求而起，但也强调它不限于-单位采用，对于企业而言，其实也是强化资安的优化工具。在2017年，美国-更是要求联邦-机关，都要导入这个框架。

值得注意的是，不只美国联邦-使用这项框架，来管理网络安全风险。在今年开始举行的Cybersec 101系列研讨会上，勤业众信风险咨询公司总经理万幼筠更是指出，这个框架其实还带动了全球针对关键基础设施，在立法保护上的潮流，包括欧洲、加拿大、巴西，以及韩国、日本、中国、澳洲、新加坡、马来西亚、泰国与印度等亚洲各国，台湾也不例外。

对于企业而言，更重要的是，2018年NIST网络安全框架新推出1.1版，由于新涵盖了资讯供应链安全风险管理，这影响到提供美国联邦-的供应商。

对于供应链安全风险管理的纳入，万幼筠更是认为，这个NIST网络安全框架，在国际上会越来越变成通用实作的项目，也就是大家都要依循。而且，开发、采购阶段均能适用此框架。

事实上，像是Cisco等科技大厂，不仅将CSF概念套用于自家的解决方案，在今年初，于台北举行的Cisco Connect TPE大会上，该公司系统工程经理Michael Lin也建议，要检视企业资安的整体现况，并找出需要优先需要改善的面向来规划，NIST网络安全框架就是不错的工具。

对于NIST网络安全框架的发展，万幼筠特别提醒一件事，其实该框架处处都在提醒企业，资安没有百分百安全这件事，重点是可以把组织的资安韧性（Resilience）提高，业务可以快速复原，并有相关配套，像是NIST也将保险Cyber Insurance视为重要一环。

这是因为，安全强化还有一些不是技术能力不及的问题，还要考量到预算，做到最适化的资安。他强调，NIST所聚焦的就一件事，就是要不断评估找到关键风险，强化资安韧性。

而他也认为，NIST网络安全框架，将会成为一个通用语言的工具，可以横向自我解释的工具，有助于提升组织或企业的资安防御水准。

CSF是基于风险为基础的架构，优势在于具有灵活弹性且容易切入

不过，对于企业而言，市面上各种不同的资安框架或标准，让企业有所选择参考，但也可能无所适从。例如，国内企业较熟悉的资安认证标准ISO 27001，近年兴起的MITRE ATT&CK框架，以及澳洲-提出的ACSC Essential Eight。

因此，企业该如何看待这些资安框架与标准？NIST网络安全框架又有什么特殊之处？BSI英国标准协会台湾分公司客户经理花俊杰表示，每个标准都有擅长的地方，以及适合使用的组织与情境。

以ISO 27001而言，它是目前国际公认的资讯安全管理体系，能够让组织建立完整的管理制度，并且从风险的角度来实施所需的控制措施。

而NIST CSF也是以风险为基础，但它的优势在于灵活弹性且易于实施。若是企业现有环境人力资源不足，或是对ISO标准认知还不够，也许NIST CSF是一个相对较为容易切入的作法。

即便已经导入像是ISO 27001的组织，也能借此框架的控制类别，与成熟度评估的方式，进一步强化网络安全。

至于近年兴起的MITRE ATT&CK框架，主要提供了结构化的方式来解读攻击手法和行为，借此强化企业防御评估；而ACSC Essential Eight是透过八项最有效的安全控制措施，来缓解网络攻击事件的发生。一个针对入侵流程，一个聚焦系统安全，相较之下，NIST CSF并不是着重特定领域或单点的作法，因此两者并不冲突。

成熟度评估是持续落实网络安全的关键之一，中小企业也能适用

此外，过去企业可能难以评估自身资安做的好或不好，而在NIST网络安全框架设计中，所包含的成熟度概念相当重要，而这也是近年资安发展的一大趋势，像是上述的ACSC Essential Eight，也具有成熟度的设计。

当资安工作以成熟度来展现时，将可利于盘点资安现况，规划资安目标，并让企业能有一个基准，可以比较自己在各个项目的作法，进而从风险、成本与业务特性来考量，找出需优先改善的面向，同时，要逐年自我检视才能不断精进，做到资安防御水准的提升。

而且，NIST的文件内容都是公开的，当中也已说明，这是不论企业规模大小都可适用的工具，尽管美国所指的小企业与台湾的小企业，人数规模可能还是有些落差，但从现实案例来看，也是有熟悉组织业务与安全的人，可以一个人来完成检核表的评估作业。无论如何，这都将是台湾企业值得参考的工具。

以风险为基础的NIST Cybersecurity Framework 1.1版中，可协助企业与组织建立通盘的网络安全管理策略。当中包含5大构面，并有23个类别与108个子类别（图中括号部分），同时将搭配描绘资安防御现况与目标，以及成熟度的概念，以找出优先强化的顺序。资讯来源：NIST，iThome整理，2019年9月

 相关报导  NIST网络安全框架当红