【活用多种资安框架，建构面面俱到的资安策略】拟定完整资安策略，需从四大构面着手

在企业准备要推动资安防护的工作时，可能已经听过不少资安概念与框架，但太多的资讯仍让企业不知从何下手，或者是只在遇到资安事件时，着急解决当下的问题。

因此，现在一些企业最常见的难题，就是资安策略不够明确、难以实践，那么，我们能否有更有更好的做法，来建立资安防护策略？在上个月举行的2020台湾资安大会上，戴夫寇尔首席执行官兼共同创办人翁浩正认为，资安不能一直处于短期应急的状态，必须要有中长期的规划，而活用资安框架，就是帮助企业拟定长期资安策略的重要工具。

拟定资安策略需活用资安框架，在2020台湾资安大会上，戴夫寇尔首席执行官兼共同创办人翁浩正（图左），与该公司另一位事业发展经理锺泽华（图右），共同说明拟定资安策略的基础就是资安框架，并要能够从风险、程序、控制与技术层面来对应。

规划资安策略要同时从风险、程序、控制与技术面看起

关于资安策略需要关注的构面有那些？在这次活动上，翁浩正与该公司一位事业发展经理锺泽华，他们从风险、程序、控制与技术面，并搭配热门资安框架与Cyber Defense Matrix模型的应用，让企业在资安策略拟定上能套用更具逻辑的方法。

翁浩正表示，在他们红队演练经验中，当企业收到技术报告，虽然技术人员可以理解漏洞问题、入侵途径与解决之道，但从企业资安高层角度来看，将是资安策略该如何定义。对此，他们利用现有资安框架，剖绘出可综览全局又立体的构面，提出具体参考建议。让企业不论在平时或演练后，能有好的方式去规划资安策略。

对于规划资安策略这件事，翁浩正用相当白话的方式来解释，他说，资安策略就等于是有顺序的代办清单，当中包括了短期、中期与长期的计划，同时，资安策略也等于企业导入防御措施后仍须持续处理的事项。而这里有两个重点，一是顺序，一是导入后持续降低风险，是他特别强调的部分。

那么，资安策略该如何拟定呢？翁浩正指出：“资安策略的基础是资安框架，而资安框架要有效果，要靠真实威胁调整。”只是，虽然参考这些框架就可以事半功倍，但彼此间的关连，以及如何应用，仍是不少人会问的问题。

制定各层面资安策略，可仰赖对应的资安框架

为了让各界更清楚这些资安框架的定位，锺泽华从企业资安管理阶层与资安框架的关连说起。

对此，他们定义出企业内有4种资安人员，角色层级分别是资安长、资安官、资安主管，与第一线资安人员，因此，企业制定资安策略将以由上而下的方式来进行，而这些不同层级也意谓著，将从风险、程序、控制与技术，来建构出完整的安全层面。（编按：关于上述资安官一词，意指资安高阶主管，而非中国用法是指资安长，特此说明）

在这4大层面中，资安上的任务各自不同，翁浩正表示，各层都有对应的资源可以参考，他从SANS归纳的风险框架（Risk framework）、计划框架（Program framework），以及控制框架（Control framework）来说明。

例如，以资安长而言，主要考量的是风险与风险评鉴等，相关风险框架可参考的资源，包含NIST 800-39、NIST 800-30，以及ISO 27005与CIS RAM；在资安官的角色上，主要着重在程序面，相关计划框架可参考资安管理上所熟知的ISO 27001，以及近年热门的NIST CSF；在资安主管方面，关注的是控制措施该怎么做，包括控件较具体的NIST 800-53、CIS CSC；最后的是第一线资安人员，或是一般技术人员，他们专注在技术面，主要掌握的是防御解决方案与服务。

对此，翁浩正也补充说明，例如，在资安高阶主管负责的程序面来说，当中可对应NIST CSF与ISO 27001，他认为这两种框架可以互补，主要依据使用情境；而在资安主管负责的控制面来说，如果企业不知该如何做好控制，他非常建议企业可以参考CIS CSC，也就是CIS Controls，从中找到企业本身所需。

更重要的是，翁浩正认为，借由这样的架构，将有助于企业厘清更多资安上的问题，他并提醒要用长期方式来规划，像是3年或5年，要求自己达到更好的控制。

 相关报导  资安框架活用新思维