【2021资安大预测】趋势6：资安成熟度｜资安成熟度升格为产业落实资安重要议题

过去企业组织推动落实资安，导入资讯安全管理制度已是常见的作法，但随着资通讯科技发展，及资安威胁趋势变化，除了内部资通安全稽核、相关资安演练，资安成熟度自评也是重要的概念。

特别是在这两三年来，资安成熟度的概念已经越来越浮上台面，在我们之前也介绍过的资安框架与标准中，其实就有资安成熟度的展现。例如，近年当红的资安框架，就是由美国NIST推出的Cybersecurity Framework（CSF），最新为2018年推出的1.1版，供美国-与民间企业能从五大面向，包括辨识、防护、侦测、应变到复原，评估自身防护程度与能力，而其核心精神，就是一个能够持续运作的成熟度评估框架。

而由英国国家标准协会推出的BS 31111:2018，同样强调掌握自我安全成熟度现况，能提供组织高层对风险决策方向，并强化对资安事件威胁的韧性。

还有像是，由澳洲-发展出的网络攻击减缓八大策略──ACSC Essential Eight，当中也定义了5个成熟度层级，要让各组织在每种缓解策略中，都能达到安全基准，进而提升更高安全层级。

资安成熟度将在台湾产业间发酵

资安成熟度的观念，其实已经在台湾慢慢成形，甚至变成2021年的焦点。

举例来说，我国-为落实资安，早已在持续推动这样的概念。例如在7年前，国家资通安全发展就计划辅导部分-机关，试行导入资安治理成熟度评估模式，多年下来，推动规模已经越来越扩大，而在2020年的规划中，已是推动所有A级-机关，都落实资安治理成熟度自评，并达到成熟度第3级以上。

对于国内企业而言，也有一些公司公开表示他们重视这样的概念。封测大厂日月光投控就是一例，他们在自家官网率先揭露了公司资安作为，强调注重资安成熟度评量，并指出他们是透过导入NIST CSF，作为落实企业资安规划第一步，并定期制定改进计划。国内电信龙头中华电信也有行动，他们在官网揭露其资安与个资风险管理机制，是参考NIST CSF，并会衡量资安治理成熟度。

只是，现在仍有许多企业可能还不知该如何着手强化资安，亦没有资安成熟度的概念。不过，近期我们看到国内已有政策要将此一概念，推动到国内各产业，尤其是制造业与金融业。

举例来说，在2020年9月，经济部工业局旗下工研院打造的资安整合服务平台Secpaas，就推出“资安成熟度评级服务”，目的就是希望促进国内产业在强化资安时，可以借此找到方向。

同时，金管会在2020年8月提出的金融资安行动方案，新增措施中也包括相关事项，例如，要研议订定金融机构资安治理成熟度评估方法，并鼓励金融机构办理资安治理成熟度评估。

另外，除了上述-机关与大型企业，对于国内普遍的中小企业而言，资安成熟度的概念同样能带来帮助。毕竟，资安重要性已不言而喻，当在拟定资安强化策略时，已有许多资安框架与标准可以参考，而资安成熟度是重要概念，让企业能自评现况并设定目标，让提升资安能够有方向地持续精进。

成熟度模型应用于资安的面向广

还有更多成熟度模型在不同资安面向的应用，也很值得关注。

例如，美国国防部对于竞标承包商的管理，在2020年推出了网络安全成熟度模型认证── Cybersecurity Maturity Model Certification（CMMC），最大重点就是要求今后的承包商，须经由美国防部授权的第三方评估单位，取得专案相应等级的安全认证；还有像是微软在谈零信任时，不仅是从六大要项切入，包括身份、设备、应用程序、资料、基础设施与网络，同时定义三个层级的成熟度等级，让企业在建立零信任的管理机制上，能有阶段性的安全改进目标。

另一方面，对于资安策略的规划，在资安成熟度的概念之外，资安标准与框架的活用也成焦点。例如，近年Cyber Defense Matrix（CDM）正受到重视，在近年美国举行的RSA大会上，都有分享这样的议题，而在2020年，台湾也提倡这样的概念，包括戴夫寇尔首席执行官翁浩正、奥义智慧创办人邱铭彰等，都在公开演讲上说明CDM的好处，因为它是有助于剖绘企业防御范围的矩阵，而且搭配其他资安框架做到灵活应用后，同样有助于拟定资安策略。