Cyber Security 一直是高階主管及董事會長期以來關注的議題,有別於過去侷限在概念上的重視,目前則是越來越意識到強化網路安全所帶來的價值,包含對於網路安全攻擊後的適應性與復原能力,都將有助於企業營運獲利、以及獲得客戶或股東信任,若是繼續忽略資訊安全,所引發的相關事件將可能對組織造成營運上的衝擊,CISO 被期待能夠提出有效的解決方案。
BSI 台灣資通安全客製化查核/NIST CSF 網路安全框架/金融合規產品經理潘世鳴表示,過去 CISO 比較專注在資訊安全技術防護的議題,像是安全監控,如何防堵來自外部的駭客攻擊,但現在會受到總經理、董事長甚至董事會的詢問,需要報告組織的「資訊安全現況」,全球的 CISO 也開始在轉型,將自己從技術層面提升至更高的營運層面,從公司財務與經營的角度來談資訊安全,用「成熟度框架」將資安治理與安全防護設計的目的與效益轉化成高層聽得懂的語言。
近年來主管機關已將資訊安全政策納入公司治理評鑑項目,上市(櫃)公司也開始著手將資訊安全的管理工作流程化,但資訊安全的議題不是單獨存在於組織的特定部門中,應該要藉由從組織上到下(Top-down approach)的方式擬定資安策略,縱向找出各層級業務與制度上的風險,利用指導與監督逐層向下要求。而由下到上(Bottom-up approach)進行透教育訓練,檢視管理制度排列出相關資安風險,再依據公司營運短中長期目標來解決這些議題。當組織受到網路攻擊事件,各部門都可能遭受攻擊,已見許多公司開始利用網路安全框架,將每個縱向管理做橫向連結,達妥善管制,讓資安治理達成公司治理的要求。
潘經理提醒企業資安治理並不只是技術層面的管理,應關注五大重點:1.策略校準(Strategic Alignment)2.價值傳遞(Value Delivery)3.風險管理有效性(Effective Risk Management)4.資源管理(Resource Management)5.績效衡量(Performance Measurement),透過這五點來持續檢視資安治理工作,避免管理策略與經營策略脫鉤,確實呈現管理策略的價值,也能做到更好的風險管理與資源管理。
至於是否有具體指標能呈現組織資安的成熟度與可持續投資回報(ROSI)?潘經理分享目前有許多單位在使用的 NIST Cybersecurity Framework(CSF)網路安全框架可整合具指標性的資安標準與規範:美國自 911 攻擊事件後,責成美國國家標準技術研究所進行研擬出一套務實的網路安全框架,盡可能與所有已存在的安全標準與機制整合,能夠做到前述的橫向連結的溝通,有效整合資源制定出資安防護策略。
除了適用於政府單位,NIST CSF 還能夠被金融產業、製造業、能源業、健康照護及中小企業…等企業組織使用,也是供應鏈二者稽核常出現的依循要求,且與大家熟悉的 ISO 27000 系列標準的指引相似,例如:ISO/IEC TS 27110:2021 網路安全框架開發指南、ISO/IEC 27014:2020 資訊安全治理、ISO/IEC 27002 資訊安全管理實行細則,這讓 NIST CSF 能夠與組織內部的資安管理制度做整合,BSI 在進行驗證評估時就能夠透過雷達圖來展現出組織目前狀況、領先指標與落後指標。