網際安全框架主要是提供給美國聯邦機構和地方政府,同時也包括電力、運輸等重要的基礎產業,能夠強化自身的網路安全,以避免受到來自網路的重大威脅,並且結合了業界標準與最佳實務,幫助企業組織能夠有效地管理網際安全風險。
|
▲組織的資訊與決策流程概念。(資料來源:Cybersecurity Framework) |
步驟一:決定優先順序與範圍
組織應了解其業務目標和最高管理層對於風險管理的期待,藉此才能夠制定因應資訊安全的策略和決定實施的範圍。在決定範圍時,需要考量的是有哪些資產和資訊系統是和業務流程有關的,在導入網際安全框架與實施計畫時,也可因應不同業務流程的需要與風險的高低,決定所需要採取的整體做法與個別的控制措施。
步驟二:確認目標與方向
一旦組織依據其業務流程決定了網際安全實施計畫的範圍之後,組織就可以識別其相關的資產和系統、法律法規的要求及整體的風險管理做法。接下來即可針對這些資產和系統,識別其可能存在的威脅與弱點,以確認實施計畫的目標與方向。
步驟三:建立組織現況的側寫
組織可以參考網際安全框架核心中所明列的安全活動,以及每個活動中的功能和分類,來剖析組織目前的安全現況。
步驟四:實施風險評鑑
組織可以藉由整體風險管理過程的引導,針對業務運作的環境進行分析,以了解資安事件發生的可能性和其可能帶來的衝擊,在這個過程中必須充分考量風險中的各項威脅與弱點資料,才可促進組織對於資安事件的可能性與衝擊能夠有充分的掌握。
步驟五:建立理想目標的側寫
組織同樣可以參考網際安全框架核心中的安全活動,以及每個活動中的功能和分類,來建立理想的安全狀態與目標,藉由與組織現況的側寫的相互比較,就可以了解其中差距,以便採取必要的改善行動。除了參照網際安全框架之外,組織也可以考量來自外部利害關係人如客戶、商業夥伴對於資訊安全的期望,將其一併納入未來的目標之中。
步驟六:針對差距進行分析及確認優先順序
組織針對現況和理想目標進行比較之後,即可得知其安全差距,為了消除安全差距,接下來就是要制定一項可行的行動計畫,在計畫之中,必須針對成本、效益以及達成的風險結果進行分析,以便決定行動的優先順序和所需要的資源,同時也可藉此一計畫讓管理階層明白相關的安全活動,以獲得有效改善與達到目標的各項支持。
步驟七:實施行動計畫
一旦建立行動計畫之後,就需要依據其內容來逐步實施,在過程之中,除了可參考網際安全框架核心中所明列的安全活動和分類之外,組織也能決定還需要搭配哪些國際標準、安全準則和最佳實務做法,以便符合其實際的需要並且達到更好的效果。最後,針對行動計畫的實施過程,還必須持續地加以監控,以確認達成預期的目標。
如何因應日新月異的安全風險
透過以上的實施步驟,組織就可以依據其需要,不斷地重複進行分析與改善其資訊安全,在這個過程中,最高管理層所關注的是組織的整體風險,業務流程層則關注與其有關的關鍵基礎設施,再交由實施運作層的人員來執行改善的行動計畫。基本上,無論組織的規模大小與風險等級,只要運用此一網際安全框架就可以改善資訊安全的現況,並且能夠管理關鍵基礎設施所面臨的安全風險,更由於此一網際安全框架參考了國際認可的安全標準,因此也同樣適用於美國以外的其他地區,可成為一項國際通用的安全準則。
對組織而言,今日的資安風險是多變並且多樣化存在的,並沒有一項單一的作法,可以因應所有的安全問題,因此,組織必須持續地以文件化和風險管理方式來更新改善,以確保關鍵基礎設施可能面臨的各項新的風險,都能夠即時動態地被有效管理因應,以降低對組織可能造成的損失與衝擊。如果你的組織還缺少一套足以因應網際風險的管理作法,網際安全框架是相當適合用來作為改善資訊安全的基礎藍圖。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT、CIPM等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>