美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2024年2月26日發布資安框架2.0版(NIST Cybersecurity Framework 2.0, CSF 2.0),因應網路攻擊威脅趨勢,重新調整原有核心架構,擴增為六大關鍵功能:識別、防禦、偵測、應變、復原、治理,往下對應共22項類別與106項子類別之控制措施。框架適用對象亦有擴大,除關鍵基礎設施外,可適用於任何規模大小、資安防禦程度的組織。
本次CSF改版著重「治理」與「供應鏈」面向,指出資安是企業風險的主要來源之一,組織應一併考慮資安、財務及聲譽等風險,加上全球化、外包和技術服務(如雲端運算)持續發展,應提升供應鏈第三方資安風險的識別能力。NIST資安框架可協助組織制定和執行資安戰略,並透過示範案例(Implementation Examples)提供實務作法,以有效落實CSF 2.0核心目標。
此外,NIST亦更新CSF指南與一系列資源文件,使組織易於掌握CSF框架內涵,以理解、評估、優先排序和傳達資安風險,有助促進團隊的內外部溝通,並與風險管理策略進行整合,因應持續變化的網路攻擊威脅,包含如:
- 特定主題之快速入門指南
依不同主題劃分,旨在補充CSF框架內容,說明如何運用框架強化其資安風險管理措施,以及所需留意的重點事項,協助組織掌握框架的要點並促進理解,相關主題包含如:小型企業、供應鏈風險管理(Cybersecurity Supply Chain Risk Management, C-SCRM)、企業風險管理等。
- 參考資訊
組織可使用工具目錄,將CSF與其他NIST所發行多項資安文件進行交互參照,以了解CSF 與其他資安框架、標準、指南和資源之間的關聯性,幫助組織實施控制措施,未來NIST亦將不斷更新與擴充頁面資訊。
- 參考工具
針對CSF關鍵功能部分,參考工具簡化組織實施 CSF 的方式,允許使用者以人類和機器可讀的格式(包含JSON 和 Excel 格式)瀏覽、搜尋和匯出 CSF 指南中的資料和詳細資訊,客製化專屬CSF 2.0版本。
- 成功案例
介紹不同組織採用CSF框架的原因,以及如何成功改進其資安風險管理措施。透過成功案例分享經驗和教訓,提供相關組織參考,以更好地適用CSF框架。
圖1:NIST新版資安框架六大關鍵功能
資料來源:本文參考NIST資安框架2.0版文件繪製
圖 2 :新版資安框架核心架構
資料來源:本文參考NIST資安框架2.0版文件繪製
| 功能(Function) | 類別(Category) | 類別識別碼(Category Identifier) |
| 治理(GV) | 組織環境(Organizational Context) | GV.OC |
| 風險管理策略 | GV.RM | |
| 角色和職責 | GV.RR | |
| 政策(Policy) | GV.PO | |
| 監督(Oversight) | GV.OV | |
| 資安供應鏈風險管理 | GV.SC | |
| 識別(ID) | 資產管理 | ID.AM |
| 風險評估 | ID.RA | |
| 改善 | ID.IM | |
| 保護(PR) | 身份管理、身份認證和近用控制 | PR.AA |
| 意識和培訓 | PR.AT | |
| 資料安全 | PR.DS | |
| 平臺安全 | PR.PS | |
| 技術設施韌性(Technology Infrastructure Resilience ) | PR.IR | |
| 偵測(DE) | 持續性安全監控 | DE.CM |
| 異常事件分析(Adverse Event Analysis) | DE.AE | |
| 應變(RS) | 事故管理 | RS.MA |
| 事故分析 | RS.AN | |
| 事故應變回報與溝通(Incident Response Reporting and Communication) | RS.CO | |
| 事故緩解 | RS.MI | |
| 復原(RC) | 事故復原計畫執行(Incident Recovery Plan Execution) | RC.RP |
| 事故復原溝通(Incident Recovery Communication ) | RC.CO | |
| 資料來源:美國國家標準暨技術研究院(NIST) | ||
參考資料:
- National Institute of Standards and Technology(NIST), The NIST Cybersecurity Framework (CSF) 2.0 (2024), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
- Navigating NIST’s CSF 2.0 Quick Start Guides, National Institute of Standards and Technology, https://www.nist.gov/quick-start-guides
- CSF 2.0 Informative References, National Institute of Standards and Technology, https://www.nist.gov/informative-references
- National Online Informative References Program, National Institute of Standards and Technology, https://csrc.nist.gov/projects/olir/informative-reference-catalog#/
- NIST Cybersecurity Framework (CSF) 2.0 Reference Tool, National Institute of Standards and Technology, https://csrc.nist.gov/Projects/cybersecurity-framework/Filters#/csf/filters
- Success Stories, National Institute of Standards and Technology, https://www.nist.gov/cyberframework/success-stories