美國白宮推網際安全框架 指引企業組織資安實務

在2014年2月，美國政府正式提出了一項可強化資訊安全的網際安全框架（Cybersecurity Framework），它主要是來自於2013年美國總統歐巴馬所頒佈的總統執行命令，要求必須著手改善有關網際安全的重要基礎設施。這項框架不但透過了政府部門與民間產業的攜手合作，利用一年的時間來彼此交流各項最佳實務，更結合了國際上有關資訊安全的標準與作法，除了可以協助已導入其他標準的組織最佳化其安全實務之外，更可提供缺少安全計畫的企業，一項可以完整實施的參考藍圖。

網際安全框架是一項自願性的參與計畫，主要是希望美國聯邦機構和地方政府，同時也包括電力、運輸等重要的基礎產業，能夠強化自身的網路安全，以避免受到來自網路的重大威脅，並且結合了業界標準與最佳實務，幫助企業組織能夠有效地管理網際安全風險。此一框架並非要取代組織中現有的資訊安全與風險管理架構，而是希望能夠與現有的流程結合並互補，以便組織能夠持續地改善以達到更高的安全目標。

網際安全框架的架構與組成

網際安全框架主要有三項組成元件，分別說明如下：

框架核心 （Framework Core）框架核心 （Framework Core）

針對關鍵基礎設施共通的安全問題，它具有一系列的網際安全活動和參考實施作法，網際安全活動可區分為五個功能，分別是識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）以及復原（Recover），能夠協助組織管理安全風險，並提供高層良好的視野。

▲網際安全框架核心組成。（資料來源：Cybersecurity Framework）

在每個功能之中，又可以向下展開為各項活動分類，例如在保護功能中，就包括了存取控制（Access Control）、認知與訓練（Awareness and Training）、資料安全（Data Security）、資訊保護流程與程序（Information Protection Processes and Procedures）、維護（Maintenance）及保護的技術（Protective Technology）六項分類。

在每項分類中，又可更細分出各項可採行的資安措施與安全活動，以便落實在關鍵的基礎設施之中，同時還提供了許多參考資訊，可以對應到國際共通的標準與指引。

組織側寫（Profiles）

透過組織側寫能描繪出組織的網際安全活動，使其和本身的業務營運要求、風險容忍度、所需要的資源能夠趨於一致。企業也可藉由此一組織側寫來了解其網際安全的現況、支援活動的優先順序，以及達到目標理想狀況所需要採取的措施。透過現況與目標理想狀況的比較，就能進行差異分析，使組織可以決定改善安全現況所需的資源與實施順序。

實施層級（Tiers）

實施層級為組織提供了一種途徑，能夠檢視其網際風險的方法和流程，實施層級的範圍從部份實施（Tier 1）、察覺風險（Tier 2）、察覺風險且重複評估（Tier 3），到完全適合並實施（Tier 4）共區分為四個等級。藉由檢視實施層級來嚴格地描述網際安全的風險管理，了解安全工作是否依據了業務需求，並且已經整合至組織整體的風險管理實務之中。

實施與建立網際安全框架

對企業組織而言，想要建立並實施網際安全框架，由上而下至少需要經過最高管理層、業務流程層和實施運作層等三個階層的互相合作。一開始，最高管理層需要與業務流程層的相關人員進行溝通，以確認任務的優先順序、風險偏好及所需的預算。業務流程層再依據最高管理層的決定，進行組織框架的側寫，將現況與目標理想的差距告知實施運作層。

實施運作層的相關人員則可藉此來訂定行動計畫，針對所有風險來源的資產、威脅與弱點，實施所需要的改變與控制措施，並將實行的結果回報給業務流程層，業務流程層再將實施之後的變化與可能仍未消除的風險向最高管理層報告，以便制定下一階段的風險管理要求與決定。 因此，組織在制定一項新的網際安全計畫或是針對現有的計畫進行改善時，建議可以參考以下的步驟來進行，並且還需要重複地實施以不斷地改善強化組織的資訊安全。