前言:為什麼你需要認識 NIST CSF?
想像一下,你在饒河夜市經營一個滷味攤。你會擔心什麼?
- 有人偷走你的獨家滷汁配方(機密性)
- 有人偷偷在你的滷汁裡加料(完整性)
- 攤位突然停電無法營業(可用性)
企業的資訊安全,其實就跟你守護滷味攤一樣!而 NIST CSF(Cybersecurity Framework,網路安全框架) 就是美國國家標準暨技術研究院(NIST)提供的一套「攤位防護指南」,告訴你應該從哪些面向來保護你的數位資產。
💡 小知識:NIST CSF 2.0 於 2024 年 2 月發布,是自 2014 年首版以來最重大的更新,新增了「治理(GOVERN)」功能,強調資安不只是 IT 部門的事,而是整個組織的責任。
什麼是 NIST CSF?
NIST CSF 是一套高階的網路安全成果分類架構,幫助任何組織——不論規模大小、產業類型或資安成熟度——都能夠:
- 理解 自身的資安風險
- 評估 目前的資安狀態
- 排序 應該優先處理的事項
- 溝通 內外部的資安需求
CSF 的三大核心元件
| 元件 | 說明 | 夜市比喻 |
|---|---|---|
| CSF Core(核心) | 六大功能、類別、子類別的分類架構 | 攤位經營的六大守則 |
| CSF Profile(組織概況) | 描述組織目前/目標的資安狀態 | 你的攤位現在做到哪些?目標要做到哪些? |
| CSF Tiers(成熟度層級) | 評估資安治理與管理的嚴謹程度 | 從路邊攤到連鎖品牌的進化等級 |
CSF 核心:六大功能詳解
NIST CSF 2.0 將資安工作分成六大功能(Functions),就像經營攤位的六個面向:
🎯 功能一覽圖
┌─────────┐
│ 治理 GV │ ← 新增!在中心統籌一切
└────┬────┘
│
┌────────┼────────┐
│ │ │
┌───▼───┐ ┌──▼──┐ ┌──▼───┐
│識別 ID│ │保護 │ │偵測 │
│ │ │ PR │ │ DE │
└───────┘ └─────┘ └──────┘
│ │ │
└────────┼────────┘
│
┌────────┼────────┐
│ │
┌───▼───┐ ┌──▼───┐
│回應 RS│ │復原 │
│ │ │ RC │
└───────┘ └──────┘1️⃣ 治理 GOVERN(GV)- 老闆的經營哲學
定義:建立、溝通並監控組織的資安風險管理策略、期望與政策。
這是 CSF 2.0 新增的功能,強調資安必須從高層開始重視。
夜市比喻:
- 老闆決定「食安第一」的經營理念
- 規定所有員工都要戴手套、圍裙
- 定期檢查是否有人違規
包含類別:
| 類別代碼 | 類別名稱 | 說明 |
|---|---|---|
| GV.OC | 組織脈絡 | 了解組織的使命、利害關係人期望 |
| GV.RM | 風險管理策略 | 建立風險容忍度與處理方式 |
| GV.RR | 角色、責任與權限 | 誰負責什麼? |
| GV.PO | 政策 | 書面的資安規定 |
| GV.OV | 監督 | 確保策略有被執行 |
| GV.SC | 供應鏈風險管理 | 管理供應商帶來的風險 |
2️⃣ 識別 IDENTIFY(ID)- 盤點你的家當
定義:了解組織目前的資安風險。
夜市比喻:
- 列出攤位有什麼值錢的東西(食材、設備、秘方)
- 了解誰是供應商、誰是常客
- 評估可能遇到的風險(小偷、食安問題、天災)
包含類別:
| 類別代碼 | 類別名稱 | 實例 |
|---|---|---|
| ID.AM | 資產管理 | 伺服器清單、軟體清單、資料分類 |
| ID.RA | 風險評估 | 弱點掃描、威脅分析 |
| ID.IM | 改善 | 從經驗中學習、持續優化 |
3️⃣ 保護 PROTECT(PR)- 裝好門鎖和監視器
定義:使用防護措施來管理組織的資安風險。
夜市比喻:
- 裝鐵門、監視器
- 員工訓練:怎麼辨識假鈔、怎麼處理可疑人物
- 把秘方鎖在保險箱
包含類別:
| 類別代碼 | 類別名稱 | 實例 |
|---|---|---|
| PR.AA | 身分管理與存取控制 | MFA、權限管理 |
| PR.AT | 意識與訓練 | 資安教育訓練 |
| PR.DS | 資料安全 | 加密、備份 |
| PR.PS | 平台安全 | 系統更新、組態管理 |
| PR.IR | 技術基礎架構韌性 | 網路隔離、容錯設計 |
4️⃣ 偵測 DETECT(DE)- 發現小偷來了
定義:發現並分析可能的資安攻擊與入侵。
夜市比喻:
- 監視器發現有人在攤位外徘徊
- 收銀機發現異常交易
- 員工回報可疑情況
包含類別:
| 類別代碼 | 類別名稱 | 實例 |
|---|---|---|
| DE.CM | 持續監控 | SIEM、SOC、異常偵測 |
| DE.AE | 異常事件分析 | 事件關聯、威脅情資整合 |
5️⃣ 回應 RESPOND(RS)- 抓到小偷怎麼辦
定義:對已偵測到的資安事件採取行動。
夜市比喻:
- 抓住小偷、報警
- 通知其他攤販注意
- 清點損失
包含類別:
| 類別代碼 | 類別名稱 | 實例 |
|---|---|---|
| RS.MA | 事件管理 | 啟動應變計畫、分類事件 |
| RS.AN | 事件分析 | 根因分析、鑑識調查 |
| RS.CO | 事件通報與溝通 | 通知主管機關、利害關係人 |
| RS.MI | 事件緩解 | 隔離受感染系統、清除威脅 |
6️⃣ 復原 RECOVER(RC)- 重新開張營業
定義:恢復受資安事件影響的資產與營運。
夜市比喻:
- 修復被破壞的設備
- 補充被偷的食材
- 告訴客人「我們已經恢復營業」
包含類別:
| 類別代碼 | 類別名稱 | 實例 |
|---|---|---|
| RC.RP | 事件復原計畫執行 | 系統還原、資料復原 |
| RC.CO | 事件復原溝通 | 對外公告復原進度 |
CSF 組織概況(Profile):你的資安健檢報告
組織概況(Profile) 是用 CSF Core 的成果來描述組織資安狀態的工具。
兩種概況類型
| 類型 | 說明 | 用途 |
|---|---|---|
| 現況概況(Current Profile) | 目前達成哪些 CSF 成果 | 了解現在在哪裡 |
| 目標概況(Target Profile) | 想要達成哪些 CSF 成果 | 設定未來要去哪裡 |
建立組織概況的五步驟
步驟 1:界定範圍
↓
步驟 2:蒐集資訊
↓
步驟 3:建立概況
↓
步驟 4:分析差距並建立行動計畫
↓
步驟 5:執行計畫並更新概況
↓
(重複循環)💡 實務建議:可以參考 NIST 提供的「社群概況(Community Profile)」,這是針對特定產業或情境預先建立的概況範本,例如製造業、醫療業等。
CSF 成熟度層級(Tiers):你的攤位等級
成熟度層級 用來描述組織資安風險治理與管理的嚴謹程度。
四個層級說明
| 層級 | 名稱 | 夜市比喻 | 特徵 |
|---|---|---|---|
| Tier 1 | 部分的(Partial) | 路邊攤,隨緣經營 | 沒有正式流程,靠經驗隨機應變 |
| Tier 2 | 風險知情的(Risk Informed) | 有固定攤位,開始有規矩 | 有風險意識但沒有全面落實 |
| Tier 3 | 可重複的(Repeatable) | 連鎖攤位,有 SOP | 有正式政策且持續執行 |
| Tier 4 | 自適應的(Adaptive) | 品牌企業,持續進化 | 能即時應變、持續改善 |
⚠️ 注意:層級不是「分數」,不是每個組織都需要達到 Tier 4。應該根據組織的風險狀況與成本效益來選擇適當的層級。
NIST CSF 與 SSDF 的關係:從「經營攤位」到「製作滷汁」
前面我們用「經營夜市攤位」來比喻 NIST CSF,它關注的是整體營運的資安。
但如果你是自己開發滷汁配方的攤販呢?這時候就需要另一套指南——NIST SSDF(Secure Software Development Framework,安全軟體開發框架)。
兩者的比較
| 面向 | NIST CSF 2.0 | NIST SSDF 1.1 |
|---|---|---|
| 關注焦點 | 組織整體的資安風險管理 | 軟體開發過程的安全性 |
| 適用對象 | 所有組織 | 軟體開發者、採購者 |
| 比喻 | 經營攤位的守則 | 製作滷汁的配方安全 |
| 主要架構 | 6 大功能 | 4 大實務群組 |
SSDF 的四大實務群組
| 群組 | 代碼 | 說明 | 與 CSF 的關聯 |
|---|---|---|---|
| 準備組織 | PO | 確保人員、流程、技術準備好進行安全開發 | 對應 GOVERN、IDENTIFY |
| 保護軟體 | PS | 保護程式碼不被竄改或未授權存取 | 對應 PROTECT |
| 產出安全軟體 | PW | 在開發過程中減少弱點 | 對應 PROTECT |
| 回應弱點 | RV | 識別並修復已發布軟體的弱點 | 對應 DETECT、RESPOND、RECOVER |
在 CSF 中如何整合 SSDF?
CSF 2.0 的 PR.PS-06 子類別明確提到:
「安全軟體開發實務已整合,且其效能在整個軟體開發生命週期中受到監控。」
這表示如果你的組織有開發軟體,應該:
- 在 GOVERN 階段:將安全開發納入組織政策
- 在 IDENTIFY 階段:識別開發環境中的風險
- 在 PROTECT 階段:實施 SSDF 的安全開發實務
- 在 DETECT 階段:監控軟體弱點
- 在 RESPOND/RECOVER 階段:處理已發現的弱點
實務整合範例
假設你是一家金融科技公司,同時需要:
┌─────────────────────────────────────────────────┐
│ 企業層級(CSF) │
│ ┌─────────────────────────────────────────┐ │
│ │ 組織資安治理 (GV) │ │
│ │ - 董事會資安責任 │ │
│ │ - 資安政策制定 │ │
│ │ - 供應鏈風險管理 │ │
│ └─────────────────────────────────────────┘ │
│ │ │
│ ┌────────────────────▼────────────────────┐ │
│ │ 開發團隊層級(SSDF) │ │
│ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │
│ │ │ 準備組織 │ │ 保護軟體 │ │產出安全 │ │ │
│ │ │ (PO) │ │ (PS) │ │軟體(PW) │ │ │
│ │ └─────────┘ └─────────┘ └─────────┘ │ │
│ │ ┌─────────┐ │ │
│ │ │回應弱點 │ │ │
│ │ │ (RV) │ │ │
│ │ └─────────┘ │ │
│ └─────────────────────────────────────────┘ │
└─────────────────────────────────────────────────┘如何開始使用 NIST CSF?
給新手的起步建議
第一步:了解組織現況
- 你們有哪些重要的數位資產?
- 目前有什麼資安措施?
- 過去發生過什麼資安事件?
第二步:選擇適合的起點
| 組織類型 | 建議起點 |
|---|---|
| 小型企業、新創 | 從 NIST 的「小型企業快速入門指南」開始 |
| 有基礎資安措施 | 建立現況概況,找出差距 |
| 已有成熟資安 | 用 CSF 2.0 重新檢視,特別是 GOVERN 功能 |
第三步:善用 NIST 資源
NIST 提供許多免費資源:
- 快速入門指南(QSG):針對特定主題的簡短指引
- 資訊參考(Informative References):與其他標準的對照表
- 實作範例(Implementation Examples):具體的實作建議
- 社群概況(Community Profiles):產業別的概況範本
🔗 資源連結:NIST CSF 官方網站
常見問題 FAQ
Q1:NIST CSF 是強制性的嗎?
A:對美國聯邦機構有強制性,但對一般企業是自願採用。不過,許多產業法規(如金融業、醫療業)會參考或要求遵循 CSF。
Q2:我們公司很小,也需要用 CSF 嗎?
A:CSF 設計上適用於任何規模的組織。小公司可以從核心的成果開始,選擇最相關的項目實施。
Q3:CSF 和 ISO 27001 有什麼不同?
| A: | 面向 | NIST CSF | ISO 27001 |
|---|---|---|---|
| 類型 | 框架(Framework) | 標準(Standard) | |
| 認證 | 無正式認證 | 可取得認證 | |
| 費用 | 免費 | 需購買標準文件 | |
| 彈性 | 較高 | 有明確要求 |
許多組織會同時使用兩者,用 CSF 做策略規劃,用 ISO 27001 做驗證。
Q4:從 CSF 1.1 升級到 2.0 要注意什麼?
A:主要變化包括:
- 新增 GOVERN 功能
- 強化供應鏈風險管理
- 更新子類別編號(部分有變動)
- 新增線上工具與資源
NIST 有提供升級指南,建議詳細閱讀。
結語:資安是一趟旅程,不是終點
NIST CSF 不是一份勾選完就結束的清單,而是一套持續改善的方法論。
就像夜市攤販不會因為今天生意好就停止進步,你的組織資安也需要:
- 📊 定期評估現況
- 🎯 設定合理目標
- 🔄 持續改善流程
- 👥 全員參與投入
從今天開始,用 NIST CSF 的思維來看待你的組織資安吧!
