iT邦幫忙

2022 iThome 鐵人賽

DAY 27
2
Security

可以狼狽,也可以優雅:從資安治理到資安應變的修養之道系列 第 27

Day27 資安管理的困境:paperwork控制下的時效問題,透過nist csf 拆分事前、事中、事後進行處理。

  • 分享至 

  • xImage
  •  

今天的小故事

https://ithelp.ithome.com.tw/upload/images/20220927/20102269SE26WlDhE0.png
(來源:freepik)

忙碌的稽核生活,差一點就來不及打今天的文章~~~~~ (躺~


前言

以導入ISO27001為主的資安管理系統,常見以參考ISO9001進行建置四階文件,以管理組織的資訊安全,而ISO9001:2015版,已經將四階文件架構取消,以因應數位時代的文件管理模式。

然而在大型組織且導入已久的ISO27001制度的paperwork控制下的風險管理,面對時代的進步,似乎存在的時效性的問題,無法及時且有效地處理透過網路發生的資訊安全事件,也稱為網路安全事件,因此NIST推出了NIST CSF框架,以因應該狀況。


由NIST CSF 5大框架(識別、保護、偵測、應變、復原) 整併為 3大流程(事前、事中、事後)

Day18 優雅面對資安事件:從領導承諾到好戲上場,已經有介紹NIST CSF 的 實務運用,本篇再引用一次那篇文章的圖,作為複習。

應變事件最常使用的框架為:事前預防/事中應變/事後復原,琅琅上口的三階段流程,下圖套用NIST CSF IDPRR跟治理層/管理層/基層,再加上輔以說明的事前/事中/事後,會變成如下圖:

https://ithelp.ithome.com.tw/upload/images/20220918/20102269fJrH7npSjo.png

再引用 CDM框架,透過該框架可以協助掌握全貌,上達長官溝通全貌,下達執行單位說明作法。CDM框架提供包含 技術(Technology)人員(People)程序(Process) 的維度供參考。

https://ithelp.ithome.com.tw/upload/images/20220917/20102269qaZqnbkVpJ.png

NIST CSF 各項對應 事前/事中/事後

https://ithelp.ithome.com.tw/upload/images/20220927/20102269QkngS4J2eR.png

細部端看 NIST CSF 文件各項參照的指引,有ISO27001:2013

https://ithelp.ithome.com.tw/upload/images/20220927/20102269ACtWhm2bL4.png

如果想要從既有的ISO27001的程序優化,其實是可以透過ISO27001:2013的,也就是ISMS去解決 資安管理的困境:paperwork控制下的時效問題

客戶A:等等,顧問你有說等於沒說阿,而且ISO27001:2022版要出來。
顧問:孩子,你一定還沒看過ISO27002:20222的新改版架指引齁(註:ISO27001附錄A即是參照ISO 27002直接引用)
客戶A:顧問我們哪有時間去看那些東西,而且我們也看不懂
顧問:簡單說ISO27002 對每個控制項增加了標籤,其中一個標籤幾乎等同於NIST CSF的5個功能,所以只要選識別標籤,就可以直接找到該控制項跟指引了
客戶A:原來如此,但是顧問,你還是沒說如何解決時效問題啊....
顧問:當然就是 有錢系統解,盡量減少沒錢管理解的項目阿, 才有辦法做到即時偵測,快速反應阿~~~


上一篇
Day26 ENISA CSF:效益
下一篇
Day28 借用IDPRR建構資安韌性I:論點
系列文
可以狼狽,也可以優雅:從資安治理到資安應變的修養之道30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言