今天的小故事

(來源：freepik)

忙碌的稽核生活，差一點就來不及打今天的文章~~~~~ (躺~

前言

以導入ＩＳＯ２７００１為主的資安管理系統，常見以參考ＩＳＯ９００１進行建置四階文件，以管理組織的資訊安全，而ＩＳＯ９００１：２０１５版，已經將四階文件架構取消，以因應數位時代的文件管理模式。

然而在大型組織且導入已久的ＩＳＯ２７００１制度的paperwork控制下的風險管理，面對時代的進步，似乎存在的時效性的問題，無法及時且有效地處理透過網路發生的資訊安全事件，也稱為網路安全事件，因此ＮＩＳＴ推出了ＮＩＳＴ　ＣＳＦ框架，以因應該狀況。

由NIST CSF 5大框架(識別、保護、偵測、應變、復原) 整併為 3大流程(事前、事中、事後)

在Day18 優雅面對資安事件：從領導承諾到好戲上場，已經有介紹NIST CSF 的 實務運用，本篇再引用一次那篇文章的圖，作為複習。

應變事件最常使用的框架為：事前預防／事中應變／事後復原，琅琅上口的三階段流程，下圖套用NIST CSF IDPRR跟治理層／管理層／基層，再加上輔以說明的事前／事中／事後，會變成如下圖：

再引用 CDM框架，透過該框架可以協助掌握全貌，上達長官溝通全貌，下達執行單位說明作法。CDM框架提供包含 技術(Technology) 和 人員(People) 和 程序(Process) 的維度供參考。

NIST CSF 各項對應 事前／事中／事後

細部端看 NIST CSF 文件各項參照的指引，有ISO27001:2013

如果想要從既有的ISO27001的程序優化，其實是可以透過ISO27001:2013的，也就是ISMS去解決 資安管理的困境：paperwork控制下的時效問題

客戶A:等等，顧問你有說等於沒說阿，而且ISO27001:2022版要出來。
顧問：孩子，你一定還沒看過ISO27002:20222的新改版架指引齁(註：ISO27001附錄A即是參照ISO 27002直接引用)
客戶A:顧問我們哪有時間去看那些東西，而且我們也看不懂
顧問：簡單說ISO27002 對每個控制項增加了標籤，其中一個標籤幾乎等同於NIST CSF的5個功能，所以只要選識別標籤，就可以直接找到該控制項跟指引了
客戶A:原來如此，但是顧問，你還是沒說如何解決時效問題啊....
顧問：當然就是 有錢系統解，盡量減少沒錢管理解的項目阿， 才有辦法做到即時偵測，快速反應阿~~~