介紹與架構
核心概念
結果導向
著重於組織應該達成的資安成果,而非規定特定的技術或方法
資安成果具有「彈性」,可以適用於不同產業、國家和技術
持續改善
資安風險管理是一個持續的過程
架構鼓勵組織持續評估和改進組織內的資安狀態
風險管理
鼓勵組織將資安風險視為整體企業風險管理的一部分
並將其與組織的任務目標和風險承受能力相結合
溝通合作
提供共通語言,讓組織內和外之間溝通資安風險能力需求期望
需要溝通的利害關係人,舉例
高階主管、經理、技術人員
供應廠商以及合作夥伴
架構組成
核心架構
提供一套網路安全成果分類法,協助組織管理網路安全風險
包含六大功能,並進一步細分為不同的類別和子類別
識別 (IDENTIFY):了解組織當前的網路安全風險。
保護 (PROTECT):使用安全措施來管理組織的網路安全風險。
偵測 (DETECT):發現並分析可能的網路安全攻擊和危害。
回應 (RESPOND):針對已偵測到的網路安全事件採取行動。
復原 (RECOVER):還原受網路安全事件影響的資產和營運。
治理 (GOVERN):建立、傳達和監督組織的網路安全風險管理策略、期望和政策。
組織
設定檔
描述組織目前和目標的資安狀態,根據自身的需求調整成果
常見需求:自身目標、利害關係人期望、威脅環境和法規要求
可以用於了解、調整、評估、優先排序和溝通核心架構的成果
類型
目前設定檔
目標設定檔
社群設定檔
組織層級
CSF Tier
與上述應用,用於描述組織資安風險治理和管理實務的成熟度
層級
Tier 1 部分
針對網路安全風險意識有限
管理方式零散缺乏整體策略
沒有流程共享網路安全資訊
Tier 2 風險知悉
組織開始意識網路安全風險
開始以風險目標、威脅環境
或業務需求決定作為與順序
Tier 3 可重複
已建立正式、基於風險的管理方法於政策、流程和程序
定期根據業務需求、威脅和技術環境的變化,更新細節
Tier 4 適應性
已納入組織文化並積極更新
組織根據之前的教訓與預測
更新與調整流程與管理方式
NIST CSF 2.0 的核心概念強調以下哪一點
a) 規定組織應採用特定的技術和方法來應對網路安全風險。
b) 強調組織應達成的資安成果,並提供通用的指引架構。
c) 僅適用於特定產業,例如金融業或醫療保健業。
d) 只關注於網路安全事件的應對,而不注重預防。
解答
b
以下哪一項 不屬於 NIST CSF 2.0 架構組成的組成部分?
a) 核心架構 (Core Framework)
b) 組織設定檔 (Organizational Profiles)
c) 風險評估框架 (Risk Assessment Framework)
d) 組織層級 (CSF Tiers)
解答
c
NIST CSF 2.0 的「組織設定檔」是什麼?
a) 描述組織當前和目標資安狀態的快照,並根據自身需求調整。
b) 僅描述組織當前的資安狀態,不包括目標狀態。
c) 由 NIST 統一制定,所有組織都必須採用相同的設定檔。
d) 與「組織層級 (CSF Tiers)」無關。
解答
a
以下哪個選項 不屬於 NIST CSF 2.0 的核心功能?
a) 識別 (IDENTIFY)
b) 驗證 (VERIFY)
c) 保護 (PROTECT)
d) 回應 (RESPOND)
解答
b
某組織已經意識到網路安全風險,並開始根據風險目標、威脅環境或業務需求來決定網路安全活動和保護措施的優先順序,但其網路安全風險管理方法尚未完全制度化和規範化。根據 NIST CSF 2.0 的「組織層級 (CSF Tiers)」,該組織最有可能處於哪個層級?
a) Tier 1 部分 (Partial)
b) Tier 2 風險知悉 (Risk Informed)
c) Tier 3 可重複 (Repeatable)
d) Tier 4 適應性 (Adaptive)
解答
b
iThome鐵人賽
看影片追技術