GV 治理

知識內容

• GV 治理

  • 組織建立、傳達和監督其網路安全風險管理策略、期望和政策

  • 組織環境 (GV.OC)

    • 理解環境才能有效

  • 風險管理策略 (GV.RM)

    • 建立策略傳達員工

  • 角色、責任和權限 (GV.RR)

    • 界定角色責任權限

  • 政策 (GV.PO)

    • 建立傳達執行政策

  • 監督 (GV.OV)

    • 持續監督評估成效

  • 網路安全供應鏈風險管理 (GV.SC)

    • 管理供應商等夥伴

• GV.OC（組織環境）

  • 需要理解圍繞組織網路安全風險管理決策的情況

  • GV.OC-01
    組織使命

    • 理解組織使命，並以此為基礎進行網路安全風險管理

    • 了解組織使命，才能確保安全策略與組織目標一致

    • 並優先考慮保護對實現使命最重要的資產和功能

    • 檢視組織的願景和使命聲明

      • 組織的目標

      • 組織的價值觀

      • 組織的利害關係人

  • GV.OC-02
    利害關係人

    • 了解內部和外部利害關係人，以及他們對網路安全風險管理的需求和期望的重要性

    • 利害關係人是指受組織的網路安全措施影響或對其感興趣的個人或團體。

    • 識別利害關係人

      • 內部

        • 包括員工、管理階層、董事會、以及負責網路安全不同面向的部門，例如管理、營運、內部稽核、法務、採購、實體安全和人力資源部門。

      • 外部

        • 包括客戶、合作夥伴、供應商、監管機構、執法單位、產業協會和社會大眾。

    • 收集期望與資訊

      • 訪談

        • 一對一或小組訪談

        • 收集他們對網路安全的看法和期望

      • 問卷

      • 文件

        • 合約、政策和程序

        • 服務等級協議 (SLA)

    • 分析與納入期望

      • 記錄

      • 滿足

  • GV.OC-03
    法律和法規

    • 理解和管理與網路安全相關的法律、法規和契約要求（包括隱私和公民自由義務）的重要性

    • 步驟：識別需求→建立合規計畫→持續監控與審查

    • 核心

      • 建立系統來追蹤和管理其法律和法規義務

      • 確保組織資安策略與所有要求是保持一致

      • 資訊共享：建立內外利害關係人報告流程

  • GV.OC-04
    關鍵目標、能力和服務

    • 強調理解和溝通利害關係人所依賴或期望組織提供的關鍵目標、能力和服務的重要性。

    • 步驟

      • 建立識別關鍵能力和服務的標準

      • 進行業務影響分析 (BIA)

      • 建立和傳達彈性目標

      • 與利害關係人溝通

    • 核心

      • 關鍵目標

        • 組織及其利害關係人想要實現的目標

      • 關鍵能力

        • 組織需要具備的能力，才能實現其目標並履行其使命

      • 關鍵服務

        • 組織提供給其利害關係人的服務，這些服務對於實現其目標和使命至關重要。

  • GV.OC-05
    組織依賴性

    • 組織依賴性是指組織賴以實現其目標和使命的外部供應商、系統和服務。

    • 依賴性可能會帶來潛在的網路安全風險

    • 建立組織依賴性清單

      • 實體設施

        • 辦公室、資料中心、倉庫等

      • 雲端供應商

        • 提供雲端儲存、運算、SaaS 等服務的供應商

      • 技術供應商

        • 提供硬體、軟體、網路設備等的供應商

      • 服務供應商

        • 提供網際網路服務、支付處理、客戶服務等的供應商

    • 識別關鍵能力和服務的失效點

      • 組織應識別哪些外部依賴性對於維持關鍵業務運營至關重要，
        例如處理交易、提供客戶服務或維護網站。

    • 記錄外部依賴性和失效點

      • 將這些資訊記錄在文件中或資料庫中，並與適當的人員共享，
        例如網路安全團隊、風險管理團隊和高層主管。

小試身手

• 以下哪一項是組織在理解和管理與網路安全相關的法律法規要求 (GV.OC-03) 時，應該採取的步驟

  • a) 建立一個系統來追蹤和管理其法律和法規義務。

  • b) 確保組織的網路安全策略與所有相關要求一致。

  • c) 建立內部和外部利害關係人的報告流程，確保資訊共享。

  • d) 以上皆是。

  • 解答

    • d

      • 選項 (a), (b) 和 (c) 都是組織在理解和管理與網路安全相關的法律法規要求時，應採取的重要步驟。 建立追蹤系統、確保策略一致性以及建立資訊共享機制，都是確保合規性的重要面向。

• 某企業在進行組織依賴性分析 (GV.OC-05) 時，應該優先考慮哪些外部供應商？

  • a) 所有與該企業簽訂合約的供應商。

  • b) 提供價格最低廉或服務項目最多的供應商。

  • c) 對企業關鍵業務運營至關重要的供應商，例如提供雲端服務或金流服務的供應商。

  • d) 與該企業總公司位於相同國家或地區的供應商。

  • 解答

    • c

      • GV.OC-05 強調識別對於維持關鍵業務運營至關重要的外部依賴性，例如提供雲端服務或金流服務的供應商，因為這些服務一旦中斷，將會對企業造成嚴重影響。選項 a) 的範圍過於廣泛。選項 b) 未考慮到服務的重要性。選項 d) 並非優先考量因素。

• 某醫療機構正在進行網路安全風險管理，其首要任務是確保病患資料的機密性和完整性。根據 GV.OC-01（組織使命），以下哪一項行動最符合該機構的做法？

  • a) 聘請外部安全專家團隊，對機構的整個 IT 基礎架構進行滲透測試。

  • b) 優先考慮保護儲存病患資料的系統和應用程式的安全，並配置相關的網路安全措施。

  • c) 為所有員工提供網路安全意識培訓，重點關注如何識別和防範網路釣魚攻擊。

  • d) 購買最新型的防火牆和防毒軟體，以提升機構整體的網路防禦能力。

  • 解答

    • b

      • GV.OC-01 強調理解組織使命並以此為基礎進行網路安全風險管理。醫療機構的首要任務是保護病患資料，因此應優先考慮保護相關系統和應用程式的安全。選項 a)、c) 和 d) 雖然也是重要的網路安全措施，但並非以該機構的首要任務為導向。

• 某製造商在識別組織依賴性 (GV.OC-05) 時，發現其生產線上的關鍵設備高度依賴來自單一供應商的工業控制系統 (ICS)。為了降低供應鏈中斷帶來的風險，請問該製造商應採取以下哪一項行動？

  • a) 將該供應商的 ICS 替換為另一家供應商的產品。

  • b) 與該供應商協商更優惠的價格和更長的維護合約。

  • c) 尋找替代方案或備用供應商，以降低對單一供應商依賴。

  • d) 對生產線員工進行培訓，讓他們學習如何維修 ICS 設備。

  • 解答

    • c

      • GV.OC-05 強調了解組織依賴的外部供應商、系統和服務，並識別關鍵能力和服務的失效點。製造商發現其關鍵設備高度依賴單一供應商的 ICS，代表存在供應鏈中斷的風險；尋找替代方案或備用供應商可以分散風險，降低對單一供應商的依賴，是較為可行的風險應對措施。

• 以下哪一項行動最能夠體現 GV.OC-02（利害關係人）中「分析與納入期望」的步驟？

  • a) 在公司官網上公告公司的網路安全政策。

  • b) 邀請資安專家對公司員工進行網路釣魚攻擊模擬演練。

  • c) 彙整客戶、合作夥伴和監管機構對資料安全的期望，並據此調整公司的安全措施。

  • d) 要求所有員工定期更新電腦作業系統和防毒軟體。

  • 解答

    • c

      • GV.OC-02 強調了解內部和外部利害關係人的需求和期望，並將這些期望納入網路安全風險管理中。「分析與納入期望」是指將收集到的利害關係人期望進行分析，並納入組織的網路安全措施中。選項 c) 將客戶、合作夥伴和監管機構對資料安全的期望納入考量，並據此調整公司的安全措施，符合「分析與納入期望」的做法。