GV.OV

知識內容

• GV.OV 監督

  • 旨在透過檢視組織層級的網路安全風險管理活動和績效結果，
    持續為風險管理策略提供資訊、改進建議和調整方向

• GV.OV 監督子類別

  • GV.OV-01
    查成果評估有效性

    • 目的

      • 查策略執行成果是否有效支持決策

      • 是否達成組織目標與找出調整方向

    • 核心

      • 資安風險策略不是一成不變

      • 而是根據實際執行與環境變化調整

    • 措施

      • 衡量執行結果與決策和目標

        • 定義關鍵指標
          KPI

          • 資安事件發生頻率

            • 可參考 DE.CM-01 和 DE.CM-09

          • 資安事件處理時間

          • 資安意識評估結果

        • 收集追蹤資訊

          • 定期收集以上指標

          • 分析長期資料趨勢

        • 評估指標影響

          • 分析指標如何影響

      • 檢視策略是否阻礙營運或創新

        • 定期審查策略

          • 發生重大資安事件

          • 審查是否適用企業

        • 評估創新影響

          • 分析策略過於嚴峻

          • 阻礙組織靈活創新

        • 根據結果調整

          • 進行必要策略調整

    • 舉例

      • 電商平台需要評估資安風險管理

        • 任務

          • 提供方便且安全線上購物體驗

        • 策略

          • 身份驗證則利用多因素驗證

            • 導入多因素驗證後，帳號盜用事件顯著減少

            • 證明該策略有效提升帳戶安全性

            • 有助於達成確保客戶資料機密性和完整性的目標

          • 針對資料進行加密儲存與傳輸

            • 發現加密措施讓交易速度過慢，影響客戶體驗

            • 評估是否需要調整加密策略

        • 有效

          • 客戶資料洩露事件數量

          • 線上交易詐騙率

          • 系統停機時間

          • 員工通過網路安全意識培訓的比例

          • 弱點掃描和滲透測試發現的漏洞數量

  • GV.OV-02
    查策略確認合理性

    • 目的

      • 資安策略需與時俱進涵蓋最新要求

        • 組織需求

        • 風險狀況

        • 外部要求

    • 核心

      • 需要隨著內外部環境變化進行調整

    • 措施

      • 審查內部和外部結果是否符合規範

      • 看資安工作員工績效評估調整策略

      • 根據發生資安事件評估與調整策略

    • 舉例

      • 發生資料洩漏之後，重新審視策略

        • 參考 RS.AN-03

          • 分析事件發生的原因和過程，找出策略不足之處

        • 參考 ID.RA-06

          • 重新評估風險並選擇更有效的應對措施

  • GV.OV-03
    查績效看品質影響

    • 目的

      • 評估績效找需改進策略流程與資源

      • 確保該策略符合不斷變化的風險

    • 核心

      • 監控管理績效是提升防護方法之一

    • 措施

      • 審查關鍵績效指標 KPI 達成目標率

      • 審查關鍵風險指標 KRI 看安全風險

        • 參考 ID.RA-02 和 ID.RA-03

        • 收集和分析威脅情報的具體方法

      • 定期向管理階層匯報 KPI, KRI 成效

    • 舉例

      • 發現員工得資安意識通過比例偏低

      • 導致釣魚攻擊

        • 可考慮加強員工培訓

        • 導入防釣魚解決方案

小試身手

• 以下哪一項是 GV.OV-01 的主要目的？

  • a)定義關鍵績效指標 (KPI) 並追蹤其達成率。

  • b)根據網路安全事件的分析結果調整策略。

  • c)確認組織的網路安全風險管理策略是否達到預期效果。

  • d)將網路安全風險管理整合到企業風險管理 (ERM) 中。

  • 答案

    • c

      • GV.OV-01 的重點是審查網路安全風險管理策略的結果，以了解其有效性並確定是否需要進行調整。選項 a) 是 GV.OV-01 中的一個步驟，而選項 b) 和 d) 與 GV.OV 的其他子類別更相關。

• 組織應在何時審查其網路安全風險管理策略，以確保其符合 GV.OV-02 的規定？

  • a)僅在發生重大網路安全事件時。

  • b)每當組織的網路安全風險狀況發生變化時。

  • c)在規劃新的網路安全投資時。

  • d)作為年度網路安全策略審查的一部分。

  • 答案

    • b

      • GV.OV-02 強調網路安全風險管理策略應根據組織需求和風險狀況的變化進行調整。雖然選項 a)、c) 和 d) 代表了審查策略的適當時間點，但 GV.OV-02 的重點是對變化做出反應，而這些變化可能在整個年度中發生。

• 哪一項行動最能體現 GV.OV-03 的意圖？

  • a)建立一個流程，用於向高層管理人員報告網路安全風險。

  • b)定期審查和更新組織的事件回應計畫。

  • c)根據網路安全風險評估結果對網路安全控制措施進行優先排序。

  • d)評估組織在實現其關鍵績效指標 (KPI) 方面的進展，並據此調整其網路安全策略。

  • 答案

    • d

      • GV.OV-03 的重點是衡量組織的網路安全風險管理績效。選項 d)透過將 KPI 達成率分析與策略調整措施關聯起來，直接解決了這個問題。選項 a)、b) 和 c) 是良好的網路安全措施，但並非專屬於 GV.OV-03。

• 以下哪一項是 GV.OV 的主要目標？

  • a)確保組織的網路安全策略與其業務目標相一致。

  • b)建立一個網路安全風險意識的組織文化。

  • c)持續改進組織的網路安全風險管理活動。

  • d)評估和管理組織的網路安全供應鏈風險。

  • 答案

    • c

      • GV.OV 的重點是透過持續的監督、評估和調整，改進網路安全風險管理策略。 雖然選項 a) 和 b) 是重要的網路安全目標，但它們與 GV.OV 的關係不如選項 c) 那麼直接。選項 d) 與 GV.SC 更相關。

• 組織應如何利用從 GV.OV 流程中獲得的資訊？

  • a)向外部利害關係人傳達組織的網路安全狀況。

  • b)為網路安全意識培訓計畫的開發提供資訊。

  • c)確定組織內部網路安全角色和職責。

  • d)為網路安全風險管理活動提供資訊並引導資源分配。

  • 答案

    • d

      • GV.OV 旨在提供關於網路安全風險管理計畫有效性的資訊。這些資訊應被用於持續改進這些計畫，包括資源配置。選項 a)、b) 和 c) 是重要的網路安全活動，但它們不是 GV.OV 流程的主要用途。