iT邦幫忙

2024 iThome 鐵人賽

DAY 14
0
影片教學

資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理系列 第 14

[資安 Vtuber 讀資安治理] Day14 NIST CSF 2.0 ID.IM 改善改進

  • 分享至 

  • xImage
  •  

Yes


知識內容

  • 找出組織網路安全風險管理流程、步驟和活動的改進之處

  • 改善 ID.IM

    • ID.IM-01
      從評估中找出改進之處

      • 目的

        • 透過系統化評估找出資安風險不足

        • 針對不足之處找出可以改進的地方

      • 核心

        • 從不同評估中獲得可執行的方向
      • 措施

        • 執行自我評估

          • 考量目前威脅

          • 攻擊者 TTP

        • 投資第三方評估或外部審查

          • 確保客觀全面

          • 尋求有效性

        • 透過自動化持續評估合規性

          • 自動持續監控
      • 舉例

        • 金融業驗證 PCI DSS 法規要求
    • ID.IM-02
      從資安測試和演練中找改進
      包含與供應商與相關第三方

      • 目的

        • 透過演練評估資安事件準備與應變

        • 找潛在弱點促進廠商與第三方協調

      • 核心

        • 模擬環境下測試資安控制流程計畫

        • 識別需改進領域強化組織整體安全

      • 措施

        • 進行事件應變評估

          • 沙盤推演

          • 評估有效性

        • 與關鍵服務/產品供應商演練

          • 應合作演練

            • 驗證廠商業務持續性

            • 災難與復原事件應變

        • 讓內部利益關係人參與測試

          • 高階主管

          • 法律、人資

          • 利益關係

      • 舉例

        • 進行社交工程演練評估員工意識
    • ID.IM-03
      從營運流程、步驟和活動的執行中找出改進的地方

      • 目的

        • 持續審查與改進日常營運流程

        • 找出並解決影響組織資安的弱點

      • 核心

        • 強調持續改進資安的重要性
      • 措施

        • 進行經驗教訓分享會議

          • 建立正式流程

          • 內部團隊

          • 關鍵供應商

        • 定期審查資安政策流程方法

          • 每年至少一次

          • 重大資安事件

        • 使用指標來評估營運資安績效

          • 事件回應時間

          • 漏洞管理有效

          • 資安意識防禦

      • 舉例

        • 處理個資進行監控與改進安全策略
    • ID.IM-04
      已建立、傳達、維護和改進事件回應計畫和其他會影響營運的
      資訊安全計畫

      • 目的

        • 建立傳達維護改進資安回應計畫

        • 影響營運的資安計畫

        • 確保有效準備應對資安事件並復原

      • 核心

        • 妥善記錄、最新、測試回應計畫
      • 措施

        • 制定應變計畫

          • 事件回應

          • 業務持續性

          • 災難復原

        • 計畫包含流程與標準

          • 聯絡溝通資訊

          • 處理常見情況

          • 優先順序

          • 升級上報標準

        • 計畫應易於理解、可操作

          • 大家都能使用

          • 紀錄角色

          • 紀錄責任

          • 具體步驟

        • 建立漏洞管理計畫

          • 識別評估漏洞

          • 應對漏洞順序

          • 測試實施應對

        • 傳達與更新資安計畫

          • 傳給負責執行

          • 傳給受影響方

        • 每年或發現需要重大改進

          • 審查所有計畫

          • 更新所有計畫

      • 舉例

        • 建立事件應對小組負責處理資安

小試身手

  • ID.IM-01 強調從哪些方面獲取資訊來改進資訊安全?

    • A) 僅限內部安全審查

    • B) 自我評估、第三方評估和自動化合規性檢查

    • C) 員工意見調查和客戶回饋

    • D) 僅限競爭對手分析和產業最佳實務

    • 答案

      • B

        • ID.IM-01 強調從多種評估方法中獲取可操作的見解,包括組織進行的定期自我評估、外部專家進行的第三方評估,以及使用自動化工具持續監控對選定資訊安全要求的合規性。
  • ID.IM-02 中提到的「與供應商和相關第三方協同進行的測試和演練」是什麼意思?

    • A) 僅測試內部開發的軟體和系統

    • B) 與關鍵服務供應商和產品供應商協調演練,驗證應變計畫的有效性

    • C) 僅依賴供應商提供的安全測試結果

    • D) 模擬對競爭對手發起的網路攻擊

    • 答案

      • B

        • ID.IM-02 強調與外部實體(如關鍵服務供應商和產品供應商)協調演練的重要性,以確保供應鏈的彈性和相互操作性。這些演練旨在驗證組織的業務持續性、災難復原和事件應變計畫在真實事件中的有效性。
  • 以下哪項是 ID.IM-03 的主要目標?

    • A) 持續改進流程以強化日常資訊安全作業

    • B) 僅在發生重大資訊安全事件後才更新程序

    • C) 外包所有資訊安全營運以避免內部改進

    • D) 依賴過時的資訊安全實務

    • 答案

      • A

        • ID.IM-03 強調持續改進在維持強健的資訊安全狀況中的重要性。它鼓勵組織從日常營運中吸取教訓,並將這些教訓融入其資訊安全實務中。
  • ID.IM-04 中建議如何處理事件回應計畫和其他資訊安全計畫?

    • A) 建立一次計畫後就不再更新

    • B) 僅在發生審計時才審查計畫

    • C) 定期檢視和更新計畫以應對新的威脅和漏洞

    • D) 將計畫的維護外包給第三方,而無需內部審查

    • 答案

      • C

        • ID.IM-04 強調擁有妥善記錄、最新且經過測試的事件回應計畫和其他資訊安全計畫的重要性,這些計畫對組織的營運至關重要。它強調及時更新這些計畫以應對不斷變化的網路威脅環境的重要性。
  • 以下哪項不屬於 ID.IM 子類別強調的改進資訊安全的策略?

    • A) 進行經驗教訓分享會議

    • B) 定期審查資訊安全政策

    • C) 利用指標評估效能

    • D) 忽略來自供應商的資訊安全風險

    • 答案

      • D

        • ID.IM 子類別強調積極主動地管理供應商帶來的資訊安全風險,並將其納入組織的整體改進策略。

上一篇
[資安 Vtuber 讀資安治理] Day13 NIST CSF 2.0 ID.RA 風險評估(2/2)
下一篇
[資安 Vtuber 讀資安治理] Day15 NIST CSF 2.0 PR 保護與 PR.AA 驗證存取 (1/2)
系列文
資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言