找出組織網路安全風險管理流程、步驟和活動的改進之處
改善 ID.IM
ID.IM-01
從評估中找出改進之處
目的
透過系統化評估找出資安風險不足
針對不足之處找出可以改進的地方
核心
措施
執行自我評估
考量目前威脅
攻擊者 TTP
投資第三方評估或外部審查
確保客觀全面
尋求有效性
透過自動化持續評估合規性
舉例
ID.IM-02
從資安測試和演練中找改進
包含與供應商與相關第三方
目的
透過演練評估資安事件準備與應變
找潛在弱點促進廠商與第三方協調
核心
模擬環境下測試資安控制流程計畫
識別需改進領域強化組織整體安全
措施
進行事件應變評估
沙盤推演
評估有效性
與關鍵服務/產品供應商演練
應合作演練
驗證廠商業務持續性
災難與復原事件應變
讓內部利益關係人參與測試
高階主管
法律、人資
利益關係
舉例
ID.IM-03
從營運流程、步驟和活動的執行中找出改進的地方
目的
持續審查與改進日常營運流程
找出並解決影響組織資安的弱點
核心
措施
進行經驗教訓分享會議
建立正式流程
內部團隊
關鍵供應商
定期審查資安政策流程方法
每年至少一次
重大資安事件
使用指標來評估營運資安績效
事件回應時間
漏洞管理有效
資安意識防禦
舉例
ID.IM-04
已建立、傳達、維護和改進事件回應計畫和其他會影響營運的
資訊安全計畫
目的
建立傳達維護改進資安回應計畫
影響營運的資安計畫
確保有效準備應對資安事件並復原
核心
措施
制定應變計畫
事件回應
業務持續性
災難復原
計畫包含流程與標準
聯絡溝通資訊
處理常見情況
優先順序
升級上報標準
計畫應易於理解、可操作
大家都能使用
紀錄角色
紀錄責任
具體步驟
建立漏洞管理計畫
識別評估漏洞
應對漏洞順序
測試實施應對
傳達與更新資安計畫
傳給負責執行
傳給受影響方
每年或發現需要重大改進
審查所有計畫
更新所有計畫
舉例
ID.IM-01 強調從哪些方面獲取資訊來改進資訊安全?
A) 僅限內部安全審查
B) 自我評估、第三方評估和自動化合規性檢查
C) 員工意見調查和客戶回饋
D) 僅限競爭對手分析和產業最佳實務
答案
B
ID.IM-02 中提到的「與供應商和相關第三方協同進行的測試和演練」是什麼意思?
A) 僅測試內部開發的軟體和系統
B) 與關鍵服務供應商和產品供應商協調演練,驗證應變計畫的有效性
C) 僅依賴供應商提供的安全測試結果
D) 模擬對競爭對手發起的網路攻擊
答案
B
以下哪項是 ID.IM-03 的主要目標?
A) 持續改進流程以強化日常資訊安全作業
B) 僅在發生重大資訊安全事件後才更新程序
C) 外包所有資訊安全營運以避免內部改進
D) 依賴過時的資訊安全實務
答案
A
ID.IM-04 中建議如何處理事件回應計畫和其他資訊安全計畫?
A) 建立一次計畫後就不再更新
B) 僅在發生審計時才審查計畫
C) 定期檢視和更新計畫以應對新的威脅和漏洞
D) 將計畫的維護外包給第三方,而無需內部審查
答案
C
以下哪項不屬於 ID.IM 子類別強調的改進資訊安全的策略?
A) 進行經驗教訓分享會議
B) 定期審查資訊安全政策
C) 利用指標評估效能
D) 忽略來自供應商的資訊安全風險
答案
D