知識內容

• 找出組織網路安全風險管理流程、步驟和活動的改進之處

• 改善 ID.IM

  • ID.IM-01
    從評估中找出改進之處

    • 目的

      • 透過系統化評估找出資安風險不足

      • 針對不足之處找出可以改進的地方

    • 核心

      • 從不同評估中獲得可執行的方向

    • 措施

      • 執行自我評估

        • 考量目前威脅

        • 攻擊者 TTP

      • 投資第三方評估或外部審查

        • 確保客觀全面

        • 尋求有效性

      • 透過自動化持續評估合規性

        • 自動持續監控

    • 舉例

      • 金融業驗證 PCI DSS 法規要求

  • ID.IM-02
    從資安測試和演練中找改進
    包含與供應商與相關第三方

    • 目的

      • 透過演練評估資安事件準備與應變

      • 找潛在弱點促進廠商與第三方協調

    • 核心

      • 模擬環境下測試資安控制流程計畫

      • 識別需改進領域強化組織整體安全

    • 措施

      • 進行事件應變評估

        • 沙盤推演

        • 評估有效性

      • 與關鍵服務/產品供應商演練

        • 應合作演練

          • 驗證廠商業務持續性

          • 災難與復原事件應變

      • 讓內部利益關係人參與測試

        • 高階主管

        • 法律、人資

        • 利益關係

    • 舉例

      • 進行社交工程演練評估員工意識

  • ID.IM-03
    從營運流程、步驟和活動的執行中找出改進的地方

    • 目的

      • 持續審查與改進日常營運流程

      • 找出並解決影響組織資安的弱點

    • 核心

      • 強調持續改進資安的重要性

    • 措施

      • 進行經驗教訓分享會議

        • 建立正式流程

        • 內部團隊

        • 關鍵供應商

      • 定期審查資安政策流程方法

        • 每年至少一次

        • 重大資安事件

      • 使用指標來評估營運資安績效

        • 事件回應時間

        • 漏洞管理有效

        • 資安意識防禦

    • 舉例

      • 處理個資進行監控與改進安全策略

  • ID.IM-04
    已建立、傳達、維護和改進事件回應計畫和其他會影響營運的
    資訊安全計畫

    • 目的

      • 建立傳達維護改進資安回應計畫

      • 影響營運的資安計畫

      • 確保有效準備應對資安事件並復原

    • 核心

      • 妥善記錄、最新、測試回應計畫

    • 措施

      • 制定應變計畫

        • 事件回應

        • 業務持續性

        • 災難復原

      • 計畫包含流程與標準

        • 聯絡溝通資訊

        • 處理常見情況

        • 優先順序

        • 升級上報標準

      • 計畫應易於理解、可操作

        • 大家都能使用

        • 紀錄角色

        • 紀錄責任

        • 具體步驟

      • 建立漏洞管理計畫

        • 識別評估漏洞

        • 應對漏洞順序

        • 測試實施應對

      • 傳達與更新資安計畫

        • 傳給負責執行

        • 傳給受影響方

      • 每年或發現需要重大改進

        • 審查所有計畫

        • 更新所有計畫

    • 舉例

      • 建立事件應對小組負責處理資安

小試身手

• ID.IM-01 強調從哪些方面獲取資訊來改進資訊安全？

  • A) 僅限內部安全審查

  • B) 自我評估、第三方評估和自動化合規性檢查

  • C) 員工意見調查和客戶回饋

  • D) 僅限競爭對手分析和產業最佳實務

  • 答案

    • B

      • ID.IM-01 強調從多種評估方法中獲取可操作的見解，包括組織進行的定期自我評估、外部專家進行的第三方評估，以及使用自動化工具持續監控對選定資訊安全要求的合規性。

• ID.IM-02 中提到的「與供應商和相關第三方協同進行的測試和演練」是什麼意思？

  • A) 僅測試內部開發的軟體和系統

  • B) 與關鍵服務供應商和產品供應商協調演練，驗證應變計畫的有效性

  • C) 僅依賴供應商提供的安全測試結果

  • D) 模擬對競爭對手發起的網路攻擊

  • 答案

    • B

      • ID.IM-02 強調與外部實體（如關鍵服務供應商和產品供應商）協調演練的重要性，以確保供應鏈的彈性和相互操作性。這些演練旨在驗證組織的業務持續性、災難復原和事件應變計畫在真實事件中的有效性。

• 以下哪項是 ID.IM-03 的主要目標？

  • A) 持續改進流程以強化日常資訊安全作業

  • B) 僅在發生重大資訊安全事件後才更新程序

  • C) 外包所有資訊安全營運以避免內部改進

  • D) 依賴過時的資訊安全實務

  • 答案

    • A

      • ID.IM-03 強調持續改進在維持強健的資訊安全狀況中的重要性。它鼓勵組織從日常營運中吸取教訓，並將這些教訓融入其資訊安全實務中。

• ID.IM-04 中建議如何處理事件回應計畫和其他資訊安全計畫？

  • A) 建立一次計畫後就不再更新

  • B) 僅在發生審計時才審查計畫

  • C) 定期檢視和更新計畫以應對新的威脅和漏洞

  • D) 將計畫的維護外包給第三方，而無需內部審查

  • 答案

    • C

      • ID.IM-04 強調擁有妥善記錄、最新且經過測試的事件回應計畫和其他資訊安全計畫的重要性，這些計畫對組織的營運至關重要。它強調及時更新這些計畫以應對不斷變化的網路威脅環境的重要性。

• 以下哪項不屬於 ID.IM 子類別強調的改進資訊安全的策略？

  • A) 進行經驗教訓分享會議

  • B) 定期審查資訊安全政策

  • C) 利用指標評估效能

  • D) 忽略來自供應商的資訊安全風險

  • 答案

    • D

      • ID.IM 子類別強調積極主動地管理供應商帶來的資訊安全風險，並將其納入組織的整體改進策略。