⚠️ 免責聲明
本文為學習筆記與模擬教學，引用國際公開文件（NIST、ISO、CISA、ENISA、金管會等）與公開新聞報導整理。非正式教材或考試指定用書，實際考試請依官方 CBK 與最新考綱為準。

前言

資訊安全治理離不開「框架」與「標準」：

• NIST CSF（Cybersecurity Framework）：美國 NIST 提出，自願性框架，強調風險管理與持續改善，2024 年 2 月更新到 CSF 2.0，新增「Govern（治理）」功能。
• ISO/IEC 27001：國際標準化組織與 IEC 聯合發布的 資訊安全管理系統（ISMS） 標準，2022 年改版，控制措施由 114 條縮減為 93 條，加入威脅情報、雲端安全等新控制，可透過第三方取得認證。

這兩者常被混用，但定位、適用範圍與審核方式各有差異。理解它們的關係有助於組織選擇最合適的治理工具。

1. 權威定義

• NIST CSF

  一套由標準、指導原則與最佳實務構成的自願性框架，用於改善組織的網路安全風險管理。
  🔗 NIST CSF 官方網站

• ISO/IEC 27001

  訂立資訊安全管理系統（ISMS）的要求，協助組織保護資訊資產，確保持續改進，並可透過認證進行第三方驗證。
  🔗 ISO 27001 官方頁面

2. 案例解析

國際案例

• 馬士基（Maersk）NotPetya 攻擊 2017

  • 因缺乏全面框架，攻擊導致全球營運停擺，損失逾 3 億美元。
  • 後續導入 NIST CSF，強化偵測、回應、復原能力。
  • 來源：Wired 報導

• 歐洲能源企業 ISO 27001 導入

  • 為符合監管要求，多家能源公司導入 ISO 27001，透過年度稽核維持認證，並在歐盟 ENISA 的合規審查中達到基準。
  • 來源：ENISA Risk Management 指南

台灣案例

• 金融業 ISO 27001 強制性

  • 金管會要求金融業者導入 ISO 27001，以提升個資保護、存取控管與稽核透明度。
  • 多家銀行、金控已通過認證，並納入年度稽核。
  • 來源：金管會新聞稿

• 關鍵基礎設施 NIST CSF 自評

  • 台灣資安署推動公營單位與關鍵基礎設施採用 NIST CSF 自評，以檢視偵測與復原能力，並納入資通安全管理法的稽核。
  • 來源：資安署 NCCST

3. 對照表：NIST CSF vs ISO 27001

4. IoC / IoA 指標

• IoA（行為指標）

  • 缺乏資產盤點與風險評估文件。
  • 事件回應流程未定義。
  • 政策文件與稽核紀錄不完整。

• IoC（妥協指標）

  • 未通過外部稽核。
  • NIST CSF 自評結果顯示多項「Partial」或「None」。
  • 稽核發現控制措施缺失（如未落實加密或未實施 DLP）。

5. SOC/IR Playbook 切入

• NIST CSF 對應

  • Detect：SIEM 收集異常流量與日誌。
  • Respond：啟動 IR 流程，事件分級與通報。
  • Recover：DRP（災難復原計畫）、BCP（業務持續計畫）。

• ISO 27001 對應

  • Annex A 控制措施：資產管理、存取控制、加密、稽核。
  • PDCA 循環：持續改進，定期稽核與管理審查。

6. 演練模版

1. NIST CSF 演練

   • 情境：勒索軟體攻擊。
   • 流程：Govern（政策檢討）→ Identify（資產與風險）→ Protect（MFA、備份）→ Detect（EDR 告警）→ Respond（IR 團隊應變）→ Recover（還原備份）。

2. ISO 27001 演練

   • 設計一份 風險矩陣：列出一個關鍵資產（如客戶資料庫），分析威脅、弱點、風險等級，並對應控制措施。
   • 用內部稽核表檢查文件是否符合法規要求（例如《資通安全管理法》）。

7. 可視化：框架比較圖（Mermaid）

8. 綜合比較表

9. 練習任務（Practice）

1. 嘗試使用 NIST CSF 自評工具，評估你所在部門的「Detect」與「Respond」能力。
2. 設計一份 ISO 27001 風險矩陣，針對一個關鍵資產，列出威脅、弱點、風險等級與控制措施。
3. 比較你公司目前採用的資安治理方式（NIST / ISO / 混合），寫下差異與挑戰。

10. 延伸閱讀（官方與權威）

• NIST CSF 官方網站：https://www.nist.gov/cyberframework
• NIST CSF 2.0（2024 更新）：https://csrc.nist.gov/publications/detail/cswp/2024/draft
• ISO/IEC 27001:2022 官方頁面：https://www.iso.org/isoiec-27001-information-security.html
• ENISA Risk Management 指南：https://www.enisa.europa.eu/topics/risk-management
• 金管會金融業資安規範：https://www.fsc.gov.tw/
• 資安署 NCCST 框架推動：https://www.nccst.nat.gov.tw/