隨著資通訊多元技術的發展,企業不斷受到持續演進的各種資安威脅,企業內的資安單位,已從支援角色轉變為重要策略單位,這樣的趨勢帶動了企業擬定資安管理成熟度的評估機制,來保障資安事件中企業的營運持續性。
而資安管理成熟度評估框架,目前大多以美國國家標準技術研究所(NIST)提出的網路安全框架(Cybersecurity Framework,CSF)為主要架構,CSF 參考了世界上 6 項具指標性的資安標準,包括全球最熱門的資訊安全架構 ISO/IEC 27001:2013、美國聯邦資訊系統安全性和隱私權的規範標準 NIST SP 800–53 Rev. 4、工控標準 ISA 62443–3–3:2013 …等。
在 2017 年 5 月,由 NIST 提出的 CSF 網路安全框架,在時任美國總統川普簽署的行政命令中,即強制要求美國 190 個聯邦機構,全面依循 CSF 網路安全框架。此框架原是美國政府為改善關鍵基礎設施資安防護的需求而產生,而後亦受到全球多國組織與企業的認可,不只是影響多國在關鍵基礎建設的網路安全法規面,同時也成為企業強化自身資訊、網路環境安全等,相當值得參考的指標。
7 步驟助企業提升資安成熟度
CSF 與其他資安標準不一樣的地方在於,強調先篩選出符合組織所需的資安控制措施,再將組織間的資安風險進行排序,優先處理較為嚴重的資安漏洞。CSF 提出的 7 個步驟,協助組織進行資安風險評鑑,並依照框架來判斷資安成熟度,建置完整的管理週期,逐步的提升企業整體資安成熟度。
Step 2 確認組織目標與方向
Step 3 描述當前資安狀況
Step 4 進行風險評估
Step 5 描述目標資安狀況
Step 6 確定、分析差距並確定其優先級
Step 7 實施行動計劃
5大面向建立風險管理週期
CSF 網路安全框架從五大面向,包括辨識、防護、偵測、應變到復原,評估自身防護程度與能力;108 項子類別控制措施,依據資安需求選出合適的控制項目,檢視組織的資安成熟度。其核心精神,即是一個為企業建立能夠持續運作的成熟度評估框架。
- 識別 ( Identify ):建立組織規則以管理系統、人員、資產、資料和功能的網路安全風險。
- 保護 ( Protect ):建立和實施適當的安全措施以確保重要服務的運行。
- 偵測 ( Detect ):制定並實施適當的作為以識別網路安全事件的發生。
- 回應 ( Respond ):對偵測到的網路安全事件,規劃並實施適當的行動。
- 復原 ( Recover ):制定並實施適當的措施以修復因網路安全事件受損的功能和服務。
資安成熟度開始在臺灣產業間發
過去企業組織推動落實資安,導入資訊安全管理制度已是常見的作法,但隨著資通訊科技發展,及資安威脅趨勢變化,除了內部資通安全稽核、相關資安演練,資安成熟度自評也開始成為組織重要的概念。
資安成熟度的觀念已經在臺灣慢慢成形,甚至變成 2021 年的焦點。我國政府為落實資安,早已在 2014 年開始推動這樣的概念,國家資通安全發展計畫持續輔導政府機關,導入資安治理成熟度評估模式,近期國內已有政策欲將此一概念,推動到國內各產業,尤其是製造業與金融業。許多資安業者也紛紛提出資安成熟度評估機制,提供企業客戶或供應商作為評估自己資安成熟度的參考。
2020 年 9 月,經濟部工業局旗下工研院打造的資安整合服務平臺 SecPaas,推出「資安成熟度評級服務」。同時,金管會在 2020 年 8 月提出的金融資安行動方案,新增措施中也包括要研議訂定金融機構資安治理成熟度評估方法,並鼓勵金融機構辦理。
除了政府機關與大型企業,對於國內普遍的中小企業而言,資安成熟度的概念同樣能帶來幫助,讓企業能自評現況並設定目標,加速提升企業資安有方向地持續精進。
隨著科技快速發展,產業已從數位化邁向智慧化階段,在面對大幅增加的營運資安風險時,資安管理的「有效性」應為最重要的考量,透過導入資安成熟度並依據企業所面臨的需求與風險,量化資安弱點,隨時動態調整資安政策及規範,才能強化企業檔案安全防禦的數位韌性,及面對威脅的應變力。
2021《產業創新條例》投資抵減項目增設資安產品及服務
本次修法新增資安產品或服務納入投資抵減,於 2022 年至 2023 年同一年度合併計算智慧機械及 5G 系統投資金額達 100 萬元以上、10 億元以內,得適用抵減營利事業所得稅額;當年抵減完畢,抵減率為 5%、三年內分次抵減,抵減率為 3%,不逾應納營所稅額 30% 為限。
如上列項目合併投資金額達一百萬,當年可抵減五萬營利事業所得稅額。
新增投資抵減項目如附圖供參考:(來源:經濟部「產業創新條例第十條之一修正法案」)