15 一月 2021

【2021:資安成熟度升格為產業落實資安重要議題】

  過去企業組織推動落實資安,導入資訊安全管理制度已是常見的作法,但隨著資通訊科技發展,及資安威脅趨勢變化,除了內部資通安全稽核、相關資安演練,資安成熟度自評也是重要的概念。

  特別是在這兩三年來,資安成熟度的概念已經越來越浮上檯面。例如,近年當紅的資安框架,就是由美國NIST推出的Cybersecurity Framework(CSF),最新為2018年推出的1.1版,供美國政府與民間企業能從五大面向,包括辨識、防護、偵測、應變到復原,評估自身防護程度與能力,而其核心精神,就是一個能夠持續運作的成熟度評估框架。

  而由英國國家標準協會推出的BS 31111:2018,同樣強調掌握自我安全成熟度現況,能提供組織高層對風險決策方向,並強化對資安事件威脅的韌性。

  還有像是,由澳洲政府發展出的網路攻擊減緩八大策略──ACSC Essential Eight,當中也定義了5個成熟度層級,要讓各組織在每種緩解策略中,都能達到安全基準,進而提升更高安全層級。

資安成熟度將在臺灣產業間發酵
資安成熟度的觀念,其實已經在臺灣慢慢成形,甚至變成2021年的焦點。 舉例,我國政府為落實資安,早已在持續推動這樣的概念。例如在7年前,國家資通安全發展就計畫輔導部分政府機關,試行導入資安治理成熟度評估模式,多年下來,推動規模已經越來越擴大,而在2020年的規畫中,已是推動所有A級政府機關,都落實資安治理成熟度自評,並達到成熟度第3級以上。

  對於國內企業,也有一些公司公開表示他們重視這樣的概念。封測大廠日月光投控就是一例,他們在自家官網率先揭露了公司資安作為,強調注重資安成熟度評量,並指出他們是透過導入NIST CSF,作為落實企業資安規畫第一步,並定期制定改進計畫。國內電信龍頭中華電信也有行動,他們在官網揭露其資安與個資風險管理機制,是參考NIST CSF,並會衡量資安治理成熟度。

參考來源:
來源一:
來源二: