美國網路安全與基礎設施安全局 (CISA) 發布了一份綜合文件,呼籲關鍵基礎設施組織採取更果斷的措施來應對內部威脅和風險。該指南提出了「規劃、組織、執行和維護」(Plan, Organize, Execute, and Maintain Framework, POEM 框架),鼓勵組織規劃如何利用威脅管理團隊、根據組織需求組織團隊成員、透過團隊有效緩解內部威脅,並維護威脅管理團隊的活力,以提升其能力並改善其未來的運作。
CISA 發布的這份題為《組建多學科內部威脅管理團隊》的資源,旨在幫助利害關係人建立強大的多學科內部威脅管理團隊。此資源面向關鍵基礎設施實體以及州、地方、部落和領地 (SLTT) 政府,提供切實可行的策略,以主動預防、檢測和緩解內部威脅,幫助組織機構應對不斷演變的組織漏洞。以下是POEM框架的摘要整理:
- 背景說明
隨著組織對數位系統、關鍵資訊與營運流程的依賴程度持續提高,來自內部人員所引發的威脅已成為不可忽視的重大風險來源。所謂內部威脅,並非僅限於蓄意破壞或惡意行為,也包含因疏失、壓力、誤判或行為異常而造成的潛在安全事件。由於內部人員通常具備組織運作知識,並曾經或仍然擁有合法存取權限,其行為一旦偏離正軌,往往對組織造成的影響層面廣泛且深遠。
實務經驗顯示,內部威脅可能導致機敏資訊外洩、組織信譽受損、營運中斷、財務損失,甚至對人員安全與關鍵資產造成直接危害。因此,單純仰賴技術性資安控制已不足以有效因應此類風險,組織必須建立一套結合人員、流程、技術與治理機制的整合性內部威脅管理體系。
CISA指出,內部威脅的有效緩解,應透過多學科合作的方式推動,並由專責團隊負責統籌規劃、監控、分析與介入處置。根據CISA建議,內部威脅緩解計畫應整合以下面向:
- 實體安全
- 資訊安全(Cybersecurity)
- 人員意識與行為管理
- 與外部社群與單位的合作
其中,「多學科內部威脅管理團隊(Multi-Disciplinary Insider Threat Management Team)」是整體制度的關鍵核心,負責:
- 執行組織的內部威脅計畫
- 持續監控潛在威脅
- 在必要時即時介入,降低惡意行為的影響
最有效的威脅管理團隊,來自不同專業背景的成員協作,並能配合組織的風險承受度、組織結構與文化。
- 內部威脅管理團隊之角色與價值
多學科內部威脅管理團隊的核心任務,在於作為組織內部威脅治理的中樞單位。該團隊負責推動內部威脅緩解計畫的整體運作,持續監測潛在風險指標,並在必要時採取適當行動,以降低事件發生的可能性與衝擊程度。
相較於由單一部門或個人負責內部威脅相關事務,多學科團隊能夠整合來自不同專業背景的觀點,形成更全面且平衡的風險判斷。此種協作模式不僅有助於辨識複雜的人員行為模式與組織動態,也能在事件發生時,透過交叉檢視與相互制衡,避免決策偏誤。有效的多學科威脅管理團隊能夠降低內部威脅事件的發生頻率與衝擊程度,並帶來以下好處:
- 彈性與可擴展性:團隊規模、範疇與能力可隨組織成熟度與需求演進而調整
- 風險辨識能力提升:相較單一個人,團隊更能全面辨識風險因子、管理威脅並預防未來問題
- 事件洞察力提升:多元專業有助於在事件發生時發現個人可能忽略的重要線索與模式
- 整體評估更精準:不同觀點有助於形成更全面、客觀與準確的威脅評估結果
- 團隊定位、命名與組織信任
內部威脅管理制度的成效,與員工對該制度的信任程度密切相關。若制度被視為監控、懲罰或不透明的工具,反而可能抑制通報意願,削弱整體防護能力。
因此,團隊在組織中的定位與命名具有高度象徵意義。CISA 建議,團隊名稱要避免帶有負面或威權色彩,而應強調支持、協助與管理的本質。組織可以選擇具有支持性、非懲罰導向的名稱,例如:
- Incident Management Team(事件管理團隊)
- Case Management Team(個案管理團隊)
此類名稱有助於傳達「協助與保護」而非「監控與懲處」的定位,藉此傳達該團隊的目的在於保護組織與員工整體利益,而非針對個人進行監控。
- 團隊組成與運作原則(Team Composition and Operation)
一個成熟的內部威脅管理團隊,應由具備高度專業素養與誠信的成員所組成,並涵蓋多個關鍵職能領域。這通常包括內部威脅分析專業、人力資源、法務、資訊與資安管理、高階安全治理以及營運與行政支援等角色。在人員配置上,團隊不僅需仰賴內部專業,也應保留與外部資源合作的彈性,例如執法機關、外部調查或風險評估專家,以及醫療或心理健康專業人員,以因應特殊或高度敏感的個案需求。同時,主管與同事等情境資訊來源,也常在早期風險辨識中扮演關鍵角色。
威脅管理團隊應具備以下特性:
― 由具經驗的專業人員組成
― 成員須具備高度誠信與保護組織與員工的使命感
― 設置明確的團隊負責人
― 定期召開會議,持續追蹤新發展與管理個案
― 成員需接受相關訓練,包括但不限於:
― 調查程序
― 資料蒐集、使用與保存之法律規範
― 個資與隱私保護要求
― 團隊在成立初期即應清楚界定其評估能力與限制
― 建立與外部單位(特別是執法機關)的協作機制
- 典型威脅管理團隊成員(Notional Threat Management Team)
團隊應設置明確的負責人,並建立定期會議與案件管理機制,確保所有潛在威脅能在適當的治理架構下被討論與處理。一支訓練完善且具警覺性的團隊,是偵測與識別潛在內部威脅的最佳方式。
- 內部專業成員(Insider Threat SMEs)
― 內部威脅分析師
― 人力資源(HR)
― 法務顧問(General Counsel)
― 營運與行政部門
― 資訊長(CIO)/資安長(CISO)
― 資安長(CSO)
- 外部支援(External Assistance)
― 調查人員或執法機關
― 外部風險評估/背景審查專家
― 醫療或心理健康專業人員
- 情境資訊來源(Contextual Sources)
― 直屬主管
― 同事
- 資料保護、隱私與法遵考量
內部威脅管理團隊在運作過程中,勢必接觸大量敏感資訊,包括個人識別資料、人事紀錄、行為觀察與調查資訊。這類資料的處理若缺乏嚴謹控管,將可能衍生新的法規與信任風險。
因此,所有相關資訊均應遵循「必要知悉」原則進行存取與分享,無論為紙本或電子形式,皆需採取適當的安全防護措施。團隊在制度設計與個案處理過程中,應持續諮詢法務單位,確保符合適用之隱私、勞動與資料保護法規。
同時,透過持續訓練與適當的人員審查機制,也有助於降低威脅管理團隊本身成為風險來源的可能性。
- POEM 架構下的制度運作模式
CISA 提出以「規劃、組織、執行與維持」(Plan, Organize, Execute, Maintain, POEM)為核心的運作架構,作為內部威脅管理團隊建置與成熟化的指引。
此階段用於界定團隊角色、範疇與定位。關鍵問題包括:
― 哪些關鍵資產需要保護?
― 依組織風險承受度,團隊的優先事項為何?
― 何種團隊結構最符合既有文化、通報流程與系統?
進一步需思考:
― 團隊最適合設置於組織的哪個位置?
― 是否能整合既有職能?
― 哪些專業背景最適合納入團隊?
團隊在此階段將:
― 推動員工威脅意識
― 建立鼓勵通報的文化
― 協助相關部門辨識潛在內部威脅
重點原則:
― 多元專業能更有效整合與分析跨部門資料
― 團隊須倡議並確保政策與程序落實
― 領導層需營造安全環境,讓員工願意提出疑慮
資料與隱私重點:
― 團隊將接觸高度敏感與個人識別資訊(PII)
― 所有紙本與電子紀錄須妥善保護
― 資訊僅限「必要知悉(Need-to-Know)」
― 必須與法務顧問確認符合法律要求
― 定期訓練與人員審查,可降低團隊內部本身成為威脅的風險
團隊成立後,其行動將支撐組織整體的內部威脅緩解計畫。最佳實務包括:
― 強制性訓練,提升成員威脅應對能力
― 整合分析與回應流程
― 建立集中式資訊蒐集與分析中心
― 善用以下組織資產:人事安全檔案、人資紀錄、門禁與設施存取紀錄、出差與旅遊紀錄、外國接觸申報以及財務揭露文件
― 全程諮詢法務顧問,確保符合法規
威脅管理團隊的維運是一項持續且動態的工作。組織應:
― 定期透過訓練與演練強化團隊能力
― 將內部威脅緩解納入新業務與新策略
― 持續修訂政策、程序與標準
― 蒐集員工回饋,即時調整制度
― 善用外部資源以維持制度成熟度
- 結語
整體而言,多學科內部威脅管理團隊並非單一安全控制措施,而是一項結合治理、文化、專業與持續改善的長期制度建設。透過系統化規劃與跨領域合作,組織不僅能降低內部威脅事件的發生機率,更能在事件發生前後展現成熟、合規且負責任的風險管理能力,為組織的永續營運與信任基礎提供重要支撐。
資料來源:https://industrialcyber.co/cisa/cisa-introduces-poem-framework-to-strengthen-insider-threat-mitigation-across-critical-infrastructure/