關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 法令政策
顯示分類
2025.08.26
訊息與報導/法令政策
NIST SP 1331 指南草案擴展了 CSF 2.0,用於管理新興和緊急網路安全風險
報導摘要

美國國家標準暨技術研究院(NIST)近日發布了特別出版物 SP 1331 的初始公眾草案,這是一份名為《運用 CSF 2.0 改善新興網路安全風險管理的快速入門指南》。此指南是自 NIST 網路安全框架 2.0(CSF 2.0) 發布後,一系列快速入門指南的最新成員。其核心目標是教導組織如何運用現有的資安實務和 CSF 2.0,來強化其應對未經充分理解或全新未知威脅的能力。指南強調,管理新興風險需要將資安實務與企業風險管理(ERM)相整合,以實現從被動反應到主動預防的轉變。草案的公眾意見徵詢期將開放至 2025 年 9 月 21 日。


1. 區分新興與突發風險:理解威脅的全貌
NIST SP 1331 草案首先對「新興風險」進行了清晰的定義。它將新興風險分為兩大類:

  1. 新興風險(Emerging Risks): 這些風險對某些組織來說可能已經是已知威脅,但對其他組織而言仍是新威脅。例如,某一產業已普遍遭遇的勒索軟體變種攻擊,對尚未經歷過的組織而言,即屬於此類。

  2. 突發風險(Emergent Risks): 這些風險對所有組織都是全新且未知的,沒有現成的緩解策略。它們往往來自於技術的快速演進(如人工智慧、量子計算)或地緣政治的突然變化所帶來的全新威脅情境。

指南強調,有效地管理這些風險需要擴大威脅、攻擊手法和漏洞的識別範圍,將不同領域(如資訊科技 IT、營運技術 OT 和物聯網 IoT)的專家和利害關係人納入風險識別活動中。這種跨領域的協作是應對複雜「系統之系統」(System-of-Systems)威脅的關鍵。


2. 運用 CSF 2.0 的六大功能應對新興風險

NIST SP 1331 巧妙地將新興風險的管理過程,與 CSF 2.0 的六大核心功能相結合。CSF 2.0 在其 1.1 版本原有的「識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover)」五大功能基礎上,新增了更具戰略指導性的「治理(Govern)」功能,使框架更加完善。指南將這些功能分為兩個階段:

  • 階段一:在風險實現前(主動預防)

    • 治理(Govern): 這是所有風險管理的基礎。組織必須建立明確的網路安全風險管理策略、期望和政策,並將其與企業風險管理(ERM)相整合。指南建議,應在組織的治理結構中充分考量新興風險,並規劃相應的資源和能力。

    • 識別(Identify): 組織需要主動識別其數位資產、系統、數據、人員和能力,特別是那些可能暴露於新興風險中的資產。這包括識別新興技術、不斷演變的威脅情境和新的漏洞類別。指南強調,組織應擴大對威脅情資的來源和類型,以提前發現潛在的風險。

    • 保護(Protect): 在這個階段,組織需實施保護性措施來降低新興風險。這不僅僅是部署傳統的資安工具,更重要的是建立能夠限制風險影響並防止級聯效應的韌性(resilience)。例如,實施零信任架構、強化身份和存取管理(IAM)以及採用能夠隔離資安事件的微隔離技術。

  • 階段二:在風險實現後(被動應對與恢復)

    • 偵測(Detect): 一旦新興風險演變為實際攻擊,快速偵測至關重要。指南建議組織應具備持續監控的能力,並能快速分析異常行為,以便在攻擊的早期階段就發現並進行回應。

    • 回應(Respond): 組織必須制定和測試應急響應計劃,以應對突發事件。這包括事件分析、遏制、消除和溝通。在面對未知威脅時,能夠迅速隔離受影響的系統並防止威脅擴散的能力至關重要。

    • 復原(Recover): 災難發生後,快速恢復資產和營運是將損失降至最低的關鍵。指南強調組織應具備健全的備份和復原策略,並定期進行演練,以確保能在最短時間內恢復正常運作。


3. 整合企業風險管理(ERM)的策略

NIST SP 1331 草案的核心理念之一,是將網路安全風險管理(CSRM)與企業風險管理(ERM)相整合。傳統上,資安往往被視為一個單獨的技術問題,但新興風險的影響範圍已經超越了技術層面,可能影響到組織的聲譽、財務、供應鏈甚至合規性。

將資安實務與 ERM 相結合,意味著資安決策不再僅僅由技術團隊驅動,而是與業務目標和策略緊密相連。高階管理層需要參與資安風險的識別、評估和決策過程。這將有助於組織從戰略層面分配資源,並做出更明智的風險權衡決策。指南建議,組織應使用共同的詞彙和評估方法,以便在 ERM 和 CSRM 之間建立無縫的溝通橋樑。


4. 建立組織韌性(Organizational Resilience)

面對新興與突發風險,最有效的防禦策略之一是建立組織的韌性。韌性不僅僅是事後恢復的能力,更是一種能夠在不斷變化的威脅環境中,維持核心功能和運作的能力。

NIST SP 1331 強調,準備應對新興風險需要組織具備彈性與適應能力。這包括定期審查和更新風險管理策略,投資於能夠快速適應新威脅的技術,以及培養具備跨領域知識和技能的人才。組織應該將「韌性」作為其網路安全文化的一部分,並在整個企業中進行推廣。這不僅是技術問題,更是一種組織文化的變革,需要領導層的堅定支持。


5. 總結與未來展望

NIST SP 1331 草案的發布,是 NIST 在網路安全框架演進中的又一個重要里程碑。它為所有規模和類型的組織提供了一份實用的藍圖,指導他們如何應對這個充滿未知威脅的數位時代。通過結合 CSF 2.0 的六大功能和企業風險管理的策略,組織可以建立一個更具前瞻性、韌性和適應能力的防禦體系。這不僅僅是關於保護數據和系統,更是關於確保業務的連續性和長期成功。我們期待最終版指南的發布,並鼓勵各界積極參與意見回饋,共同塑造更強大的網路安全未來。


資料來源:https://industrialcyber.co/nist/nist-sp-1331-draft-guide-expands-csf-2-0-for-managing-emerging-and-emergent-cybersecurity-risks/
美國國家標準暨技術研究院(NIST)發布了《NIST SP 1331 草案》,這份快速入門指南旨在協助組織運用其最新的《網路安全框架 2.0》(CSF 2.0),有效應對新興與突發的網路安全風險。