網路安全新範式：從技術維護走向企業治理

在數位轉型加速的時代，網路安全風險已不再是單純的資訊技術（IT）問題，而是直接影響企業生存與營運的重大戰略風險。為了因應這一結構性轉變，美國國家標準與技術研究院（NIST）發布了更新後的網路安全框架（CSF）2.0，並配套推出了《CSF 2.0快速入門指南》，旨在將網路安全管理深度融入企業的整體風險管理流程。

這份指南是繼2024年2月26日以來發布的一系列CSF 2.0快速入門指南中的最新一份，其核心價值在於提供一個量身定制的實施途徑，使不同規模和成熟度的組織都能更便捷地採用和操作CSF框架。

NIST CSF 2.0指南旨在協助組織理解、評估、優先排序並就網路安全工作（包括與網路安全人員相關的工作）進行一致的溝通，從而有效管理網路安全風險。 此前NIST SP 1308的第一版公開草案已於3月發布，此次更新的草案根據利害關係人的回饋進行了大幅修訂。NIST現已重新開放該文件的公眾評議，意見徵集截止日期為明年1月7日，《CSF 2.0快速入門指南》是自2024年2月26日以來發布的一系列CSF 2.0快速入門指南中的最新一份。 本指南基於美國國家標準與技術研究院 (NIST) 的三個關鍵資源，包括 CSF 2.0、網路安全勞動力框架 (NICE 框架) 以及 NIST IR 8286 系列關於將網路安全與企業風險管理相結合的指南。 CSF 2.0 指導各種規模和成熟度的組織理解並溝通其網路安全工作，NICE框架支援網路安全能力的提升，明確工作職責，並為員工培訓提供指導。組織在利用關鍵安全因素（CSF）成果確定其當前或目標網路安全態勢後，NICE框架可協助確定實現該目標所需的技能和角色。 NIST IR 8286 系列指南旨在加強網路安全團隊與組織領導層之間的溝通，並使網路安全風險管理與企業風險管理實務保持一致。

這三項關鍵資源的整合，體現了網路安全從「技術合規」轉向「戰略治理」的趨勢，強調風險管理、人力資源、技術實施必須協同一致，才能真正提升組織的網路韌性。

 

三大核心基石：實現網路安全、ERM與人才管理的無縫整合

《CSF 2.0快速入門指南》的精髓在於將三個原本可能獨立運作的領域——網路安全框架、企業風險管理及人才發展——有機地聯繫起來，形成統一的風險管理流程。

CSF 2.0：風險成果的藍圖 CSF 2.0框架定義了網路安全應實現的特定成果（Outcomes），組織利用這些成果來建立「組織檔案」（Organizational Profile）。組織檔案描述了網路安全工作在企業任務、利害關係人期望、威脅態勢和營運要求下的當前狀態與目標狀態，成為了風險溝通和優先排序的基礎。

NICE框架：人才能力的對應器 網路安全勞動力框架（NICE Framework）則負責識別、發展和培養網路安全能力。一旦組織通過CSF成果確定了其目標網路安全態勢，NICE框架便介入，協助組織確定實現該目標所需的特定技能、知識和工作職責（Work Roles）。NICE框架最詳盡的元素，即「任務、知識和技能」陳述，結合為與特定網路安全職能相關聯的「工作角色」。

NIST IR 8286系列：溝通與一致性的橋樑 NIST IR 8286系列指南提供了實用的建議，用以改善網路安全團隊與高階領導層之間的溝通，並確保網路安全風險管理（CSRM）實務與更廣泛的企業風險管理（ERM）流程保持一致。這確保了網路安全決策不僅基於技術考量，還納入了業務的風險容忍度、風險胃納與整體戰略目標。

雖然許多組織可能已經在使用其中一個或多個資源，但指南明確指出，只有將三者結合應用，才能發揮最大的價值，將不同的概念和利害關係人團體連接成一個統一的、以人力資源為中心的網路安全風險管理流程。

 

五階段實施路徑：從戰略定義到持續監測

指南提供了一個清晰的五階段流程，指導組織如何將這三大基石應用於實踐，管理多個系統層面的網路安全風險，並將其提升至企業層級的戰略決策。

階段一：確定範圍、使命對齊與利害關係人協作 此階段的核心在於為組織檔案確定高層次的假設和事實。它要求召集企業各部門的利害關係人（包括高階主管、網路安全、ERM和人力資源團隊）來定義工作範圍、確定初始時間表，並將網路安全風險與企業使命對齊。透過業務影響分析（BIA）來識別對實現組織目標至關重要的資產，進而確定組織檔案的範圍。

階段二：資訊蒐集與風險、人力現狀的全面盤點 領導層需要清晰了解組織當前的網路安全、ERM和人力資源實踐。從ERM角度，組織審視風險胃納和風險容忍度。從CSRM角度，收集遵循的安全要求、標準和內部政策。從人力資源角度，則審查組織圖、職位清單以及招聘與培訓計畫，並利用NICE與CSF 2.0的對應關係，了解人力資源能力如何與網路安全成果保持一致。

階段三：建立組織檔案：定義當前與目標網路安全態勢 在此階段，組織檔案被創建，描述了組織的「當前檔案」（Current Profile）——目前已達成的CSF成果，以及「目標檔案」（Target Profile）——期望達成的網路安全目標。通過並列審視這兩個檔案，組織可以分析現狀與期望狀態之間的風險與差距。此步驟要求利益相關者在企業風險策略的背景下評估現有實踐，並確定達到目標所需的成本效益和效率。

階段四：差距分析、風險行動計畫與人才缺口識別 完成組織檔案後，團隊進行差距分析，將差異轉化為具體的風險，並以此為基礎制定優先順序的行動計畫，並納入風險登記冊。關鍵在於仔細考慮風險所有權的分配，確保風險所有者擁有管理風險的權威和問責制。隨後，利用NICE與CSF的對應關係進行人力資源差距分析，確定是否需要招聘、技能提升（Upskilling）或調整工作角色、組織結構等，以填補管理已識別風險所需的能力缺口。

階段五：行動計畫實施與持續監測及調整 此為實際執行階段。網路安全風險從業人員根據利益相關者的期望、預算和最高優先級風險，確定所需的人力資源或風險應對措施。人力資源管理團隊將選定的應對措施（如專業發展、招聘新人才、創建新職位）分配預估成本、時間表、指標和成功標準。在實施後，組織進入持續監測階段，評估干預措施是否有效緩解了已識別的風險。風險登記冊將根據評估結果定期更新，確保網路安全風險持續反映在更廣泛的ERM組合中，並在必要時對計畫進行調整。

 

網路風險治理與台灣企業的應用啟示

NIST CSF 2.0快速入門指南不僅為美國聯邦機構，也為全球包括台灣在內的私營部門和關鍵基礎設施提供了一個先進的風險治理模型。對於台灣企業而言，這份指南提供了將不斷收緊的法規要求（如上市櫃公司治理、關鍵基礎設施防護）轉化為內部實踐的具體路徑。

將網路安全納入企業風險管理（ERM） 台灣企業應利用此指南，將網路安全風險評估結果與董事會關切的營運、財務和聲譽風險對接。透過建立統一的「組織檔案」和風險登記冊，網路安全團隊可以停止使用技術術語，轉而使用商業語言與高層溝通，從而獲得更精準的預算和資源支持。

建立策略性網路安全勞動力 面對台灣普遍存在的網路安全人才荒，指南強調的NICE框架整合尤為重要。企業可以依據CSF 2.0的目標成果（Target Profile），精確定義所需的工作角色、知識和技能，指導人力資源部門進行更有針對性的招聘、培訓和職位調整，避免盲目投資，確保人力資源投入與組織風險緩解策略緊密相連。

總體而言，NIST CSF 2.0快速入門指南標誌著網路安全治理進入了新階段——一個強調協作、整合和以風險為中心的階段。組織的韌性不再僅取決於部署的技術，更取決於其風險管理流程的成熟度、人才能力的匹配度，以及各部門之間溝通的一致性。持續遵循並調整此指南中的五階段流程，是企業在日益複雜的網路威脅環境中保持競爭力與營運連續性的關鍵。

資料來源：https://industrialcyber.co/nist/nist-releases-updated-csf-2-0-quick-start-guide-to-strengthen-cyber-erm-and-workforce-integration/