富邦人寿资安处副总经理暨资安长黄文解(图中)表示,该公司以资安处同仁为通过NIST CSF验证的主力,在资安处资安处协理赖居正(左三)、副处长陈慧玲(右三)以及资安处经理曾淑玲(左二)的戮力合作下,解析NIST CSF相关规范的类别和细节,顺利落实在日常的业务流程中。 (摄影/洪政伟)
在当今数位化、全球化的商业环境中,网路安全已成为企业运营不可忽视的关键议题。随著数位化进程的加速,企业所面临的安全风险也日益增加。为了能够有效管理并减少网路安全风险,许多企业选择采用NIST(美国国家标准与技术研究院)CSF(网路安全框架)作为其资安防护的指导标准。
也有一些第三方验证单位,根据NIST CSF的规范,协助企业组织通过NIST CSF验证。对于企业而言,通过验证不仅显示其对资安风险管理的承诺,也能够提升企业的内部防护机制,并加强对外界合作伙伴和供应链的安全管控。
NIST CSF的核心思想是以风险为基础的网路安全管理方法,帮助企业识别、保护、侦测、回应及复原,形成一个完整的资安防护体系。此框架不仅关注法规遵循,更强调针对网路攻击、弱点分析及实际风险的应对,与传统的ISO 27001验证体系相比,NIST CSF提供了更灵活的风险管理模式。
在国际上,已有不少企业成功实施NIST CSF并获得验证,这些案例不仅证明NIST CSF的有效性,也展示对企业资安管理的实质贡献。例如,泰国的航太业者RV Connex、泰国资服业者INET MS、加拿大软体开发业者LoginRadius和加拿大资服业者CDW等,均已透过公开资讯的方式,明确揭露该企业已经成功通过第三方单位的验证,并且已经在企业内运用NIST CSF网路安全框架作为资讯安全的指引,这些公司通过对该框架的全面实施,不仅提升资安防护能力,也加强对外界合作伙伴的风险管理能力。
导入NIST CSF的关键挑战
不过,富邦人寿资讯安全处经理曾淑玲表示,导入NIST CSF的过程中,最大的挑战在于「风险评估」与「第三方管理」部分。
曾淑玲指出,NIST CSF与ISO 27001最大的差异在于:风险评估方法论的生成。
她进一步解释,在风险评估的方法论上,NIST CSF比较著重网路弱点、威胁与冲击层面的评估,跟ISO 27001偏向法令遵循的风险思维不太相同。因此,富邦人寿必须自行设计适合人寿业务应用的量化风险评估工具,来衡量网路威胁的潜在影响。她强调,量化风险评估能够提高内部接受度,并以实质网路风险作为依据,呈现风险级距。
富邦人寿资讯安全处协理赖居正补充说明,他表示,因为NIST CSF注重于威胁因应与弱点分析,而非仅仅关注法规遵循,这对公司原先都以ISO验证为主的资安团队来说,都是全新的挑战。他解释,NIST CSF关注实际的弱点威胁,会对企业组织如何带来冲击;而ISO 27001多半关注组织法遵面的风险。
但是,与ISO 27001相较,NIST CSF更著重于网路弱点威胁、攻击行为模式等实务面,因此,富邦人寿在面对NIST CSF的风险评估时,对于应该要用什么指标或数字来佐证风险等级,就需要大量的内部辩证。
赖居正强调,富邦人寿导入NIST CSF后,便能从「辨识、保护、侦测、回应、复原」的角度,检视企业在各阶段的防护机制。这不仅补足以往较偏向「合规性」的操作方式,也让资安团队在面对新型威胁时,能够更灵活地反应。毕竟,他说:「连台湾BSI一开始时,也无法给出一个可供参考的标准答案,就是因为各家公司的应用情境不同,面对的风险冲击也不同。」
除了风险评估之外,第三方管理也是NIST CSF著墨的重点。曾淑玲表示,由于金融业在业务推进上,常仰赖各类IT供应商与技术厂商,因此供应链安全成为一大变数,这也促使该公司须做好第三方管理,在这方面,NIST CSF也要求更严谨的供应商管控。
她表示,富邦人寿还为此制定一版详细的SOP(标准作业流程),包括供应商评估矩阵与风险分级管理,从签约前的资安强度评估,到合约结束后的稽查机制,全部流程都纳入风险评估,包括:如果乙方供应商风险太高,甲方业主甚至要进行实地稽查。
因此,资讯部门与供应商的合作至关重要。赖居正进一步解释,在相关的作业办法公布后,富邦人寿资安处便和资讯部门有共识,要求资讯、资安业者在承接该公司的业务之前,必须先填写一份风险评估文件。
这份文件内容主要呈现这些供应商本身的资安强度,包括:确认这些供应商是否做社交工程演练?是否取得其他资安验证?以及是否根据业务风险高低采取不同的控制措施。
曾淑玲指出,供应链安全是导入NIST CSF后特别注重的部分,「以往可能只在意公司内部的防护,但现在透过这个框架,会更加关注外部合作伙伴或供应商的安全状况。」她说。
赖居正强调,过去ISO 27001的第三方管理,可能只要检核合约即可;但NIST CSF和主管机关都强调供应链风险,像「金融资安行动方案」就再三强调,资安供应链的管理。他说:「这种对供应商的要求,在金融业看似流程繁琐,但对于确保整体网路安全有很大助益。」
曾淑玲认为,ISO 27001和NIST CSF这两套标准并不是互斥的,反而是可以同时并行。前者,帮助企业保持合规,同时让内、外部利害关系人都知道,该公司有一套相对稳健的安全管理系统;后者,强调对实质风险的管理,以及成熟度概念的导入,能看见该公司在网路安全的水准为何。
提升组织内部的资安共识与协作
在导入NIST CSF资安框架的过程中,是否遇到内部沟通、资源分配或技术上的瓶颈?富邦人寿资讯安全处专案经理林原庆直言,导入NIST CSF的过程中,最大的挑战之一是「人力」与「认知」问题。
「在人力方面,资安与资讯部门得投入许多额外精力,不仅要进行差异分析,还要收集各项稽核资料,这确实需要组织上下的支持。」林原庆说道。
他进一步解释,至于认知部分,NIST CSF毕竟是新的框架,许多同仁一开始并不熟悉。因此,我们在2023年便开始安排教育训练及专案会议,借由一次次沟通与文件分享,让大家知道这件事的重要性,同时也降低了导入阻力。
赖居正也提及,富邦人寿对资安并不陌生,因为先前已经有ISO 27001、BS 10012(个资保护)以及ISO 22301(业务持续营运)等验证。有了这些跨部门合作的先例,所以在推动NIST CSF时,并没有太大的阻碍。
他认为,关键在于:怎么做才符合NIST CSF要求?而这部份的沟通和磨合,则是透过一次次的内部会议,把艰涩的条文翻译成大家都了解的白话文后,再去和资讯部门或其他单位做沟通,这才减少时程上的摩擦。
富邦人寿资讯安全处协理赖居正表示,NIST CSF注重威胁因应与弱点分析,而非仅仅关注法规遵循,对原先以ISO验证为主的资安团队来说,NIST CSF更著重于网路弱点威胁、攻击行为模式等实务面的角度。(摄影/洪政伟)
至于如何培养内部员工对NIST CSF的理解与认同,赖居正指出,目前法令规定公司全员每年须接受3小时的资安训练,资安专责人员则需要15小时的进阶课程。但他坦言:「这对于要真正落实NIST CSF的要求还不够。」
落实NIST CSF涉及跨部门的合作,NIST CSF 提供一套共同语言,让资安、资讯、法遵、风控及业务部门都能在相同的框架下进行讨论。过去,资安常被视为「额外负担」或「不必要的麻烦」,但在引入NIST CSF后,各部门更能理解每项要求背后的风险考量,形成上下同心的合作氛围。
因此,富邦人寿计划从今年(2025年)开始,加强并扩大相关人员资安教育深度。「除了资安部门,也会开放资讯部门、法遵、稽核与风控等单位一起上课」赖居正说。借此也让所有与资安密切相关的部门,都能对NIST CSF的五大构面(Identify、Protect、Detect、Respond、Recover)有更深层的理解与应用。
林原庆坦言,导入NIST CSF的确要投入额外的人力支援,并需透过专案会议及教育训练,减少内部阻力。赖居正指出,内部会议在优化执行方式上发挥关键作用,让资安需求能以更易于理解的语言传达给其他部门。
NIST CSF的导入和推动能否顺利的关键是什么?赖居正坦言,企业组织的文化一定要先支持。他表示,富邦人寿总经理陈世岳已经指示,所有新的系统、新作业程序、新的流程等,要正式上线前,都必须先经过法遵、风控和资安部门的审核;若是资讯系统相关的应用,则必须先经过资安处的评估。
至于业务单位有新的需求需要资讯部门协助完成,赖居正指出,资讯部门也已经习惯,会在完成相关的系统规画后,再请资安部门检视是否有需要因应相关风险,也会将相关的评估强化内容,并放入该计划中。
「目前资安处每年要做资安评估的专案大概120~130件,」赖居正说,只要有新系统或新工具要规画或上线使用前,资讯部门一定会与资安部门会办;而目前资讯和资安部门则以NIST CSF作为共通语言做评估,更容易凝聚共识。
「资讯和资安部门互动密切,资讯部门就不会忽视资安部门的建议。」他说。
曾淑玲则强调,NIST CSF与ISO的体系标准不尽相同,有些条文连资安单位自己都必须再三研究才能看懂,更何况是其他业务部门。因此,曾淑玲认为,NIST CSF作为一个全新的框架,对其他非资安背景的部门而言仍然陌生,未来将邀请专家提供进一步的深度课程,并协助其他相关单位快速上手。
从资安到营运的双重提升
富邦人寿资讯安全处副总经理暨资安长黄文解表示,导入NIST CSF验证后,带来最直接的效益就是:内部资安能力与营运发展双双提升。他指出,借由NIST CSF让该公司重新检视成熟度,重新审视风险,知道好与不好的地方在哪里。
富邦人寿以前也有做资安,但透过NIST CSF的资安框架,可以使人员和资讯部门的合作更加紧密,整体风险的认知也更深刻。黄文解认为,对富邦人寿的客户(保户)而言,该公司重视网路安全的态度更鲜明,也可提升客户对富邦人寿的信任,对业务带来正向帮助。
他进一步强调,有些消费者可能原本不太愿意使用网路投保,担心资安风险。现在富邦人寿在网路投保范围取得验证,对外是一种强而有力的背书,成为他们业绩引流的新亮点。对内方面,富邦人寿也能更落实自我评估、知道哪些地方还有待提升,更清楚未来在技术能力上该怎么强化。
富邦人寿资安处副总经理暨资安长黄文解表示,通过NIST CSF验证后的最直接效益就是:提升公司内部的资安和营运能力,并借由NIST CSF让该公司重新检视成熟度,以及重新审视风险。(摄影/洪政伟)
赖居正补充指出,导入NIST CSF 后,资讯部门跟资安部门的互动方式有了明显的改变,因为,资讯部门成为资安处最密切的合作伙伴。他解释,以前有些开发测试流程,可能只是走走形式;但现在大家更加重视元件检测、漏洞扫描,软体后门等议题。资讯部门也主动找资安单位商量。他说:「这代表公司整体文化,真的开始转向更重视资安了。」
赖居正也提及,第一次评鉴台湾BSI给出的面向与成熟度参考,NIST CSF验证里面共有23类、108个控制点,这些控制点会对应五大构面,并从风险识别、风险评鉴到保护维运做出更细致的衡量,像有些部分可达到第四级成熟度,也有地方需要再持续精进。
林原庆则指出,该公司在风险识别、风险评鉴、保护与维运方面,确实做得不错,算是高水准;透过这些评鉴结果则能协助该公司知道其不足之处,以便后续能够改进。
富邦人寿资讯安全处副处长陈慧玲总结导入的好处,她表示,取得NIST CSF验证,帮该公司第一次立下一个标竿,未来,就能以PDCA(计划、执行、检查、行动)循环来持续改善。她也说:「公司也会借由这样的方式,检视每一年的资安策略与计划,确保每年都能持续提升。」
资安从「专业部门的事」演变成「全员共识」
NIST CSF框架中最核心的「五大构面」:识别、保护、侦测、回应与复原,若能全面融入日常营运,对金融业的风险控管便能产生重大效益。黄文解表示,该公司原本就在进行侦测和情资分析,现在则透过NIST CSF来检视风险和成熟度。因为有了这套框架,他们能更有系统地掌握整个企业网路防御状况。」
资安标准很多,赖居正表示,公司需要导入哪一种资安标准,端看公司当下处于哪个阶段和需求。例如,ISO 27001是资安的基本盘,金融机构大多会先通过ISO 27001资安验证;但NIST CSF更著重「网路安全」的管理与实务,假如公司未来要往云端或其他新兴应用走,就还需要考虑云端的资安验证。
曾淑玲补充说明,NIST CSF的优势在于实用性更高,也更有「成熟度」的概念;ISO 27001相对更强调合规,NIST CSF则是更灵活,更能因应实际风险的变化。「因此,在金融界已经有不少业者开始关注NIST CSF验证,以落实风险导向的资安管理。」她说。
不过,NIST CSF已经发展到2.0版,更重视强化资安治理与落实日常资安策略。陈慧玲透露:「富邦金控也非常看重资安治理框架,所以,富邦人寿也把NIST CSF框架纳入金控的资安技术规画,并分门别类地整合到日常作业。」她认为,这样做,就能让整个金融集团的资安治理更有一致性。
黄文解则表示,NIST CSF资安框架的弹性很适合金融业运作,还没有取得验证前,该公司就已经开始用NIST CSF资安框架落实网路安全管理。随著升级到NIST CSF 2.0,该公司在风险与成熟度提升方面,也会更聚焦。「在取得验证的过程中,富邦人寿获得高层的支持,真正做到从上而下重视资安,并融入日常营运的每个面向。」他说。
NIST CSF使资安从「专业部门的事」演变成「全员共识」,让管理层、资讯部门、业务单位、风控及一般员工都能站在相同的基准上思考与行动,进而形塑出一个「资安根植于组织基因」的企业文化。
从验证了解真实状况,持续验证则带动成熟度提升
赖居正认为,要是没有这个框架及外部评鉴,对于富邦人寿而言,可能就只会觉得「我们做得不错了」,一旦有了定期外部稽核,就会有清楚的建议,例如,该公司在某一个构面的资安成熟度只达到第三级,后续就会得到建议,了解接下来应该如何精进。
以往富邦人寿在资安事件的应变策略或演练等领域,都陆续投入许多心力,赖居正说:「像2023年、2024年,就有十四个部门参与资安演练,2025年也会继续规画,就是希望演练情境更接近实务。」若未来要面对AI或云端等议题,也希望能保持同样甚至更好的资安成熟度。
黄文解建议,在导入NIST CSF时,跨部门合作非常关键,尤其资讯部门的配合与认同,不可或缺;资安部门绝对因为不能单打独斗,很多控制措施都需要资讯部门实际落地执行,双方一定要有共识。
富邦人寿是台湾金融保险业第一家取得NIST CSF验证的企业,黄文解表示,这对同业或整个市场而言,都是抛砖引玉,因为很多同业其实也关注这个框架,只是还没真的导入。他说:「未来若有更多同业透过第三方验证审视自己的网路资安成熟度,对整个产业都是好事,能做到所谓的『资安联防』也可以让客户更安心。」
赖居正进一步指出,大家在导入前要先花时间了解NIST CSF的内涵。如果企业资安人员对NIST CSF不了解,仅靠顾问告诉你该怎么做,可能就无法真正把它落实成自己的框架。最终,这是整家公司的资讯安全,不单单是资安单位的责任。资讯人员必须知道这是共同使命。」
至于技术层面,陈慧玲特别强调「差距评估」步骤,在执行前,企业组织应该先做内部自我评估,掌握公司现况和NIST CSF资安框架要求的安全水准之间的差距,然后再逐步调整,;等到内部准备充足,再寻求第三方验证就能事半功倍。她说:「这样流程顺序比较顺畅,也比较能做到一次到位。」
不过,黄文解强调,验证并不只是「挂在墙上的证书」,更是第三方公正单位对公司资安成熟度的验证。他也同意,取得NIST CSF验证,并不代表资安已经做到万无一失,而是这样的资安框架为组织提供了一个镜子,一个持续改善与成长的基准而已。
黄文解也体认到,「验证只是开始,不断的检讨和优化才是关键。」未来,他也希望有更多同业一起交流,为客户带来更安全的金融服务环境,尤其是需要「资安联防」的金融保险领域,更是如此。
NIST CSF V1.1 实施 7 步骤
1. 决定实施范围与优先顺序
2. 确认组织目标与方向
3. 建立现况设定档
4. 进行风险评鉴
5. 建立目标设定档
6. 判定、分析和考量各种差异的优先顺序
7. 实施行动计划
资料来源:台湾BSI提供,2025年2月