富邦人寿日前顺利通过「NIST CSF网路安全框架」验证,由台湾BSI营运长谢君豪(图左)授证,由富邦人寿总经理陈世岳(图右)代表领证,这也是台湾金融业第一个通过这项资安验证的企业。(摄影/洪政伟)
随著金融保险业的数位化程度日益提升,网路投保、线上咨询、行动服务等数位场景,逐渐成为保险公司与客户互动的主要模式。然而,数位化的红利也同时带来日渐严峻的资讯安全挑战,包括:骇客攻击、恶意软体、网路诈骗、资料外泄等风险。
因此,金融产业的数位转型,不仅要因应数位金融服务带来的创新与便利,更需要面对资安的多重挑战;资安问题不只关乎企业营运,同时攸关客户信任与资料保护,更可能动摇客户对金融机构的信任。因此,如何建立一个完整、成熟且具备国际水准的资安管理架构,也就成为金融业不可回避的重要课题。
美国国家标准和技术研究院(NIST)推出的网路安全框架(Cybersecurity Framework,CSF)目前被视为全球网路安全领域的重要指标。富邦人寿日前宣布,在总经理陈世岳全力支持下,透过第三方验证单位──台湾BSI,顺利通过NIST CSF验证,成为台湾金融界率先通过此一资安框架验证的业者,不只展现在资讯安全治理方面的坚强实力,更是落实对客户资料保护的承诺。
为了能在瞬息万变的网路威胁环境下,确保客户资料与企业资产安全,富邦人寿在已有ISO 27001等资安管理系统的基础之上,选择另外导入许多国际资安业者和企业肯定的NIST CSF框架,并顺利通过验证。
富邦人寿资讯安全处副总经理暨资安长黄文解指出,他们在资安体系深耕十年,有ISO 27001资安管理系统的验证框架,可确保企业本身具有CIA──机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)的重要基础。
然而,在日趋严峻的网路安全威胁下,富邦人寿也意识到资安必须不断强化,若能进一步导入NIST CSF资安框架,将有助于公司全面掌握网路风险、强化资安治理,并能透过实践此框架的最佳标准,持续提升网路安全成熟度。
黄文解进一步表示,NIST CSF资安框架著重于网路风险的辨识与管理,通过「识别(Identify)」、「保护(Protect)」、「侦测(Detect)」、「回应(Respond)」以及「复原(Recover)」五大核心构面,协助企业持续强化资讯安全防御与治理。「而成功导入NIST CSF对于富邦人寿而言,不仅仅是一份『验证』,也为该公司的整体资安治理,带来多重效益。」他说。
结合NIST CSF与ISO 27001,企业资安治理升级
导入NIST CSF资安框架之前,富邦人寿就已深耕资讯安全管理领域多年,十年前便已导入ISO 27001资安管理系统。
ISO 27001是目前国际上最常见的资讯安全管理标准,主要强调CIA概念。然而,黄文解表示,资安治理久了之后,开始更加看重网路安全的重要性,希望保护的层次能再往上提升。
面对日新月异的网路威胁,单纯以ISO 27001为主的资安管理体系,企业已经不足以应付越来越复杂的网路攻击,因此,需要在网路安全的治理与风险管理方面,更上一层楼,才能够更加全面且具弹性的方式,因应复杂多变的攻击手法。于是,富邦人寿高层便思考,除了已有的资安系统管理架构,是否能做得更好,保护的层次能否再往上提升。
CSF资安框架是NIST制定,不仅凝聚了许多国际企业的资安最佳实务经验,对于「网路风险」更是有系统化的全面评估与应对策略,也能适用于各行各业,让企业能够根据自身的需求与资源分配,更有弹性地进行资安治理。
黄文解表示,企业与组织在相关的资安实际应用层面中,可借由CSF框架涵盖的「识别、保护、侦测、回应、复原」五大面向,这也很贴近实务面对的风险管理需求,加上零信任的概念近年来越发重要,透过持续性的进行风险辨识与成熟度评估,对于企业和组织而言,都能够更有系统且循序渐进地强化网路安全,而这样的资安框架就能更完整地整合到组织内部。
他认为,CSF资安框架与ISO 27001资安管理系统之间,还可以形成相辅相成的体系,两者非互斥而是彼此融合,都能让企业得到更完善、更多层次保障;借由通过验证,也可对外展现对客户资料保护的承诺,同时透过第三方机构的评估,了解还能如何再进步。
NIST CSF能成为跨部门沟通语言
在资安威胁不断演变的当下,金融保险业经常成为骇客的目标,主管机关与投资人对于资安治理的要求越趋严格,各界对企业资讯安全的透明度和可靠度,也有更高的标准。
富邦人寿资讯安全处协理赖居正表示,资安单位在企业内部有时被视为「比较庞大、较难沟通」的角色,因为要跟大家强调资安的重要性,可能被视为制造「麻烦」或导致专案进度变慢。
然而,金融业的环境相当敏感,主管机关每年都会有新的规范与要求,客户对于个资保护的期待值也很高。赖居正认为,长期下来,如果没有一个具体且一致的框架来做沟通,内部的人员就会感到很困惑,甚至认为资安的要求是「多头马车」。
富邦人寿早在2018年就成立资安专责单位,并且开始思考资安到底要做什么。赖居正坦言,虽然ISO 27001符合主管机关的资安要求,但他认为,在对内、对外的沟通,以及更高层次的管理与治理上,ISO 27001并不够,还需要更完整的框架才行。
台湾金融业是主管机关高度监管行业,面对主管机关各方面的资安要求,以及社会大众对金融产业极高的信任要求,该公司也观察到:国际有越来越多的大型企业,开始引用NIST CSF资安框架,以此说明自家资安治理的成熟度。
「身为银行保险业的一份子,富邦人寿不仅希望能够跟上国际的趋势,甚至要走在前端,这也让该公司更加坚定导入并通过NIST CSF验证的决心。」赖居正说。
因此,对于富邦人寿而言,NIST CSF资安框架的采用,不只是资安团队的工具,也是一种和管理层、和资讯部门对话的「共通语言」,能明确区分各项措施属于哪个面向,也能更容易和资安单位、资讯部门,以及公司高层沟通。
赖居正表示,2021年后,NIST CSF已用到公司财务报告及ESG报告的架构,「透过NIST的CSF资安框架,可以更有系统地呈现富邦人寿在资安治理上的进展。」赖居正说。
富邦人寿在总经理陈世岳(前排中)的支持下,由资安部门花费十个月的时间与心力,自行导入美国NIST CSF网路安全框架,让该框架成为全公司、跨部门沟通资安的共同语言。(摄影/洪政伟)
NIST CSF导入有赖于跨部门合作
富邦人寿最终顺利通过NIST CSF验证,但是,这个过程的进行并非一帆风顺。金融业常见的复杂系统及合规的要求,使得导入NIST CSF资安框架需要跨部门的高强度合作,包括资讯部门、资安单位、风控,以及审计稽核等。
此外,NIST CSF资安框架虽然脉络清晰,但要落实到实务中,需要对组织的人员架构、既有流程和企业文化做出部分调整。例如:在辨识(Identify)阶段,需要盘点企业所有关键资产与风险范畴,过程当中经常涉及不同系统的负责人;在保护(Protect)阶段,需要资安政策、技术工具,以及教育训练的支援,员工对新流程的接受度也是关键。
在侦测(Detect)阶段,需要部署更全面的监控系统,例如:异常流量分析系统、入侵侦测/防御系统等;而在回应(Respond),以及复原(Recover)阶段,则需要与各部门保持顺畅的通讯机制,一旦发生意外事件,可以在最短时间内聚合资源,将影响降到最低。
面对这些挑战,黄文解表示,富邦人寿透过多次跨部门会议及内部教育训练,让每位员工逐渐理解:资安并非「只有资安部门在管」的议题,而是整个组织共同的责任。
当然,各项制度的落实也非一蹴可几,而是持续循环的过程,赖居正表示,从最初的评估到最后的验证,富邦人寿就用十个月的时间,一步步累积经验,奠定了这次成功验证的基石。
NIST CSF可协助与内外部利害关系人之间的沟通
富邦人寿对于通过NIST CSF资安框架的验证,设定了短期和长期目标。黄文解表示,短期目标有二:首先是「与内外部利害关系人沟通」,借由通过NIST CSF验证,对内,让管理层、员工都能更清楚知道:「我们现在哪些网路安全的措施已经到位?接下来还有哪些必须提升的空间?」;对外,可以借此向主管机关、股东,以及客户证明,更清楚了解该公司在资安保护方面的投入,以及具备的能力。
黄文解进一步解释,透过导入NIST CSF资安框架,对内做到重新检视公司资安成熟度,并且透过系统化的风险管理架构,让员工跟资讯部门之间的合作更紧密;让公司同仁对资安认知更为深刻,知道好在哪里、不足在哪里,因而能朝特定目标改善。
对外而言,寿险保户在意的,就是个资与交易资讯能否安全无虞,他指出,过去很多保户或许对「网路投保」心存疑虑,当富邦人寿能拿出NIST CSF验证来做背书时,对于打消顾客疑虑、让他们愿意尝试线上投保,具有不容小觑的引流效果。换句话说,他认为,资安验证并非只是一纸证书,而是能在营运端创造真实的价值,对于该公司推广网路投保等线上业务具有正向效益。
赖居正则表示,当富邦人寿将作业流程统整到NIST CSF的五大构面后,方便清楚定义每一起资安事情和资安措施,究竟是「识别」、「保护」、「侦测」、「回应」还是「复原」等不同面向,可以让每件事情的归属更清楚。
比方说,假设今天管理高层提出问题:「富邦人寿在保护(Protect)阶段当中,做了哪些措施?」或者「如果遇到突发状况,回应(Respond)机制是什么?」赖居正表示,透过NIST CSF资安框架,就可以给予立即、明确的答案,并用一张完整的图像呈现。
另外他也举例,像是主管机关提出不同的资安要求时,该公司就能透过五大构面,厘清到底是哪一个构面需要补强,也能够和资讯部门、营业部门等不同单位,在同一个脉络下讨论,不会显得资安部门好像是来找大家麻烦的。
其次,也能借此自我检视与外部评估,黄文解指出,经由第三方机构进行客观的稽核,不仅可确认该公司目前的资安成熟度是否符合国际标准,还可以进一步扩大验证范畴,强化网路安全的防护措施。
黄文解认为,该公司内部过去也曾做过一些成熟度评估,但透过第三方验证,可以更公正客观地协助该公司找到合适的定位。「这一部分不仅仅是一种『合规性』的保障,更是一种自我检核。」他说。
赖居正补充说明,富邦人寿2023年想更进一步了解相关的资安措施:到底做得好不好?够不够?又该如何评估?他发现,单纯靠ISO 27001的定期内稽、外稽,这种只能知道「通过」或「不通过」的验证方式,对于该公司提高资安防护水准的作为是不够的。
为了更具体了解富邦人寿的资安成熟度,以及接下来该如何完善,赖居正表示,该公司便积极寻找合适的资安框架,以及类似BSI这样的第三方验证单位,以客观、第三者角度更深入审核,让富邦人寿真正掌握该公司实际资安成熟度,也可以知道同业的水准与企业的资安最佳实务为何,诚实面对可能有疏漏或缺口的部分。赖居正坦言,这其实就是富邦人寿导入NIST CSF的最大动机:希望提升资安治理能力,并以客观的方式取得证明。
黄文解表示,NIST CSF 1.1资安框架有五个构面,可用以检视现有的资安成熟度,在短期内,该公司希望透过验证,向各方展现富邦人寿在保护客户资料上的用心与能力;同时更清楚地了解自身在网路安全方面的不足,并从第三方的角度,得到诚实而客观的建议;更重要的是,可以透过这个过程,让组织的安全策略与行动更加扎实。
将资安的成熟度从普遍能够达到的第三级,再往上提升
长期而言,富邦人寿所订出的目标有三个,黄文解表示,首先,全面提升资安成熟度,将NIST CSF资安框架的各项控管机制融入日常营运当中,持续追求更为高阶的资安成熟度,让企业和组织的资讯安全水准可以做到与国际同步。
黄文解也透露:「就目前的评估结果来看,富邦人寿在部分面向已达第四级(注:一般NIST CSF成熟度有五级);多数属于第三级。」他指出,未来该公司希望能把所有资安构面的成熟度,都提升到第四级,甚至挑战第五级。
其次,培育资安人才与资安专业,除了建立资安制度,更重要的是,要投资在资安专业人才与相关的资安培训上,促使员工能够透过持续进修与验证,紧跟全球资安发展趋势。「这不仅是管理制度的升级,也包含人员的教育训练与专业能力的养成。」黄文解说。
第三,展望未来,NIST CSF 2.0版本先前已经问世,而在新推出的版本中,更加强调「治理(Governance)」构面,包括:高阶管理阶层的参与、策略与政策拟定,以及监督与报告机制等。
随著政府主管机关也不断关注生成式AI、区块链、云端服务等新兴领域的资安问题时,赖居正表示,若无法妥善将资安问题融入技术应用的初期,便有可能在后续发展留下资安风险。因此,该公司也借由NIST CSF框架,可以更快把新议题纳入既有框架进行评估,确保企业能随著趋势演变而持续进步。」
他也补充说明,最初该公司要导入NIST CSF资安框架时,主要想要梳理资安单位该做什么,接著,才能够更有效地和公司内部各部门,尤其是资讯部门的沟通协作。随著NIST CSF资安框架发展到2.0版本,更加强调「治理」这个构面时,他认为,对于资安部门而言,透过NIST CSF资安框架,反而可以更轻松地向总经理与董事会报告各项资安策略,以及相关成果。
赖居正指出:「未来像生成式AI等新兴议题,也能放在NIST CSF这个共同资安框架,进行风险的『识别、保护、侦测、回应与复原』。」
花10个月冲刺导入进度,从零开始、最终成功通过NIST CSF验证
富邦人寿资讯安全处经理曾淑玲回忆,整个验证的筹备期,长达十个月左右。她提到,刚开始,该公司曾经想找外部顾问来协助导入NIST CSF验证,但在台湾没看到真正导入成功的案例,加上没找到合适的顾问,所以,最后决定由富邦人寿资安处的内部同仁负责,执行通过NIST CSF验证的专案。
曾淑玲指出,过去该公司在导入资安国际验证,或资安框架制度,例如BS 10012等验证导入,都颇有经验,加上部门主管信任的前提之下,花了十个月,包含差异分析、弱点补强,以及和台湾BSI(英国标准协会)进行高度合作的过程,从预审再到正式验证,一路都非常紧凑。
在准备NIST CSF验证的过程,曾淑玲表示,分成几个重要阶段。第一阶段先进行差异分析与策略制定,先完成差异分析,再根据分析结果进行弱点补强。
曾淑玲指出,由于NIST CSF在台湾,先前只有一个通过验证的企业导入案例,企业若直接向验证单位提出要求,却对自身状况毫无头绪,很可能因时间不足或问题过多,导致整个过程吃力不讨好,「前期的自评与组织沟通尤为关键。」她说。
赖居正补充指出,富邦人寿刚开始寻找相关辅导资源时,发现台湾其实找不到真正熟悉NIST CSF验证的辅导顾问,若只是针对条文内容、照本宣科,资安处同仁甚至比外部顾问更了解自身企业运作逻辑。
曾淑玲表示,公司最后选择自行导入NIST CSF验证,关键是借助该公司资安部门同仁,先前有丰富的国际资安验证(如BS 10012)导入经验,加上熟悉规则、掌握制度导入的门道,并且与台湾英国标准协会(BSI)保持密切合作,才能顺利完成任务。
赖居正也提及,NIST CSF资安框架的验证,比起ISO 27001资安管理系统,两者之间其实还是存在许多细节上的差异,「所以,富邦人寿必须和台湾BSI进行反复讨论后,才能真正厘清条文所要表达的精神。」他说。
第二阶段就是:进行前期评估与模拟验证。赖居正表示,他们先邀请台湾BSI以「模拟考」形式先做一次预评估,可以让富邦人寿更快速了解,第三方验证单位在验证过程中,到底重视的内涵是什么,以及更清楚区别NIST CSF资安框架的跟ISO 27001的差异性。
台湾BSI指出,NIST CSF资安框架跟ISO 27001之间,有九成的重叠,前者更强调实际的控制措施与网路弱点分析。赖居正表示,因为透过该次预评,该公司更清楚「应该补强哪些环节」,才能在去年(2024年)9月正式查核时,最终以零缺失通过台湾BSI验证。
第三阶段就是:教育训练与内部沟通。富邦人寿资讯安全处副处长陈慧玲强调,ISO 27001的基础,为此次验证提供了重要支撑,同时针对内部差距分析进行全面教育训练,帮助各部门降低导入NIST CSF资安框架的阻力。
当初ISO 27001刚出现时,有些企业完全依赖顾问写文件,内部却不真正了解要做什么?为什么这样做?即使拿到证书,也难以对实际资安运作带来帮助。
赖居正表示,同理,企业想真正落实NIST CSF框架,需要内部的资安人员、资讯人员、甚至风险管理单位一同参与,才能真正把NIST CSF资安框架融入日常营运。