認識資安框架：給資安人員的指南

現今的威脅態勢，早與五年前、十年前，甚至是二十年前截然不同。網路安全就如同其它技術一樣，不時在變遷；若進一步考量到你服務的機構的需求與可用的合規要求，這項任務對 IT 與資安團隊而言，可說是無比艱鉅，他們不僅需要減輕基礎設施面臨的風險，同時還得確保在資料安全與使用者隱私間取得平衡。

幸好，機構可以透過「資安框架」來強化自身的資安態勢：

• 使流程更加順暢
• 將風險降至最低
• 符合規範
• 透過政策來實施最佳做法

什麼是網路安全框架？

Webb 在研討會中引用了 Secureframe 的解釋，「網路安全框架可定義與安全控制內容建立和維護相關的政策與流程」。

更直白一點來說，「網路安全框架提供了機構建立與維護資安計畫的詳細教學」，就像建商在蓋房子時，需要參考建築藍圖的細節一樣。

網路安全框架在當今數位環境下的重要性

如前所述，資安環境瞬息萬變，在機構中保護裝置、使用者及資料的需求、工具、實踐方法還有流程，都需要與時俱進，避免潛在風險遭威脅人士濫用，進而導致發生資料外洩，以及更多難以設想的後果。

機構中的網路安全框架扮演的角色其實相對容易理解：網路安全框架可提供機構一個抵禦大量威脅因子的系統化辦法，此框架可協助機構斷定該導入甚至是配置哪種政策、流程或控制內容，以確保在機構中貫徹最強健的保護層。

Webb 也深入探討各資安框架各自所屬的類別，而各類別底下又分成更多的子類別，每一個別都具備不同等級的防護能力，讓你輕鬆找到與你的需求匹配的那一個。還有，雖然某些框架抵禦威脅的範圍較為籠統，但是也會有一些框架是專門為某個產業所設計，比如醫療產業適用的「健康保險流通與責任法案」(HIPAA) 和金融機構適用的美國金融業監管局 (FINRA) 相關規範。

資安框架為什麼重要？

就減緩網路威脅而言，資安框架佔舉足輕重的地位，因為它清楚的給出應導入政策、流程及資安控制內容的途徑，所有常見問題，它也都能給出解答，省去猜測的疑慮，例如：

• 該使用的工具
• 解釋使用這些工具的原因
• 應採用的設置
• 如何透過這些工具來達成規範要求

資安是一個讓許多機構頭痛的問題，資安防護是一段旅程，而非終點，但即便了解這些，也無助於確保端點設備安全或使機構合規。資安框架這時可就機構的需求安排優先順序，減輕負擔，幫助機構做出決定，並建立類似系統的機制，讓 IT 與資安團隊在完整端點生命週期的每個階段，都有參考的依據。

讓我們舉為客戶提供投資服務的金融機構為例。由於金融業為高度監管產業，因此遵守資安框架規範對於被歸類在金融業的企業來說有多麼重要，這個不必我多說。其中一項規範，就是對通訊軟體的監管，像是規定通訊平台的密碼強度、限制裝置與平台類型，還有可允許使用的對象等，這些雖然是細節，但卻十分重要的金融規範。

在上述情境中，一名員工使用個人裝置來處理受到保護的金融交易資料，但卻以未受到保護的 App 來傳輸，這也可能成為調查事件，而這樣不安全的業務流程更可能招致上百萬美元的罰鍰。這麼說雖然有些像在製造恐慌、不確定性和猜疑 (FUD)，但以上的「假想情節」，實際上是取自去年九月擴及整個金融界的事件，當時共有 16 間 Fintech 公司因為不遵守美國的聯邦證券法，最後遭處以 11 億美元的罰鍰。而這場事件只是眾多之中的冰山一角，在此我們只想以此示意，選對並確實遵守資安框架的重要性，如此才能確保在不侵犯隱私、不影響生產力和設備安全的情況下，永續經營企業。

為你的機構選對資安框架

在開始遵守規範前，首先得確立要遵守哪個規範，更準確的來說，要選擇「妥當」的規範。在做出抉擇時，你可以考量以下要點：

• 是否可改善作業效率
• 產業的合規要求
• 是否可降低資安風險
• 規模越大的機構，可能需要不止一個框架
• 系統與機敏資料的需求

每個機構都不該輕視這個決定，選擇對的、適合的框架，成效將事半功倍。嚴謹的資安配置與包辦裝置管理、身分識別及資安防護的全方位解決方案，不僅能確實為你特殊的生態系統提供完整支援，還能抵禦最新型的資安威脅，並依據產業的標準化流程、政策及實踐方法來實施合規要求。