認識資安框架:給資安人員的指南

在這部影片中,Aaron Webb 將解說什麼是資安框架以及它的重要性,還有對確保機構安全來說,資安框架扮演著什麼樣的角色。此影片談論的主題包括:建立風險管理與合規最佳做法的重要性、依循符合你服務的機構所需的資安框架所建的資安方案。

August 9 2023 作者

Frameworks surrounding a building being constructed

現今的威脅態勢,早與五年前、十年前,甚至是二十年前截然不同。網路安全就如同其它技術一樣,不時在變遷;若進一步考量到你服務的機構的需求與可用的合規要求,這項任務對 IT 與資安團隊而言,可說是無比艱鉅,他們不僅需要減輕基礎設施面臨的風險,同時還得確保在資料安全與使用者隱私間取得平衡。

幸好,機構可以透過「資安框架」來強化自身的資安態勢:

  • 使流程更加順暢
  • 將風險降至最低
  • 符合規範
  • 透過政策來實施最佳做法

什麼是網路安全框架?

Webb 在研討會中引用了 Secureframe 的解釋,「網路安全框架可定義與安全控制內容建立和維護相關的政策與流程」。

更直白一點來說,「網路安全框架提供了機構建立與維護資安計畫的詳細教學」,就像建商在蓋房子時,需要參考建築藍圖的細節一樣。

網路安全框架在當今數位環境下的重要性

如前所述,資安環境瞬息萬變,在機構中保護裝置、使用者及資料的需求、工具、實踐方法還有流程,都需要與時俱進,避免潛在風險遭威脅人士濫用,進而導致發生資料外洩,以及更多難以設想的後果。

機構中的網路安全框架扮演的角色其實相對容易理解:網路安全框架可提供機構一個抵禦大量威脅因子的系統化辦法,此框架可協助機構斷定該導入甚至是配置哪種政策、流程或控制內容,以確保在機構中貫徹最強健的保護層。

Webb 也深入探討各資安框架各自所屬的類別,而各類別底下又分成更多的子類別,每一個別都具備不同等級的防護能力,讓你輕鬆找到與你的需求匹配的那一個。還有,雖然某些框架抵禦威脅的範圍較為籠統,但是也會有一些框架是專門為某個產業所設計,比如醫療產業適用的「健康保險流通與責任法案」(HIPAA) 和金融機構適用的美國金融業監管局 (FINRA) 相關規範。

資安框架為什麼重要?

就減緩網路威脅而言,資安框架佔舉足輕重的地位,因為它清楚的給出應導入政策、流程及資安控制內容的途徑,所有常見問題,它也都能給出解答,省去猜測的疑慮,例如:

  • 該使用的工具
  • 解釋使用這些工具的原因
  • 應採用的設置
  • 如何透過這些工具來達成規範要求

資安是一個讓許多機構頭痛的問題,資安防護是一段旅程,而非終點,但即便了解這些,也無助於確保端點設備安全或使機構合規。資安框架這時可就機構的需求安排優先順序,減輕負擔,幫助機構做出決定,並建立類似系統的機制,讓 IT 與資安團隊在完整端點生命週期的每個階段,都有參考的依據。

讓我們舉為客戶提供投資服務的金融機構為例。由於金融業為高度監管產業,因此遵守資安框架規範對於被歸類在金融業的企業來說有多麼重要,這個不必我多說。其中一項規範,就是對通訊軟體的監管,像是規定通訊平台的密碼強度、限制裝置與平台類型,還有可允許使用的對象等,這些雖然是細節,但卻十分重要的金融規範

在上述情境中,一名員工使用個人裝置來處理受到保護的金融交易資料,但卻以未受到保護的 App 來傳輸,這也可能成為調查事件,而這樣不安全的業務流程更可能招致上百萬美元的罰鍰。這麼說雖然有些像在製造恐慌、不確定性和猜疑 (FUD),但以上的「假想情節」,實際上是取自去年九月擴及整個金融界的事件,當時共有 16 間 Fintech 公司因為不遵守美國的聯邦證券法,最後遭處以 11 億美元的罰鍰。而這場事件只是眾多之中的冰山一角,在此我們只想以此示意,選對並確實遵守資安框架的重要性,如此才能確保在不侵犯隱私、不影響生產力和設備安全的情況下,永續經營企業。

為你的機構選對資安框架

在開始遵守規範前,首先得確立要遵守哪個規範,更準確的來說,要選擇「妥當」的規範。在做出抉擇時,你可以考量以下要點:

  • 是否可改善作業效率
  • 產業的合規要求
  • 是否可降低資安風險
  • 規模越大的機構,可能需要不止一個框架
  • 系統與機敏資料的需求

每個機構都不該輕視這個決定,選擇對的、適合的框架,成效將事半功倍。嚴謹的資安配置與包辦裝置管理、身分識別及資安防護的全方位解決方案,不僅能確實為你特殊的生態系統提供完整支援,還能抵禦最新型的資安威脅,並依據產業的標準化流程、政策及實踐方法來實施合規要求。

立即觀看完整版線上研討會,了解資安框架可以為你的機構帶來哪些益處。

訂閱 Jamf 部落格

將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。