NIST資訊安全框架2.0

閱讀時間約 2 分鐘

NIST資訊安全框架(NIST Cybersecurity Framework)是美國國家標準與技術研究所(National Institute of Standards and Technology)所提出的一套資訊安全架構標準。1.0是在2014年正式落實,1.1在2018年公佈。與ISO27001、ISACA 的COBIT與及其他不同國家的標準成為很多機構和企業作為一個有效的資安框架的標準。筆者個人認為,NIST Cybersecurity Framework(簡稱NIST CSF)是一套比較容易達到,而且非常有效的標準(和ISO27001相比,NIST應該是比較容易遵循的了)。

最近,NIST CSF再次成為業界的話題,主要原因是2023年1月NIST公開了2.0的概念文件,並且預計會於2024年尾正式公佈這個新一代的框架。

繼承了1.0/1.1版本的五大範疇:1.識別 (Identify), 2.保護 (Protect), 3. 偵測試(Detect), 4. 回應(Respond), 5. 復原 (Recovery)外,加入6. 治理(Govern)擴展成六大範疇,從而更切合現有企業和機構的實際狀況。

同時,2.0亦強調網絡安全的重要性。過去數年,隨着互聯網的基建成熟、5G移動網路普及、雲端普及、CPU性能過剩、AI發展等等客觀因素,這些因素都是雙面刃,一方面令企業的基建更好,另一方面亦令駭客成本門檻更低。舉例說企業用雲端方案輕鬆擴展IT環境,但同時雲端計算亦方便了有心利用其強大和便宜簡單建構進行攻擊部署。因此網絡安全問題日漸令人關注,在2.0裡亦有更多方面的涵蓋。

很多人誤會,以為NIST的資安框架只對美國境內企業,或者屬於美國資本相關的企業才會使用,與ISO是一個全球性的中立公認標準不同。但其實因為NIST的實踐性和框架的開放高度,更多企業或機構是在沒有任何需要導循的法規或業界標準時,更樂於採用NIST作為他們的資安基底。

其實在很多在資安上未有很深紥根的機構,筆者一向不建議直接就去到ISO27001/31000等的標準,因為要投入的資源對機構負擔太重,文件可能太艱深也太抽象。反而使用NIST是一個很好的框架。除了前文提到NIST是比較容易遵循外,文件上會比較簡要也容易明白,同時出來的效果亦很好。同時間,因為它不是一個要去考證照的流程,也不是法規,所以亦展現了它一定程度上的彈性。

而事實上,不論機構使用何種資安框架,其實有很多共通性。有資源進行雙框架驗證固然是好,可以透過多於一個框架、不同角度去驗證機構的資安能力。如果起步階段,或者想以最少投入的人力和時間,NIST CSF無疑是一套容易實踐,並不需要具備太多資源而又能向做好資安方向前進的好框架。

12會員
61內容數
筆者有多年的品飲經驗,持有WSET及國際唎酒師認證,希望將品飲的樂趣介紹給讀者。 這個出版專題會以簡單易懂、親民價格的清酒作為分享內容,謝絕太專業向及高價逸品。同時筆者亦會就近年越受重視的資訊保安進行由淺入深的分析,跟進趨勢。 相信大家都能輕易進入的才是領域的真正門檻。
留言0
查看全部
發表第一個留言支持創作者!
左先生的沙龍 的其他內容
過去一週,在Linux或是Open-source(開源)社群有一單很轟動的新聞。就是一個名為XZ Utils的開源軟體被植入Backdoor後門程式。事件嚴重的原因,除了是這個軟體被很多大型的Linux分支所採用外,這次事件的元兇被非在重新上傳或在分發時動手腳,而是在源頭做手腳。
香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告 報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html) 事件源於數碼港向私隱專員公署通報資料外
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
不論企業使用的伺服器和客戶端是使用何種作業系統,定期更新補丁是必不可少的。 這道理仿如真理,因為世界上還沒有一個作業系統是完全沒有漏洞的,只要有漏洞被發現,就要推出補丁,作為使用者的角色就得決定是否安裝。 筆者曾經和一些決策層交談,他們未必是IT業者,但也懂得補丁要越快更新越好。但其實這觀點並不
數天前,香港發生了一宗涉及2億港元的騙案。騙徒假冒一間跨國公司海外總部的CFO,要求分行財務人員參加一場機密會議,騙徒透過深偽技術生成虛擬短片,在「視像會議」上向職員作出「投資」指示,要求轉賬大額金錢至不同戶口......
A few days ago, a fraud case involving HK$200 million occurred in Hong Kong. The scammer pretended to be the CFO of a multinational company's overseas
過去一週,在Linux或是Open-source(開源)社群有一單很轟動的新聞。就是一個名為XZ Utils的開源軟體被植入Backdoor後門程式。事件嚴重的原因,除了是這個軟體被很多大型的Linux分支所採用外,這次事件的元兇被非在重新上傳或在分發時動手腳,而是在源頭做手腳。
香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告 報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html) 事件源於數碼港向私隱專員公署通報資料外
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
不論企業使用的伺服器和客戶端是使用何種作業系統,定期更新補丁是必不可少的。 這道理仿如真理,因為世界上還沒有一個作業系統是完全沒有漏洞的,只要有漏洞被發現,就要推出補丁,作為使用者的角色就得決定是否安裝。 筆者曾經和一些決策層交談,他們未必是IT業者,但也懂得補丁要越快更新越好。但其實這觀點並不
數天前,香港發生了一宗涉及2億港元的騙案。騙徒假冒一間跨國公司海外總部的CFO,要求分行財務人員參加一場機密會議,騙徒透過深偽技術生成虛擬短片,在「視像會議」上向職員作出「投資」指示,要求轉賬大額金錢至不同戶口......
A few days ago, a fraud case involving HK$200 million occurred in Hong Kong. The scammer pretended to be the CFO of a multinational company's overseas
你可能也想看
Thumbnail
八十-二十法則提到,在多數生活的現象中,約80%的效果是來自於20%的原因,除了經濟學、學習理論外,這個法則同樣也可以應用在生活中的幸福感上。 我們需要認知到擁有的越多不一定會越快樂,反而有可能會因為無法專注在少數事物上而產生空虛、迷茫的感覺。「極簡」精神最重要的一點在於放下對於「多」的執著,將有
Thumbnail
1.加權指數與櫃買指數 週五的加權指數在非農就業數據開出來後,雖稍微低於預期,但指數仍向上噴出,在美股開盤後於21500形成一個爆量假突破後急轉直下,就一路收至最低。 台股方面走勢需觀察週一在斷頭潮出現後,週二或週三開始有無買單進場支撐,在沒有明確的反轉訊號形成前,小夥伴盡量不要貿然抄底,或是追空
Thumbnail
近期的「貼文發佈流程 & 版型大更新」功能大家使用了嗎? 新版式整體視覺上「更加凸顯圖片」,為了搭配這次的更新,我們推出首次貼文策展 ❤️ 使用貼文功能並完成這次的指定任務,還有機會獲得富士即可拍,讓你的美好回憶都可以用即可拍珍藏!
Thumbnail
NIST 800-88 認證與其他抹除標準的全方位比較 索引 引言 NIST 800-88 標準要求 四大抹除標準比較 該使用何種抹除標準? Q&A 引言 NIST 800-88,全名為《信息安全手冊》的第800-88號文件,是由美國國家標準技術研究所(NIST)所發布的一項
Thumbnail
科技力 硬碟清除大解密-3種資料清除工具守護您的資訊安全 當您計畫處理或售出您的舊硬碟或電腦時,您必須確保您的個人資料得以妥善處理,以免敏感資料不慎流落至不當之處。本文將深入介紹如何有效進行硬碟資料清除,確保您的資訊永久無法恢復。我們將探討各種不同的硬碟清除方式、選擇適合的工具和軟體,並提供清除
Thumbnail
文部科學省 科學技術・學術政策研究所 (NISTEP) 以作為研究成果的論文,針對日本及主要國家的科學研究進行多元視角的基礎化分析。
Thumbnail
數位信任治理生態(Digital Trust Governance Ecosystem)是指在數位化時代,為建立可信任的數位環境而形成的整體體系。隨著資訊科技的迅猛發展,人們在數位世界中的交互與交流越來越頻繁,這就使得數位信任變得尤為重要。數位信任治理生態的目標是確保在數位交互過程中,各方能夠信賴彼
Thumbnail
今時今日,人類離不開電子器材已經成為事實。但當人們越來越依賴網上服務時,人們對相對的網絡保安和資訊安全的關注度就遠遠不及電子新玩意了。情況令人憂慮。請大家不要忘了加強及保護企業資訊安全的重要性,不要輕易忽視。
Thumbnail
2019年因為公司職務需要,參加了主導稽核員的訓練並與同時間通過資格考試。訓練為期五天,對於離開學生時期已經一段時間的我,要短時間準備考試備感壓力,但也是很特別的回憶,在這記下當時的感想紀錄:
Thumbnail
在資安團隊長久的努力下,我們可以非常自豪地宣布,SimplyBook.me 現已通過 ISO 27001(Information Security Management System,ISMS)國際資訊安全管理系統的認證!ISO 27001 包含了如何建置及獨立稽核驗證的資訊安全管理系統。這也保障我
Thumbnail
最近談起資安相關的話題時,發現其他人有些觀念可能有待澄清。筆者因為過去的經歷,在這方面也算是有點心得;所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。
Thumbnail
八十-二十法則提到,在多數生活的現象中,約80%的效果是來自於20%的原因,除了經濟學、學習理論外,這個法則同樣也可以應用在生活中的幸福感上。 我們需要認知到擁有的越多不一定會越快樂,反而有可能會因為無法專注在少數事物上而產生空虛、迷茫的感覺。「極簡」精神最重要的一點在於放下對於「多」的執著,將有
Thumbnail
1.加權指數與櫃買指數 週五的加權指數在非農就業數據開出來後,雖稍微低於預期,但指數仍向上噴出,在美股開盤後於21500形成一個爆量假突破後急轉直下,就一路收至最低。 台股方面走勢需觀察週一在斷頭潮出現後,週二或週三開始有無買單進場支撐,在沒有明確的反轉訊號形成前,小夥伴盡量不要貿然抄底,或是追空
Thumbnail
近期的「貼文發佈流程 & 版型大更新」功能大家使用了嗎? 新版式整體視覺上「更加凸顯圖片」,為了搭配這次的更新,我們推出首次貼文策展 ❤️ 使用貼文功能並完成這次的指定任務,還有機會獲得富士即可拍,讓你的美好回憶都可以用即可拍珍藏!
Thumbnail
NIST 800-88 認證與其他抹除標準的全方位比較 索引 引言 NIST 800-88 標準要求 四大抹除標準比較 該使用何種抹除標準? Q&A 引言 NIST 800-88,全名為《信息安全手冊》的第800-88號文件,是由美國國家標準技術研究所(NIST)所發布的一項
Thumbnail
科技力 硬碟清除大解密-3種資料清除工具守護您的資訊安全 當您計畫處理或售出您的舊硬碟或電腦時,您必須確保您的個人資料得以妥善處理,以免敏感資料不慎流落至不當之處。本文將深入介紹如何有效進行硬碟資料清除,確保您的資訊永久無法恢復。我們將探討各種不同的硬碟清除方式、選擇適合的工具和軟體,並提供清除
Thumbnail
文部科學省 科學技術・學術政策研究所 (NISTEP) 以作為研究成果的論文,針對日本及主要國家的科學研究進行多元視角的基礎化分析。
Thumbnail
數位信任治理生態(Digital Trust Governance Ecosystem)是指在數位化時代,為建立可信任的數位環境而形成的整體體系。隨著資訊科技的迅猛發展,人們在數位世界中的交互與交流越來越頻繁,這就使得數位信任變得尤為重要。數位信任治理生態的目標是確保在數位交互過程中,各方能夠信賴彼
Thumbnail
今時今日,人類離不開電子器材已經成為事實。但當人們越來越依賴網上服務時,人們對相對的網絡保安和資訊安全的關注度就遠遠不及電子新玩意了。情況令人憂慮。請大家不要忘了加強及保護企業資訊安全的重要性,不要輕易忽視。
Thumbnail
2019年因為公司職務需要,參加了主導稽核員的訓練並與同時間通過資格考試。訓練為期五天,對於離開學生時期已經一段時間的我,要短時間準備考試備感壓力,但也是很特別的回憶,在這記下當時的感想紀錄:
Thumbnail
在資安團隊長久的努力下,我們可以非常自豪地宣布,SimplyBook.me 現已通過 ISO 27001(Information Security Management System,ISMS)國際資訊安全管理系統的認證!ISO 27001 包含了如何建置及獨立稽核驗證的資訊安全管理系統。這也保障我
Thumbnail
最近談起資安相關的話題時,發現其他人有些觀念可能有待澄清。筆者因為過去的經歷,在這方面也算是有點心得;所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。