資安之路 - 資安標準 & 框架 - 1
資安標準:系統化地看待標準
😺何謂資安標準?
資安標準是為了確保資訊安全而制定的規範與準則,旨在降低網路攻擊風險、保護資料完整性、確保系統可用性,以及維護機密性。
常見的資安標準有很多,而這些標準通常由國際組織、政府機構或產業聯盟制定,以指導企業、機構及個人如何有效實施資安措施。
💜為什麼我們需要它?
這是一個相當有趣的問題,大家可以想想看已經紅了很久的議題: 數位轉型。
不知道讀者們有沒有想過: 當我們執行了數位轉型,會有什麼連帶的影響?
是變夯了? 變潮了? 還是資安威脅變多了 XD
數位轉型確實帶來了許多便利,但也讓網路威脅的攻擊面大幅擴張。企業需要確保新技術的安全性,而這正是資安標準存在的意義。
我們可以從以下的層面來看:
降低資安風險:透過標準化的安全控制措施,減少攻擊面。
符合法規要求:許多國家與產業要求遵守特定資安標準,如 GDPR(歐盟一般資料保護規範)。
提升信任度:遵循標準可向客戶、合作夥伴及投資者展示資訊安全能力。
簡化安全管理:標準提供明確的指南,使組織能夠系統化管理資安。
👾常見資安框架/標準
筆者在此介紹一個標準 & 一個框架來讓讀者有個初步的認識 ~
簡單來說:
- 這是一個國際標準,指導企業如何建立資訊安全管理機制,確保資料不外流、不被攻擊或意外遺失。
- 它的核心是風險管理,強調先找出可能的安全問題,然後降低風險。
- 適用於任何組織,無論是企業、政府機構,甚至學校,都可以用來強化資安。
重點
✔️ 風險評估:識別組織內的資安風險,例如:資料外洩、駭客攻擊。
✔️ 安全控制:建立標準流程來防範這些風險,例如:存取權限管理、定期審查、備份機制。
✔️ 持續改善:透過內部稽核與資安評估,確保企業安全機制符合標準。
簡單理解:
ISO 27001 就像是一套公司資安管理規則,確保企業內部對資訊安全有一套明確的方法來執行與監控,而不只是隨機處理資安事件。
不同版本的 ISO 27001:演進與變化
💫 ISO 27001:2013(舊版)
包含 114 項控制措施,分為 14 個領域(如存取控制、密碼管理、營運安全等)。
著重於風險管理,確保企業識別、評估和降低資訊安全風險。
適用於各類型組織,但當時的技術環境還不包括現代雲端服務與新興資安威脅。
💫 ISO 27001:2022(最新版)
控制措施減少為 93 項,將原本 14 個領域 重新整理為 4 大類:
♢ 組織控制(政策、角色與職責、供應鏈安全等)
♢ 人員控制(人力資源安全、資安教育訓練)
♢ 實體控制(實體安全監控、設備保護)
♢ 技術控制(存取管理、密碼學、安全配置等)
新增 11 項現代資安控制,涵蓋:
♢ 威脅情報(Threat Intelligence)
♢ 雲端安全(Cloud Security)
♢ 資料刪除(Data Deletion)
♢ 防止資料外洩(Data Leakage Prevention)
♢ 安全程式設計(Secure Coding)
等等...
更貼近當代企業的 雲端架構與網路安全需求,強調 監控、應變與持續改進。
NIST CSF(美國國家標準暨技術研究院 網路安全框架)
簡單來說:
- 這是美國政府制定的一套資安框架,幫助企業評估、強化和管理網路安全。
- 主要針對網路安全防護,適合有 IT 系統、伺服器的組織,確保能夠防禦攻擊並迅速回應。
- 主要分為五大核心步驟:
1️⃣ 識別(Identify):找出企業內所有需要保護的資產(系統、資料、設備)。
2️⃣ 保護(Protect):透過加密、防火牆、權限管理等方式來加強安全。
3️⃣ 偵測(Detect):建立監控機制,偵測異常活動或攻擊。
4️⃣ 回應(Respond):一旦發生資安事件,確保能夠快速反應並降低影響。
5️⃣ 復原(Recover):確保系統可以迅速恢復正常,並減少損害。
主要重點:
✔️ 即時監控:透過 SIEM、IDS/IPS 等技術,偵測異常行為。
✔️ 事件回應:建立清楚的 SOP,確保組織遇到攻擊時知道該怎麼處理。
✔️ 系統復原:確保有完整的備份與復原機制,防止資安事件影響業務運作。
簡單理解:
NIST CSF 更像是一套企業資安防護機制,不只是管理規則,而是實際的安全措施,確保企業不會在發生駭客攻擊時毫無準備。
預告
資安框架與標準涵蓋企業資安管理、風險評估、攻防對抗等各個層面,筆者會在之後多介紹幾項給大家認識 ~
資料來源
https://teamt5.org/tw/posts/what-is-mitre-att-and-ck-matrix/
https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html?utm_source=chatgpt.com
.jpg)
留言
張貼留言