关于网络安全风险与治理的兴起，美国证券交易委员会（SEC）从2022年就有针对上市公司的提案，并在2023年7月正式公布。此后许多资安框架都开始跟进这股潮流，NIST CSF 2.0框架更加重视网络安全治理，就是一例。

落实风险评估更显重要，威胁建模是关键

下一个重要议题，就是网络安全风险的策略与管理。NIST很早就强调CSF是基于风险的架构，在1.1版的23个类别中，也已经提出风险评估、风险管理策略的类别。

但过去大家低估这方面工作的落实，如今CSF 2.0版出炉，相关议题已经变得更加明确。

潘世鸣指出，大家在看待CSF 2.0框架时，光从框架内核的数量来看，好像变动不大，但若进一步阅读相关文档，从整体角度去看，其实意涵相当深远。

基本上，NIST CSF在治理层面强调要做风险评估，要有风险管理的策略，并且是整体性组织的风险评估，但这背后还有个重要观念，那就是：企业在风险评估时需要做威胁建模（Threat modeling），需要确定组织遭受网络安全攻击的威胁可能的路径。毕竟，如果不知道威胁，又如何能看待相关风险？

在潘世鸣的经验中，先前导入CSF框架的企业，虽然都知道要做威胁建模，但他们面临的挑战，在于这方面工作做得不够确实，例如，只是小范围地实施、没有找出应用重点，又或是不够精细与深入。

因此，在2018年CSF 1.1发布后，NIST从2020年10月开始，陆续发布一系列将网络安全与风险管理相结合的出版物，也就是NIST IR 8286系列，全名是「Integrating Cybersecurity and Enterprise Risk Management（ERM）」。

到了2024年发布的CSF 2.0，NIST花了更多篇幅说明如何改善风险管理计划，同时提出更明确的建议，告诉企业可以参考NISTIR 8286（ERM），借此帮助企业了解如何做风险评估，而威胁建模就是其中的重点之一。

潘世鸣进一步解释这里的关联。他说，NISTIR 8286（ERM）这份手册采纳CSF框架的概念，将网络安全与企业风险管理集成得更好，当中不仅提供可依循的步骤，同时其内容也对应3款NIST风险管理文档，包括：SP 800-30r1、SP 800-37r2，以及SP 800-39，以及国际标准ISO 31000：2018的风险管理指南。

换言之，这些都有助于NIST CSF的实施，从定义风险到风险评鉴，接着决定风险的优先级，以及要如何运行相关的监督或规画。

换个角度来看，NIST表示，CSF 2.0可以作为整体企业风险管理（ERM）方法的一部分，因为这有助于企业决策。所以，CSF 2.0与企业风险管理其实是能够相辅相成的。

而在CSF 2.0文档后半段，还谈到网络安全风险与隐私风险的关联，两者其实存在部分交集的情形，因此，NIST指出CSF框架可结合使用NIST隐私框架（NIST Privacy Framework），而对于NIST隐私框架而言，也提供隐私风险评估方法（PRAM）。

关于网络安全风险管理在CSF 2.0的重要性，吴明璋也抱持同样的看法，他强调，资安治理可从资安风险做起。

虽然CSF 1.1就有这方面的内容，但当时没有将控制项突显出来，他认为，现在的CSF框架已将6大核心功能，与4大风险策略选项相结合，也就融合了风险规避、风险移转、风险抵减与风险承担，彼此息息相关。而且，若从2.0版的实施范例的内容来看，关于合约方面的要求也相当丰富。

CSF 2.0版强调治理与网络安全风险管理的重要性，BSI台湾产品经理潘世鸣认为，风险是威胁跟弱点交互产生影响的结果，但大家在风险评估当下，往往忽略要将结果也一并纳入考量。／BSI

应找出关键业务流程与系统，而不是只有关键系统

除了强调威胁建模的重要性，潘世鸣在风险管理与评估的经验中，认为企业必须运行许多任务作，除了识别资产、产生数据流向图，到分析网络安全威胁，因此他也从实务面与策略面提供建议，说明找出关键内核基础架构的好处与必要性。

他强调，针对「关键的业务与系统」去识别盘点，比起全面盘点更有意义。

但他也特别提醒，对于关键基础架构一词，大家要有更精确的认识。一般而言，所谓关键内核基础架构（CI），大家通常联想的是油水电，又或是关键内核信息系统。

但是，对于企业自身而言，所谓的关键内核基础架构，指的应该是企业的生财工具，也就是：关键业务与流程，再加上支撑关键业务的信息系统。

因此，在进行风险策略评鉴时，先找出关键业务，之后再进行威胁建模、数据流的建模，从中找出威胁与风险，思考关键业务或信息流遭受攻击会如何处理，才能做好CSF 2.0，甚至是做到零信任的网络安全策略。

潘世鸣强调，由于治理是更符合老板语言的角度，从治理层面去谈网络安全风险评估，并从关键的生财工具角度去切入，这对于背负企业营运赚钱压力的老板而言，将形成相当务实的沟通。

事实上，在NISTIR 8286（ERM）文档中，亦阐释组织管理的运作方式，强调需从企业层级（Enterprise Level）、组织层级（Organization Level）、系统层级（System Level），需要从这三个层级分别与交互看待。

就潘世鸣的观察，台湾普遍企业组织存在的重大问题在于，只有重视系统层级，却忽略了上面两个阶层。

吴明璋也点出国内企业可能存在一些不正确的观念，需要调整。例如，有的台湾老板认为，风险管理只是Paper Work这样的文书工作，这并没有达到说、写、做合一；有的老板误以为IT与资安部门做就好，但CSF推动是要全公司进行，并要有企业风险管理的概念。

关于NIST CSF框架的实施，风险策略评鉴时，企业要重视组织运作方式，因为在NISTIR 8286（ERM）文档，强调需从企业层级、组织层级、系统层级看待。BSI台湾产品经理潘世鸣指出，台湾企业组织推动这项工作的最大问题，在于只重视系统层级。／NIST

在治理层面之外，新版CSF有哪些企业必须重视的改变？

潘世鸣表示，在CSF 2.0的内容中，主要是将1.1版中重复且未能妥善连接运用的部分，重新进行集成与细化，但有一些部分值得企业重视。

例如，在识别方面，所有组织应该都要针对关键业务CI保护，没有的话就是企业组织没有识别出来；在保护方面，NIST现在使用平台安全（Platform Security）一词，来涵盖硬件、软件，以及实体或虚拟平台的服务，这也是较为特别的差异。

在复原方面，NIST强调的是组织如何快速复原，但大家常误以为系统快速复原。事实上，从回应与复原的沟通对象与面向来看，回应是指内部针对相关攻击事件回应，复原是指企业高层对外界的回应。

吴明璋也指出，保护方面的变化也很大，包括身分管理与身分验证与存取控制、意识与培训、资安安全等类别，其内容变动比例都有超过5成，并且还添加了平台安全、技术基础设施韧性。他认为，这方面很多内容可以参考国际标准ISO 27001，因此有许多的整并。

而在回应、复原方面，他认为CSF 2.0算是重新定义资安事件应变（IR），遭受攻击后企业的改善，以及企业学到的教训都需要提出，重新回到网络安全的识别。

Community Profiles是新进展，建议台湾企业积极参与

至于CSF框架的轮廓（Profile）与实施层级（Tier）方面，两者依然是重要的概念，但变化不大。

例如，以创建组织轮廓而言，1.1版原本提供7大实施步骤，2.0版简化为5大步骤，实施层级依然分为4层。

较值得关注的新进展，令人意外的竟是近期一场工作坊活动，在6月下旬，NIST NCCoE举办CSF 2.0的Community Profiles Workshop。

Community Profiles能够做什么？吴明璋建议企业可设想为：创建产业供应链，因为有些领域是第二层供应链、复杂度高。因此NIST就是要帮助特定群体，量身打造不同的Profile设置档，并且开放外界投票，以选出优先要制定的类型。

吴明璋在参与工作坊时发现，大家投票的项目，竟然是高性能计算、智能家居，超乎他原先的设想，因此他认为，台湾的供应链应该要积极参与，不仅帮助发展符合我们的项目，也可成为产业上的领先行动者。

越来越多企业导入NIST CSF框架

关于NIST CSF框架的采用，以台湾而言，根据上市柜公司的年报或ESG报告，已有一些企业导入，包括日月光、台积电、联发科、纬创等，甚至有上市公司已经进一步取得CSF认证，那就是中菲行国际物流集团。

放眼全球，美国、欧洲、日本都有企业导入CSF。BSI潘世鸣表示，荷兰半导体设备大厂ASML就是一例。根据该公司最新公布的2023年报，我们可以看到他们说明已实施相关流程，以识别与应对网络安全威胁，并指出这些流程符合ISO 27002、ISA/IEC 62443，以及NIST CSF所设置的标准。

吴明璋也举例，日本NTT集团全球8百多家分公司，也用CSF框架做集团管理，该公司还会积极参与CSF 2.0版的修订，提供回馈意见。

除了面对国际客户的要求，有些集团之所以积极导入CSF，可能也是为了日后要辅导客户，他们应该也是看重日后市场对于这方面规范的需求。

NIST CSF强调网络安全的回应

近期大家之所以特别关注CSF框架，除了2.0版的发布，另一原因是这几年适逢ISO 27001：2022转版，一些国内企业进行新的验证之余，也会思考如何进一步提升，NIST CSF自然成为关注焦点。

这是因为，ISO 27001:2022已将网络安全作为持续精进必要项目。潘世鸣更是指出，ISO 27001着重信息安全（Information Security），强调内部会有信息安全管理的控制措施，但不会涵盖网络安全的攻防层面，CSF框架聚焦网络安全（cybersecurity），强调外部攻击的整个回应机制，使用方式不同。

目前有哪些领域积极应用NIST CSF？潘世鸣提到，台湾实施的资通安全管理法就与CSF的概念很像，而在金融领域，像是美国联邦金融机构考试委员会（FFIEC）针对该产业的网络安全评估工具，也是以CSF为基础。

特别的是，近年医疗领域也开始关注CSF资安框架，原因在于，美国食品药物管理局（FDA）去年底提出一项要求，他们规范全球医疗器材厂商需交付网络安全计划，也建议医疗机构可应用NIST CSF框架于组织之内，未来也将扩及食品安全业的领域。