iThome

NIST資安框架(或簡稱CSF)是近年來在歐美受到高度重要的一個網路安全框架,五大面向包括了識別、保護、偵測、回應與復原,涵蓋網路安全風險管理的生命週期,。這個由美國國家標準技術研究所(NIST),提出的作法,早在2017年,美國政府就要求,聯邦政府機關都必須導入這套框架。而且,不只美國,其他國家的政府,如英國、義大利、以色列或亞洲的日本,甚至是不少跨國大型企業也紛紛跟進導入,如日本關鍵基礎設施跨產業聯盟(如NEC、NTT、Hitachi等40家日本集團)早在2015年就導入。

為什麼CSF這麼受到重視?它不同於國際公認的ISO 27001講究建立完整資安管理制度,而同樣從風險角度來設計CSF,卻格外重視容易執行、靈活彈性。

iThome在去年中,也製作了封面故事「NIST網路安全框架當紅」來介紹這套企業級資安防禦的新指南。但我們更好奇的一件事是,臺灣有沒有企業想用?所以,在今年iThome資安大調查中詢問臺灣大型企業的採用動向。

根據今年資安大調查結果,今年資安投資重點中,臺灣企業整體平均有3.8%要採用CSF,從產業別來看,以政府機關學校(10.3%)最多,高達一成,這也意味著,CSF將成為政府機關新興的資安框架之一,不只是少數機關的超前嘗試而以。高科技製造業也有7.7%的企業想用,這個比例還高於向來格外重視資安的金融業。2年前,台積電產線中毒事件,讓高科技製造業者深深的體會到資安威脅的無孔不入,以及遭入侵後的風險之高,但要找到一套可行的資安防護作法,不是容易的事,27001對高科技業者來說,也是一個龐大的負擔和挑戰,高科技業者的IT投資遠不如金融業,在資安上的預算和資源,也遠遠不足,但現在一樣都會面臨到營運中斷(產線中斷)的超高風險,容易上手又涵蓋完整的CSF,就成了高科技業者的一帖解方。所以,從這次調查可以看到高科技業者採用意願甚至比金融業還來得高。

金融業者看似只有5.7%的企業想用,但從另一個角度來看,各產業中,資安投資和防護程度都相當講究,甚至可以說,產業相比,金融業的資安做得比其他產業得好,連資安優等產業也都要開始重視CSF,由此可見CSF對已經做得很好的企業,也有可借鏡之處。另外,在這次調查中也看到,醫療和一般製造業還沒有採用的企業。

整體來看,2020年企業資安投資重點排名上,網路安全和IT基礎架構防護仍分站一、二名。郵件安全(37.5%)和異地備援(33.5%)需求則明顯大增,都各有3成多的企業,列入今年投資重點。另外,一些新興的國際資安作法,也開始在臺灣受到更多大型企業的重視,例如紅隊測試(3.5%)、威脅獵捕(2.9%) ,以及想要推出漏洞獎勵計畫的大型企業也有1.6%。推動成果如何,值得關注,這些在國外逐漸風行,甚至像漏洞獎勵計畫幾乎成了知名科技公司的資安必備手段,藉助全世界的資安專家、駭客高手來幫自己找漏洞,借世界之力使自己的資安更加穩固,而臺灣企業則才剛起步。

 問卷執行說明 
以臺灣2千大規模的企業,搭配iThome歷屆CIO大調查企業、政府一級機構、大專院校IT和資安主管,進行線上問卷調查。調查時間1月20日到2月20日,有效問卷數373份。73.4%填答者是企業資安最高主管。

iThome 2020 資安大調查

iThome 2020 CIO大調查(上) 數位轉型加速,驅動IT投資成長

iThome 2020 CIO大調查(下) 企業數位轉型布局多樣化,加速搶進新科技


Advertisement

更多 iThome相關內容