治理優先:NIST CSF 2.0 的新功能如何將網路風險與 ESG 領導力相連結
這項改變帶來了天壤之別
當美國國家標準與技術研究院(NIST)於 2024 年 2 月發布《網路安全框架》(CSF)2.0 版時,其最重大的結構性變革在於新增了一項全新功能:「治理」(Govern)。這並非微幅修訂或對既有內容的重新命名,而是全球最具權威的標準制定機構之一所發出的明確訊號:網路安全風險管理無法與組織治理割裂開來——董事會、高階管理團隊以及為其提供諮詢的專業人士,都必須據此承擔相應的責任。
對 ESG 專業人士而言,這項變革至關重要。「治理」職能並非技術性職能,而是涉及領導力、策略與企業文化的職能。它涵蓋了決定組織如何在其各項業務中應對網路安全風險的政策、流程與責任歸屬。無論在內容、架構或宗旨上,這都與 ESG 專業人士日常進行的治理工作直接相呼應。
Govern 函式涵蓋的內容
CSF 2.0 的「治理」功能圍繞六大類別進行組織。了解每一類別,有助於 ESG 專業人士釐清其現有工作與這些類別的關聯性,並辨明哪些方面需要投入新的關注。
組織背景要求組織必須理解其使命、所處的監管環境以及利害關係人的風險承受能力——且此背景應形塑其網路安全風險管理的決策。對 ESG 專業人士而言,這是一片熟悉的領域。重要性評估、利害關係人參與流程以及監管趨勢預測,皆屬標準的 ESG 活動,這些活動能直接為治理職能所需的組織背景提供依據。
風險管理策略要求組織必須建立一套已確立、有文件記載且已傳達的網路安全風險處理方法,其中包含明確的風險容忍度,以及用於決定風險應對措施優先順序的準則。從事企業風險管理框架工作的 ESG 專業人士會發現,這與他們協助制定的環境與社會風險之風險偏好聲明及容忍閾值完全一致。
「職責、責任與權限」要求組織內各層級——包括董事會及高階管理層——必須明確分配、理解並傳達網路安全責任。ESG 專業人士具備絕佳條件,能協助組織對此進行周詳考量,因為非財務風險責任的分配是良好治理實踐的核心要素。
政策規定,必須制定、記錄並傳達網路安全政策,且這些政策須反映組織的風險策略與風險容忍度。對於負責政策制定及治理資訊披露的 ESG 專業人士而言,這是一項直接適用於其工作範疇的任務。
監督機制要求將網路安全風險管理活動的結果,用於指導並調整組織的整體風險管理策略;同時必須建立明確的流程,確保網路安全風險資訊能傳遞至董事會及高階管理層,供其審查與決策。這即是將 ESG 報告與保證職能應用於網路風險的具體實踐。
網路安全供應鏈風險管理要求對供應鏈中的網路安全風險進行識別、評估與管理,並向供應商及第三方明確傳達相關期望。對於從事供應鏈盡職調查與負責任採購的 ESG 專業人士而言,這實為現行實務的自然延伸。
「Govern」功能並非只是將新概念披上網路安全的外衣。它實質上是對良好風險治理的闡述——這正是 ESG 專業人士在氣候、人權及勞工風險領域所採用的同一套原則——只是將其應用於網路安全領域。
將 Govern 與 ESG 治理框架相結合
NIST CSF 2.0 的「治理」功能與主流 ESG 治理框架之間的相似之處令人驚訝,且在實務上極具參考價值。全球報告倡議組織(GRI)的 GRI 205(反貪腐)與 GRI 418(客戶隱私)標準,均要求針對特定風險類別披露治理流程。歐洲永續報告標準(ESRS)則要求披露用於管理重大永續風險與機會的治理架構及流程。 氣候相關財務揭露工作組(TCFD)框架及其繼任者——國際可持續性準則委員會(ISSB)標準,均要求針對氣候風險的治理流程進行揭露。
在上述各項框架中,資訊揭露的要求在結構上與 NIST CSF 2.0「治理」功能所要求組織應具備的條件相似:包括董事會及高階管理層的明確問責機制、有文件記載的風險管理流程、明確定義的風險偏好,以及風險資訊如何流向決策者的相關證據。已實施 CSF 2.0「治理」功能的組織,將能充分準備好,針對所有這些框架中的網路安全風險,產出符合揭露標準的治理資訊。
董事會需要了解與採取的行動
CSF 2.0 的「治理」功能明確指出,董事會層級對網路安全風險的監督是治理的必要要求,而非可選的強化措施。這與更廣泛的監管趨勢相符。美國證交會(SEC)的網路安全資訊披露規則、歐盟的《網路與資訊系統安全指令》(NIS2)以及英國國家網路安全中心(NCSC)的指引,均將網路安全治理的責任歸於組織的最高層級。
對於負責編製董事會層級治理報告或就董事會治理實務提供諮詢的 ESG 專業人士而言,這具有實際意義。董事會必須能夠證明其已建立接收及審查網路安全風險資訊的流程,已明確定義針對網路安全事件的風險承受度,並已將網路安全風險管理的明確責任分配給特定的高階主管職位。這正是 ESG 專業人士在其他風險類別中協助設計並記錄的治理架構。
整合的契機
ESG 專業人士對其組織的網路安全治理所能做出的最具價值的貢獻之一,就是倡導整合而非分離。網路安全風險與氣候風險及社會風險一樣,是一種橫跨各領域的企業風險,影響著策略、營運、利害關係人關係及價值創造。它應在處理其他重大風險的同一治理架構內進行管理——採用同樣的嚴謹標準、同樣的問責機制以及同樣的資訊披露規範。
NIST CSF 2.0 的「治理」功能為落實此整合提供了具體架構。它為環境、社會與治理(ESG)專業人士提供了一個框架,使其能夠針對網路安全治理提出正確的問題、對解答做出有意義的貢獻,並確保組織處理網路風險的方法,能達到與其處理環境及社會風險時所應遵循的同等治理品質標準。
在 CSF 2.0 中新增「Govern」功能,不僅僅是一項技術更新。這更是向 ESG 專業人士發出的邀請,邀請他們將治理專業知識運用於當今最具影響力的風險類別之一。
重點摘要:CSF 2.0 的「治理」功能涵蓋組織背景、風險策略、職責分工、政策、監督機制及供應鏈風險——這些正是 ESG 專業人士已具備專業知識且應積極參與的所有領域。