NIST CSF、ISO 27001 與標準生態系——給 ESG 團隊的淺顯易懂指南
框架太多,缺乏清晰度
對於參與網路安全治理的 ESG 專業人士而言,最常見的困擾之一,便是各種框架、標準與指南似乎層出不窮——每項都有其專屬的縮寫、架構及支持者。NIST CSF、ISO 27001、ISO 27002、SOC 2、CIS Controls、COBIT……不勝枚舉。這一切彷彿是一幅專為製造混亂而非釐清概念而設計的圖景。
好消息是,這些主要框架之間的互補性遠大於競爭性。了解它們之間的關聯性——以及每個框架在連貫的治理計畫中扮演何種角色——對於那些需要處理網路安全風險卻無需成為網路安全專家的 ESG 專業人士而言,確實大有裨益。本文將提供這方面的指引,並著重探討在實務上最可能與 ESG 專業人士相關的兩個框架:NIST CSF 2.0 與 ISO 27001。
NIST CSF 2.0 – 風險管理框架
NIST CSF 2.0 是一套風險管理框架。其主要目的是協助組織以結構化且一致的方式,理解、評估、溝通及管理網路安全風險。該框架以成果為導向:它闡述了良好的網路安全風險管理應具備的樣貌,但並未規定實現此目標所需的具體技術控制措施。
這種以成果為導向的特性,正是 ESG 專業人員最看重的優勢之一。這意味著 CSF 2.0 可適用於任何規模、任何產業,且採用任何技術架構的組織。它為討論網路安全風險提供了共通語言,即使沒有技術專長也能有效運用。此外,它能自然地與企業風險管理框架整合,使 ESG 專業人員更容易將網路安全風險納入其日常工作的更廣泛風險治理流程中。
CSF 2.0 在實施方面亦明確不具規範性。它告訴您應以哪些成果為目標,而非如何達成這些目標。這意味著它旨在與其他提供更具體實施指引的框架和標準(包括 ISO 27001)並行使用。
ISO 27001 – 資訊安全管理系統標準
ISO 27001 是一項管理系統標準。該標準規定了建立、實施、維持及持續改進資訊安全管理系統(ISMS)的相關要求。與 NIST CSF 不同,ISO 27001 具備認證資格——組織可尋求獨立第三方認證,以證明其資訊安全管理系統符合該標準的要求。此認證具有可審計性,並獲得全球認可。
ISO 27001 的規範性比 NIST CSF 更為明確。NIST CSF 2.0 僅指出組織應建立流程以識別資產並了解其風險暴露狀況(即「識別」功能),而 ISO 27001 則具體規定了特定的控制措施與管理系統要求——包括風險評估方法、處理計畫、文件化程序、內部稽核流程及管理層檢討——這些要素共同構成了運作中的管理系統。
實際上的區別在於:ISO 27001 認證證明該組織已依照經核實的標準,實施並持續維持一套特定的資訊安全措施;而與 NIST CSF 的對齊,則證明該組織能夠以結構化的方式理解並管理其網路安全風險。這兩者都極具價值,對於大多數組織而言,它們是相輔相成的,而非相互替代的。
思考這兩種標準之間關係的一個實用方法是:NIST CSF 2.0 告訴您目標所在,並提供路線圖;ISO 27001 則詳細說明如何抵達該目標,並提供證明您已達標的方法。
它們如何協同運作
許多組織將 NIST CSF 2.0 作為其主要的網路安全風險管理框架——運用其中的六大功能及相關成果來規劃其識別、評估與管理網路風險的方式——同時將 ISO 27001 作為其資訊安全管理系統的實施標準。這兩個框架之間具有良好的對應關係,且 NIST 已發布參考資料,明確闡述了這種對應關係。
對於 ESG 專業人士而言,理解這項關聯至關重要,因為它解釋了為何組織可能會同時提及這兩者。若在治理披露文件或 ESG 報告中提及 NIST CSF,表示該組織採用了公認的框架來建構其網路安全風險管理;若提及 ISO 27001 認證,則表示該組織已通過獨立驗證,確認其資訊安全管理符合特定標準。兩者皆具實質意義,且彼此並不相互取代。
ISO 27001 亦自然地與更廣泛的 ISO 管理系統系列相連結,而 ESG 專業人士對此系列應已相當熟悉。 ISO 9001(品質管理)、ISO 14001(環境管理)、ISO 45001(職業健康與安全)以及 ISO 42001(人工智慧管理)均與 ISO 27001 採用相同的高階結構——此結構稱為「協調結構」,能協助組織更輕鬆地整合多項管理系統,而非各自為政地運作。
其他標準的適用範圍
為求完整,值得簡要說明其他 ESG 專業人士可能接觸到的框架在這個領域中所處的位置。SOC 2 是由美國註冊會計師協會(AICPA)制定的報告標準,旨在審計服務組織系統的安全性、可用性、處理完整性、機密性及隱私性。該標準與科技供應商及雲端服務供應商最為相關,且在供應鏈盡職調查中常被要求提供。
CIS 控制措施是由網路安全中心(Center for Internet Security)制定的一套按優先順序排列的網路安全最佳實踐。這些措施極具實用性且著重於實施,對於尋求具體技術指導的組織而言極具參考價值。它們與 NIST CSF 高度契合,可視為實現 CSF 成果的實用實施指南。
COBIT(資訊與相關技術之控制目標)是由 ISACA 所開發的一套企業資訊科技治理框架。其涵蓋範圍比網路安全框架更廣,涵蓋資訊科技治理的全部範疇,包括與業務目標的對齊、價值交付、風險管理及績效衡量。具備治理背景的 ESG 專業人士可能會覺得 COBIT 的架構相當熟悉。
ESG 專業人士真正需要了解的是什麼
對大多數 ESG 專業人士而言,深入掌握任何一個框架既非必要,也不切實際。真正需要的,是具備足夠的熟稔程度,以便提出有針對性的問題、解讀技術團隊的回應,並評估組織的網路安全治理是否符合利害關係人的期望標準。
ESG 專業人士最應提出的問題包括:該組織是否採用公認的框架來建構其網路安全風險管理體系?若採用,具體是哪一套框架?該組織是否持有任何與網路安全相關的認證(例如 ISO 27001),這些認證涵蓋哪些範疇?網路安全風險資訊是如何傳遞給董事會及高階管理層的? 該組織如何管理其供應鏈中的網路安全風險?以及該組織如何應對網路安全事件並進行復原?
這些問題與 NIST CSF 2.0 的六大功能,以及主要 ESG 報告框架的治理披露要求完全吻合。能夠清晰且具體地回答這些問題的組織,正展現出利益相關者——包括投資者、監管機構、客戶及社會大眾——日益期待的那種網路安全治理成熟度。
標準體系無需令人望而生畏。它是一套工具組,ESG 專業人士的任務並非精通其中的每項工具,而是要了解哪些工具適合哪些用途——並針對這些工具的實際應用提出恰當的問題。
重點摘要:NIST CSF 2.0 與 ISO 27001 互為互補,而非相互競爭。CSF 2.0 提供風險管理框架與共通語言;ISO 27001 則提供實施標準與獨立認證。兩者結合,共同闡述了在 ESG 資訊揭露方面,良好的網路安全治理應具備的樣貌。