什麼是 NIST 網路安全框架——ESG 專業人士為何應該關注?
一個名稱令人困惑的框架
如果您從事 ESG、永續發展或企業社會責任相關工作,您可能曾在風險委員會會議、資訊披露問卷,或是與資訊安全部門同事的交談中,接觸過「NIST 資安框架」(或簡稱 NIST CSF)這個術語。您或許當時只是點頭附和便不再深究,以為這是技術團隊負責處理的事項。
這個假設值得重新審視。NIST CSF 是全球採用最廣泛的風險管理框架之一,其最新版本——CSF 2.0(由美國國家標準與技術研究院於 2024 年 2 月發布)——明確闡述了從業者多年來所理解的觀點:網路安全並非技術問題,而是治理與風險管理問題。這也意味著,網路安全問題完全屬於 ESG 專業人士的職責範圍。
本文以淺顯易懂的語言,介紹 NIST CSF 的定義、功能,以及為何對身處永續發展、治理與風險交匯點的您至關重要。
NIST 究竟是什麼
美國國家標準與技術研究院(NIST)是美國聯邦機構,負責制定全球各組織用於管理技術相關風險的標準、指引及框架。儘管源自美國,NIST 網路安全框架(NIST CSF)已獲歐洲、亞洲及世界各地的私營企業、公共部門組織和監管機構廣泛採用。雖然在大多數司法管轄區內,這並非法律強制要求,但它已成為各組織規劃其網路安全風險管理方法的實質標準。
《關鍵基礎設施框架》(CSF)於 2014 年首次發布,主要針對關鍵基礎設施的營運者——包括能源電網、供水系統及金融網絡。2018 年發布的 1.1 版則擴大了適用範圍。 2024年發布的2.0版是迄今為止最重大的更新。該版本明確將框架擴展至各規模及各行業的組織,強化了對治理與領導層問責制的重視,並將供應鏈風險管理納入核心關注事項。這些變革使CSF 2.0對ESG專業人士具有直接且實務上的相關性,這是先前版本所不具備的。
六大功能——一個簡單的思維模型
NIST CSF 將網路安全風險管理圍繞六項核心功能進行組織。在 CSF 2.0 中,這六項功能分別為:治理、識別、保護、偵測、應對與復原。請將其視為一項持續的循環活動,而非一次性檢查清單。
「治理」是 CSF 2.0 中新增的功能,也是與 ESG 專業人士最相關的一項。它涵蓋了企業層面的組織政策、流程及問責架構,這些要素共同形塑了企業如何理解、優先排序及管理網路安全風險。這涉及領導力、策略與文化——而這些正是 ESG 專業人士每日工作的核心領域。
「識別」涵蓋對組織資產、系統、數據及其相關風險(包括供應鏈中的風險)的理解。「保護」涵蓋為降低網路安全事件發生機率而實施的防護措施與管控機制。「偵測」涵蓋用於識別事件發生時機的流程。「應變」涵蓋組織的應對方式。「復原」涵蓋組織如何恢復正常運作,並從事件中汲取教訓。
這六項功能綜合起來,不僅描述了一套技術性安全計畫,更勾勒出一個風險管理生命週期,其架構與 ESG 專業人士每日處理環境與社會風險時所採用的企業風險思維模式完全吻合。
為何網路風險屬於ESG議題
網路安全與ESG之間的關聯絕非行銷噱頭,而是反映出網路風險對各行各業的組織而言已變得何等重要。
在治理層面,網路安全現已成為多數主要司法管轄區中董事會層級的問責議題。美國證券交易委員會要求上市公司披露重大的網路安全風險,以及董事會對這些風險的監督情況。 歐盟的《NIS2指令》規定,對於被視為營運關鍵或重要服務的組織,若發生網路安全失誤,其高階主管須承擔個人責任。英國的《企業管治守則》以及全球各地的類似框架,日益將網路韌性視為健全管治的重要組成部分。對於負責管治資訊揭露的ESG專業人士——無論是依據GRI、SASB、ESRS或同等標準——網路安全管治已成為一項揭露義務,而不僅僅是IT部門的關注事項。
在社會層面,資料外洩與網路安全事件會對真實的人造成實質傷害。客戶喪失對個人資料的掌控權;員工的資訊遭到洩露;而當基本服務中斷時,依賴這些服務的社區將遭受衝擊。網路安全措施不足所導致的人力成本,是一項社會影響議題,應與勞動實務、健康與安全以及社區影響等事項一併納入組織的ESG風險評估中。
在環境層面,隨著科技在環境監測、報告及管理中扮演的角色日益重要,環境數據的完整性現已成為網路安全的一大隱憂。任何仰賴感測器網路進行排放監測、依賴數位系統提交環境合規報告,或倚重聯網基礎設施進行資源管理的組織,皆面臨可能直接影響其環境資訊揭露準確性與可靠性的網路安全風險。
CSF 2.0 作為一種通用語言
對於處理網路安全風險的 ESG 專業人士而言,語言障礙是其中一項實際挑戰。網路安全從業者使用的專業術語,往往讓非專業人士覺得難以理解。NIST CSF 的設計初衷正是為了彌合這道鴻溝。該框架以成果和活動為切入點來闡述網路安全風險管理,而非著重於技術控制措施,因此即使是非網路安全專家的風險管理人員、治理專業人士、稽核人員及高階主管,也能輕鬆理解。
這使得它成為跨團隊工作的 ESG 專業人士之間極具價值的共通語言。當您需要為重要性評估而評估組織的網路安全風險狀況時,CSF 2.0 的六大功能能提供一套結構化的方法,讓您無需具備技術背景也能提出正確的問題。當您需要為 ESG 資訊揭露而報告網路安全治理狀況時,該框架中的「治理」功能則提供了組織所需陳述內容的結構。
從何說起
如果您剛接觸 NIST CSF,最佳的起點是《CSF 2.0 核心文件》,該文件可在 NIST 網站上免費取得。該文件結構清晰、淺顯易懂,且內容圍繞實務成果而非技術規範來編排。此外,《CSF 2.0 快速入門指南》為不同受眾(包括小型組織及初次接觸此框架的用戶)提供了易於理解的入門途徑。
但最重要的起點在於轉變思維:網路安全是貴公司 ESG 職責範圍的一部分,而非置身其外。NIST CSF 2.0 是目前最實用的工具之一,能為貴公司這方面的業務帶來結構與嚴謹性。本系列接下來的文章將更深入探討 CSF 2.0 的具體面向——每篇文章皆旨在協助 ESG 專業人士熟練掌握這個框架,該框架對其工作的重要性正逐年提升。
重點摘要:NIST CSF 2.0 是一個風險管理框架,而非技術手冊。其六大功能——治理、識別、防護、偵測、應對、復原——闡述了風險生命週期,ESG 專業人員可以且應該直接參與其中。