運用COBIT來實現CSF

CSF 使用七個流程步驟提供基本的實施指南。 步驟如下:

步驟1 : 優先等級和範圍(Prioritize and Scope)

企業確定其業務/任務目標和董事會/C-Level的優先事項。 有了這些資訊，企業就網路安全實施做出戰略決策，並決定哪條業務線或流程的系統和資產範圍。 CSF可以進行調整以支持企業內的不同業務線或流程，這些業務線或流程可能具有不同的業務需求和相關的風險承受能力。 風險承受能力可以對應到target Implementation Tier。

步驟2:定位(Orient)

一旦為業務線或流程確定了網路安全計劃的範圍，企業就能確定相關的系統和資產、監管要求和總體風險方法。 然後，企業可以諮詢一些內部外部單位以識別適用於這些系統和資產的威脅和漏洞。

步驟3: 建立現行概況(Create a Current Profile)

企業選擇當前正在實現Framework Core的哪些類別和子類別結果來建立"現行概況"。

步驟4:執行風險評估(Conduct a Risk Assessment)

這種評估可以由企業的整體風險管理流程或先前的風險評估活動來開始。 企業分析運營環境，以辨別網路安全事件的可能性以及該事件可能對企業產生的衝擊。 重要的是，企業要"識別新出現的風險"並使用來自內部和外部來源的網路威脅訊息，以更好地了解網路安全事件的可能性和衝擊。

步驟5: 建立目標概況(Create a Target Profile)

企業建立了一個目標概況，這個概況(Profile)著重於評估描述企業所需的網路安全成果的框架"類別和子類別"。 企業也可以開發自己的額外類別和子類別來說明獨有的企業風險。 在建立目標概況時，企業還可以考慮外部利害關係人（例如部門、客戶和業務合作夥伴）的影響和需求。 目標概況應適當對應到target Implementation Tier內的標準。

步驟6:差距的確認，分析與優先順序(Determine, Analyze, and Prioritize Gaps)

企業比較當前概況和目標概況以確定差距。 接下來，建立一個優先行動計劃來解決差距 — — 這包含任務驅動因素、成本和效益以及風險 — — 以實現目標概況中的成果。 然後，企業確定解決差距所需的資源，包括資金和人力。 以這種方式運用概況(Profiles) 可以鼓勵企業做出有關網路安全活動的決策，支持風險管理，並使企業能夠執行具有成本效益的、有針對性的安全改進。

步驟7: 實施行動計畫(Implement Action Plan)

企業確定採取哪些行動來解決確定的差距（如果有），然後調整其現行的網路安全實踐以實現目標概況。 為了獲得進一步的指導，CSF確定了有關類別和子類別的資訊參考範例，但企業應確定哪些標準、指南和實踐，包括那些特定於產業的標準、指南和實踐，最能滿足他們的需求。

CSF的應用對應COBIT 2019的治理體系原則

原則1 — Provide Stakeholder Value

每個企業都需要一個治理體系來滿足利害關係人的需求並從資訊與技術的使用中產生價值。 “價值反映了效益、風險和資源之間的平衡”，企業需要一個可行的策略和治理體系來實現這一價值。

對應CSF的應用則是:

CSF宣稱，“它可以用來幫助辨識和優先考量"降低網路安全風險"的行動，是一種工具，可以對其企業的政策、業務和技術方法來管理該風險。”

原則2 — Holistic Approach

企業 I&T 的治理體系由許多不同類型的組件構建而成，這些組件以整體方式協同作業。

對應CSF的應用則是:

CSF 為內部和外部利害關係人的理解、管理和表達網路安全風險提供了一種通用語言。 CSF 提供了一種通用語言，用於組織和交流 EGIT 網路安全的成果。

原則3 — Dynamic Governance System

治理體系應該是動態的。 這意味著每次一個或多個設計因素發生變化（例如，策略或技術的變化）時，必須考慮這些變化對 EGIT 體系的影響。 EGIT 的動態視圖會產生一個可行且朝向未來的 EGIT 體系。

對應CSF的應用則是:

CSF 提供了一個靈活的流程，通過該流程可以根據業務驅動因素和風險影響來考慮企業的當前的計劃和未來狀態。 使用者根據當前結果和預期結果的比較來確定 EGIT 的行動，支持具有成本效益和前瞻性的活動。

原則4 — 不同於管理(Management)的治理(Governance)

治理體系應明確區分治理與管理的活動和結構。

對應CSF的應用則是:

CSF 步驟包括確定利害關係人的目標和優先等級。

“Implementation Tiers”對應 → “COBIT 治理目標 EDM03 確保風險優化”中描述的風險管理策略來確定和實現所需的治理模型。
CSF 的”類別結果”對應 →實現”四個 COBIT “管理領域中的目標。

原則5 — 貼合企業需求

治理體系應該根據企業需求來客製，使用一組設計因素作為參數來客製治理系統組件並確定其優先等級。

對應CSF的應用則是:

CSF 概況(Profiles)支持內容和結構的靈活性。 了解當前狀態的風險影響有助於選擇具有成本效益的後續步驟。 由於目標狀態概況包括優先等級（基於 CSF 步驟 1 中確定的利害關係人驅動因素），因此支持和鼓勵客製和優先等級的設定。

原則6 — 企業整體治理體系

治理體系應該包含到整體企業，不僅關注 IT 職能，還關注企業為實現其目標而採用的所有技術和資訊處理，無論這個"技術和資訊處理"在企業中的位置中的何處。

對應CSF的應用則是:

CSF 概況有助於在各種程序元素之間進行協作，包括外部提供者的元素。 CSF 功能、類別和子類別的應用支持廣泛的資訊和技術，有助於實現框架範圍內任何系統的效益/資源/風險平衡。

Framework Implementation的協作

CSF的中心理念是與利害關係人的溝通。 在許多企業中，風險決策並未與企業驅動因素和目標很好地保持一致。

治理強健的企業運營成本更低，資源利用效率更高。 此外，外部各方評估治理良好的企業具有更強的內部控制和比一般風險更低的程度。

以下是CSF的角色對應COBIT 2019的角色:

• Executive level →董事會/C-Level
• Business/Process →業務主管與業務流程負責人
• Implementation /Operation →各類IT主管與IT流程負責人

針對董事會與C-Level的溝通，我們需要對說他們聽得懂的語言、方法來傳達有關企業目標和任務優先等級的資訊。

此活動對應 → COBIT Implementation Phase 1 — — What are the drives？

與業務單位主管和業務流程負責人的對話包括適當的風險承受能力和可用資源的定義。 反過來，使用業務/流程等級等資訊作為風險管理流程的輸入，並與 IT 管理層和 IT 流程負責人協作以傳達業務需求。

企業應使用Framework Profiles確定當前的網路安全狀態。

現行概況對應 →COBIT Implementation Phase2 — — Where are we now？
目標概況對應 →COBIT Implementation Phase3 — — Where do we want to be？

通過將目標與現行狀態進行比較，實作團隊可以建議具體和優先的行動來實現利害關係人的目標，並與第一階段的業務驅動因素、資源需求和企業風險偏好保持一致。

NIST CSF的行動計劃對應 COBIT Implementation Phase 4 — — What need to be done？ 和Phase 5— — How do we get there？

這為 EGIT 提供了一種具成本效益、靈活的作法。

下圖所示，資訊流(information flow)是循環的，持續監控是關鍵步驟。 "COBIT Implementation Phase 6 — — Did we get there？ 和Phase 7— — How do we keep the Momentum Going？" 提供重要的考量因素，以確保持續的、具有成本效益的治理和管理。 例如，隨著技術變化的發生（例如，雲端運算、大數據、區塊鏈），實行/操作等級將概況(Profiles)實施進度傳達給業務/流程等級。

上圖中，Executive Level(也就是董事會與C-Levle們)將

1. 任務優先級
2. 可用資源
3. 總體風險承受能力

傳達給business/process level(也就是中階管理層)。business/process level使用從上級收到的資訊作為風險管理流程(risk management process)的輸入，然後與implementation/operations level(也就是第一線員工)協作以傳達業務需求並建立profile。第一線員工將 Profile 實施進度傳達給中階管理層。 中階管理層使用此資訊來進行impact assessment。中階管理層將影響評估的結果報告給C-Level，以傳達企業的整體風險管理流程，也傳達給第一線員工，以了解業務影響。

Framework Core

框架核心是一組"1.)網路安全活動、2.)預期結果和3.)適用的參考資料"。 核心是從C-Level到實際執行的整個企業網路安全活動和結果進行溝通的方式呈現產業標準、指南和實踐。 框架核心圍繞五個基本的、並行的和連續的功能：

• Identify (ID)
• Protect (PR)
• Detect (DE)
• Respond (RS)
• Recover (RC)

當進行整體考量時，這些功能提供了企業網路安全風險管理生命週期的高階戰略視圖。 對於每個功能，框架核心都確定了關鍵類別和子類別，並將它們對應到具有代表性的參考資料，包括標準、指南和實踐(如下圖)。

Framework Core 中的結果可幫助我們回答以下主要問題：

• 哪些人員(People)、流程(Process)和技術(Technologies)對於向正確的利害關係人提供正確的服務是最基本的？
• 必須採取什麼措施來保護資產免受Identify Function中發現的風險？
• 可以實施什麼樣的Detection Capability來識別已確認的風險對企業資產造成的潛在（或已實現）風險？
• 哪些回應(Response)和恢復(Recovery)活動對於繼續運營（即使減少）或恢復服務是適當和必要的？

Framework Core的五種功能的詳細說明可參閱本部落格Cybersecurity Framework的基礎一文。

每個功能都包含一個或多個類別，即支持網路安全管理的特定流程結果(如下圖)。 這些類別又包括許多特定的子類別，這些子類別提供了一種用於決定現行狀態和目標的機制。

有些企業其實已經維護了內部流程和程序以實現最終在框架核心中規定的結果。 其他企業則希望有具體的指導以求有相同的實踐。 NIST 認知到，企業、公部門和其他實體可以使用額外的具有成本效益和高效的國際公認指南（包括 COBIT）來實現每個 NIST 功能子類別的成果並管理其網路安全風險。

Framework Implementation Tiers

CSF 包含了4個Implementation Tiers，可促進網路安全活動的評估和規劃。 Tier描述了在建立目標概況或完成現行概況時要考量的屬性(attributes)。 CSF V1.1 在評估風險管理特性時增加了對第三方和外部合作夥伴的考量(也就是供應鏈管理)。 儘管這些Tier沒有考量到成熟度模型，但Tier反映了網路安全風險管理中日益嚴格和專業知識的進步。更多Framework Implementation Tiers的說明可參閱本部落格Cybersecurity Framework的基礎一文。

CSF 既沒有提供關於如何衡量這些屬性的描述性指導，也沒有提供確定適用Tier的量化方法。 Tier幫助企業考量現行的風險管理實踐、威脅環境、法律和監管要求、業務/任務目標和組織限制。

Framework Implementation Tiers 類似於 COBIT 2019 Capability Level。 COBIT 2019 支援基於 CMMI 的流程能力方案。儘管process capability levels (PLCs)是在單一個流程或聚焦區域成熟度水平上進行評估的，但 CSF Tiers適用於企業本身或企業的子組件，具體取決於實行範圍。 當我們考量PCL 可能有助於確定適當的Framework Implementation Tiers。

我們在Cybersecurity Framework的基礎一文中提到Tier評級結果需要實施者的專業判斷。 選擇 Tier 的原因以及同意/不同意Profile中的結果陳述的原因應清楚地記錄下來，以便可以在可以改進流程提供建議。

可以通過以下方式比較Framework Tiers和 PLC：

• Tier 1(Partial)類似於PLC 0(Incomplete)和 1(Initial)。
  在這些等級中，風險管理和資訊共享流程要嘛未實施，要嘛尚未正規化以所以無法有一致的企業效益。
• Tier 2 (Risk Informed)類似於PLC 2(Managed)。
  成果以受管理的方式實行，由企業風險流程提供資訊，並提供對網路安全風險管理的重要企業意識。
• Tier 3 (Repeatable)類似於PLC 3(Defined)。
  使用能夠實現預期結果的已定義方法來實施受到管理的流程。
• Tier 4 (Adaptive)它相當於PLC 4(Quantitative)和 5(Optimizing)。
  成果是主動實現的，利用內部和外部利害關係人的經驗和(或)通過外部訊息源提供資訊。 在PLC 5，”持續改進”為實現特定結果而進行的活動，以最佳方式滿足相關的現行和預期業務目標。

Tier在決定風險方法中的作用與 COBIT 的治理目標 EDM03(Ensured risk optimization)密切相關。 隨著企業根據吸取的經驗教訓和預測指標調整其網路安全實踐 — — 並構建整體企業風險管理方法 — — 它能夠更好地確保識別和管理風險以實現企業價值。 反過來，這種能力可實現 EDM03 目標：

• 確保與I&T相關的企業風險不超過風險偏好和風險承受能力
• 識別和管理 I&T 風險對企業價值的影響
• 最大限度地減少合規失敗的可能性

Framework Profiles

Framework Profile呈現了企業從核心類別和子類別中選擇（基於業務需求）的結果。 Profile 可以歸類為標準、指南和實踐在特定實施場景中與 Framework Core 的一致性。 通過將現行概況(現行狀態)與目標概況(期望的未來狀態)進行比較，Profile可用於識別改善網路安全態勢的機會。 要發展Profile，企業可以檢視每個核心類別和子類別，並根據業務驅動因素和風險評估，確定哪些是最重要的； 企業根據需要加入類別和子類別以解決其風險。 然後，當前概況可用於支持對目標概況的進展進行優先排序和衡量，同時考量包括成本效益和創新在內的業務需求。 Profile可用於進行自我評估以及在企業內部或企業之間進行交流。

為了幫助企業採用和實施該框架，CSF 第 3.2 節“建立或改進網路安全計劃”列出了一個七步實施過程。 每個步驟都是下一步的邏輯先導，儘管有些企業可能會以不同的順序執行某些步驟。 例如，企業現行與目標風險概況的發展可能有先有後。 這些步驟被總結並與詳細的實行建議保持一致，並應根據需要重複執行以提高企業的網路安全。

目標概況(Target Profile)範本

目標狀態概況設定企業想達到的網路安全方案的預期最終狀態。 它應該能辨識減輕企業威脅所需的保護和能力。 這種基於風險的方法確保 CSF 的所有領域都得到解決，重點放在最有可能受到攻擊的領域。 範本格式如下。

主題:
功能:(Identify or Protect or Detect or Respond or Recover)
類別: 23種之一
子類別: 108種之一
相關的COBIT流程:資訊參考辨識實現 CSF 子類別目標所需的企業實踐
實現狀態: 未完成(0–15%)/部分完成(15–50%)/大部分完成(50–85%)/全部完成(85–100%)
組織實踐:通過基於風險的企業需求評估來確定的實踐、政策或程序，以減輕與該類別相關的風險
評論/證據:
建議的行動: 需要達到最終狀態的行動
資源需求:

COBIT 2019 和 CSF 的風險考量

保持對企業安全風險的理解是 CSF 的關鍵組成部分。 CSF 實行過程的第 4 步包括執行風險評估的要求。 風險評估為利害關係人和管理人員提供了一個機會，可以根據運營要求"權衡"安全漏洞、對企業和技術的威脅。 風險評估有助於定義需要哪些核心子類別來降低風險並確定所需的緩解級別。 通過應用 CSF 第 2.2 節“Framework Implementation Tiers”中描述的實行層級，可以實現實行網路安全控制的不同嚴格程度。

ISACA 將風險定義為“事件發生的概率及其衝擊的組合”，而ISO將風險定義為“不確定性對目標的影響”，並指出影響可能是來正面或負面的(以正常狀態來判別)。同樣，ISACA 將 IT 風險定義為與企業內 I&T 的使用、所有權、運營、參與、影響和採用相關的業務風險。 I&T 風險包括可能影響業務的 I&T 相關事件。 IT 風險可能以不確定的頻率和影響發生，並在實現戰略目的和目標方面帶來挑戰。 I&T 風險始終存在 — — 無論它是否被企業認可。 那麼，在應用 CSF 的背景下，主要考量的是實現利害關係人目標的可能性。

PS:
但老實說這些風險都是經過"消毒"與”訓化”之後的風險，是量化與可控的。真正的風險可能是黑天鵝事件，而黑天鵝是有著"隨機性"與"不確定性"，而”隨機性”與”不確定性”是抽象性的概念。人類天生無法理解抽象性的事物，我們需要故事(來龍去脈)才能知道發生了甚麼事。

受控的風險可以推動業務發展，增加機會，並讓C-Level和主管們了解企業內部的安全優勢和劣勢。 當風險管理不佳時，業務價值會降低，I&T 會被濫用，而C-Level和主管們仍然沒有意識到可能導致營收或商譽損失的潛在安全威脅和漏洞。 下圖說明了 I&T 相關風險與企業商業價值另一方面之間的反比關係。

風險職能的面向

COBIT 2019 將風險優化視為關鍵價值目標：其治理和管理必須被視為整體 EGIT 的一部分。 對於每個治理組件，風險設計因素會影響該組件如何為整體風險治理和管理功能做出貢獻：

• 需要”流程”來定義和維持風險職能，以及治理和管理風險（例如，EDM01 和 APO01）。
• 需要”資訊流”來治理和管理風險 — — 風險範圍、風險概況等。
• 需要”組織結構”來治理和管理風險 — — 企業風險管理委員會、風險職能等。

風險管理的面向

風險管理面向考量如何使用 COBIT 2019 識別、分析和應對風險。這一個面向需要實施核心風險流程(EDM03-Ensured risk optimization與APO12 — Managed risk)。

CSF 旨在通過改進與企業目標相關的網路安全風險管理來降低風險。 理想情況下，使用 CSF 的企業將能夠衡量風險並為其分配價值，以及將風險降低到可接受程度的成本和效益。CSF 利用風險評估流程來定義企業將如何實施每個核心子類別。 完成風險評估可確定風險事件發生的可能性並預測由此產生的影響。 企業可以選擇對每個業務領域完成多項風險評估，並將資訊匯總形成企業風險評估。

對於某些企業，可能會根據 CSF Step 1: Prioritize and Scope對每個業務領域（例如HR、財務和客服）進行單獨的風險評估。 單獨的風險評估可以支持單獨的目標概況，並確保適當地解決每個業務領域的特定風險，而不會橋枉過正。 企業範圍的風險評估定義了一個最低閾值(threshold)，並確保不忽視不太重要的業務領域，並且不會為駭客提供攻擊途徑。

風險評估完成後，企業可以確定I&T資產和系統可接受的風險程度，呈現為風險容忍度。 風險容忍度用於定義每個子類別所需的控制項，並確定實施每個控制所需的嚴格程度。

結論

IDC預估全球的網路安全花費會從今年(2023)的2190億美元到了2026年會成長到3000億美元，但我們也可以預估在同一時期，全球每年發生的資安事件數量還是會猛增。企業越能衡量其網路安全的風險、成本和效益戰略和步驟，其網路安全方法和投資將更加合理、有效和有價值。 風險評估是評估"某一個時間點"，因此，必須定期重複執行風險評估以獲得最佳效用。 隨著網路安全效能指標的不斷發展，企業可能會發現之前的投資不足。 明確指定所需的業務成果和衡量標準可以最大限度地減少出現投資不足所產生結果的可能性。 通過定期自我評估，企業可以改進有關投資類型和優先等級的決策。