網路風險管理(Cyber Risk Management, 亦稱為網路安全風險管理)是一項持續進行的流程,內容涵蓋識別、分析、排列優先順序、管理及監控數位資產,藉此降低風險並保護敏感系統免於網路安全威脅。網路風險管理是所有 IT 與企業營運的關鍵功能,對各種類型的企業或機構而言非常重要。
隨著風險不斷增長與演變,企業正採取全方位方法來應對網路風險管理。
此方法可確保組織擁有全面且一致的計畫,不僅能符合法規遵循事宜,也能加強整體的網路安全。
網路風險管理流程
首先,必須讓所有利害關係人皆能參與網路風險管理流程,以可確立一套確實的全方位計畫。
此外,大多數網路風險管理流程包含下列內容:
- 風險框架 (Risk Framing):定義進行風險決策的情境。
- 風險評估 (Risk Assessment):確定暴露程度、遭到利用的可能性及潛在影響。
- 風險回應 (Risk Response):包含補救措施的方案及其優先順序。
- 風險監控計畫 (Risk Monitoring):實施持續監測控制措施的方式下提供指導。
網路風險管理為何重要
網路風險管理之所以重要的原因,在於能提供企業所需的資訊,使企業能主動實施網路安全保護、減少漏洞並回應威脅。由於網路風險管理的範圍橫跨整個組織,因此能提升相關人員的危機意識,使他們能瞭解威脅企業或機構的風險以及個人在風險防範與應對中所扮演的角色。同時,網路風險管理所建立的制度與流程也能提供相關工具及資源,使他們積極參與資安防護行動的能力。
從更深度的層面來看,網路風險管理使安全團隊更能從營運的角度出發。透過這些機制所取得的資訊,分析人員對於偵測及處理的威脅便能擁有更加清楚的背景脈絡,並能用全新視角審視網路威脅。
網路風險管理對於企業或機構而言也同樣重要,因為其能夠提供一套用於識別、分析、排列優先順序、管理及監控網路威脅的結構與流程,這些網路威脅包含:
- 帳號或憑證遭盜用
- 暗網活動
- 惡意內部人員
- 惡意軟體 (Malware)
- 勒索軟體 (Ransomware)
- 敏感資料外洩
- 第三方風險
實施網路風險管理可獲得多方面的效益:
- 主動識別潛在漏洞
- 針對持續變化的攻擊面,進行映射與監控,進而降低攻擊面
- 將資源集中應對可能針對高價值及關鍵資產的威脅
- 將資源聚焦於高風險、高價值資產可能遭受的威脅,有效因應不斷演化的攻擊手法
- 強化對下列法規的合規性 :
- 《一般資料保護規範》(GDPR)
- 《健康保險可攜性和責任法案》(HIPAA)
- 《支付卡產業資料安全標準》(PCI-DSS)
- 備援與事件應變機制健全,加速企業持續營運
- 加強整個企業對資安風險的理解
- 提升整體資安防禦成熟度
- 更完善的資料安全保護
- 強化客戶與利害關係人對資安與隱私的信任感
制定網路風險管理計畫
網路風險管理計畫包含四個核心要素。
- 識別網路安全風險(即與 IT 系統威脅相關的非預期負面結果)。此階段包含盤點與繪製所有數位資產,藉此量化攻擊面,並利用並利用建立的資產地圖作為後續監控網路犯罪活動的基礎。
- 評估資安風險
此階段包含以下核心步驟 : - 盤點所有資產。
- 評估每項資產的重要性,並依優先順序排序。
- 評估資產面臨的潛在威脅。
- 找出資產的弱點(漏洞)。
- 判斷威脅發生的可能性。
- 執行網路風險減緩策略。
根據風險優先順序,選定合適的資安策略,並制定對應的處理計畫來降低風險影響。 - 持續監控風險。
在風險被識別後,需建立持續性監控機制,以追蹤威脅動態並即時應對。
網路風險管理框架
目前有多種網路風險管理框架可供使用,有些框架是為政府機構建立,亦有許多是由非政府組織開發後對外公開。部分企業或機構依法須遵循一項或多項這類框架,而也有許多企業機構則以其為基礎,進一步制定出符合自身需求的內部指引。
無論採用方式或目的為何,所有組織皆可從這些成熟的網路風險管理的系統與方法論中獲益,進一步提升其資安防護能力與風險應對效率。
NIST 風險管理框架
美國國家標準暨技術研究院 (NIST) 風險管理框架 (RMF,Risk Management Framework) 能提供一套全面、有彈性、可重複執行且可衡量的網路風險管理模型,並涵蓋資訊安全與隱私風險。此框架將安全、隱私及網路供應鏈風險管理活動整合進系統開發生命週期中,並涵蓋工業控制系統 (ICS) 與物聯網 (IoT) 裝置等多種技術類型。
NIST RMF 所提供的指引不受組織規模或產業別限制,可協助企業在導入各類資訊系統時,有效識別、降低與控管風險。
NIST RMF 根據下方的七個步驟流程運作。
| 步驟 | 說明 |
|---|---|
| 準備 | 定義組織進行資安與隱私風險管理前的必要準備事項。 |
| 分類 | 根據衝擊分析,將系統及其處理、儲存與傳輸的資訊進行分級分類。 |
| 選擇 | 根據風險評估結果,選擇適用的NIST SP 800-53 控制項集合以保護系統。 |
| 實施 | 提供控制項的實施指引,並說明如何記錄部署方式。 |
| 評估 | 評估控制項是否到位、運作是否如預期、是否達成所需效果。 |
| 授權 | 由高層主管依據風險評估結果,做出是否授權系統上線的決策。 |
| 監控 | 持續監控控制項的執行情況,並追蹤已知與新出現的風險。 |
NIST 特別發佈 800-30
NIST 特別出版品 800-30 的標題為《風險評估指南》。提供進行風險評估的方法,協助組織將資安風險轉化為高層管理者(如執行團隊與董事會)易於理解的語言。
NIST SP 800-30 支援網路風險管理計畫,建立技術與企業領導層之間的共通語言,促進資源分配決策,並根據威脅類型、營運影響與財務影響進行調整。
NIST 網路安全框架
NIST 網路安全框架 (NIST CSF(Cybersecurity Framework)) 提供一套標準化的網路安全管理最佳實務,涵蓋五大該框架針對與網路風險管理核心功能:識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)。該框架主要協助組織更有效地管理與降低各類型的資安風險(例如惡意軟體、密碼洩露、社交工程攻擊、分散式阻斷服務 (DDoS) 攻擊、流量攔截及勒索軟體)。
NIST CSF 建議組織採取一系列具體措施以降低風險,包含:
- 分析威脅、漏洞、發生可能性與影響程度,據此優先排序風險與應對行動。
- 識別並記錄資產的弱點(漏洞)。
- 識別並記錄內部與外部風險,包括其可能對企業造成的影響及風險事件發生的可能性。
- 善用來自資安情報分享論壇的威脅情報,強化預警能力。
此外,NIST CSF 亦說明風險管理策略應包含的關鍵內容,明確指出:「組織需建立優先事項、限制條件、風險忍受度及假設,以 藉此支援營運風險決策。」此框架也要求組織建立並落實流程識別、評估及管理供應鏈風險,從而確保整體資安防護涵蓋所有關鍵環節。
ISO/IEC 27001
國際標準化組織 (ISO) 與國際電工委員會 (IEC) 共同制定了 ISO/IEC 27001,是一套用於系統化管理資訊系統風險的國際標準框架。
針對資安風險管理提出明確要求,包括:
- 持續分析與評估資訊安全風險。
- 確保重複進行的風險評估能產生一致、有效且可比較的結果。
- 建立並維護資訊安全風險準則。
- 識別與資訊保密性(Confidentiality)、完整性(Integrity)及可用性(Availability)有關的風險(即 CIA 三要素),涵蓋所有納入資訊安全管理系統(ISMS)範圍的資訊資產。
- 明確指派對特定風險負責的人員,並界定相關利害關係人。
美國國防部風險管理框架
美國國防部 (DoD) 制定的風險管理框架,是專為國防相關單位在評估與管理網路安全風險時所使用的標準指引:
- 準備。
- 資訊系統分類系統。
- 選擇安全控制措施。
- 實施安全控制措施。
- 評估安全控制措施。
- 授權資訊系統。
- 監控安全控制措施。
資訊風險因素分析
資訊風險因素分析 (FAIR, Factor Analysis of Information Risk) 框架是為了協助企業衡量、分析及理解資訊風險而開發。這個用於網路風險管理與分析的量化與機率模型,將網路風險分為兩個要素:損失事件的發生頻率及影響規模。接著,該框架會衡量威脅能力、漏洞、抵禦強度及損失類型,以計算風險與影響程度。
營運關鍵威脅、資產及漏洞評估
營運關鍵威脅、資產及漏洞評估 (OCTAVE, Operationally Critical Threat, Asset, and Vulnerability Evaluation) 由卡內基美隆大學的軟體工程研究所開發,是一套用於網路風險評估、規劃及減緩的自主與協作方法。OCTAVE 方法包含三個主要階段:
- 建立推動因素與目標
- 識別關鍵資產與威脅
- 制定風險減緩計畫與策略
OCTAVE 方法能協助組織瞭解其風險概況、資產關聯及依賴關係,並設計符合實際需求與目標的解決方案。
OCTAVE 針對特定組織類型分為兩種子版本:OCTAVE Allegro 與 OCTAVE FORTE。OCTAVE FORTE(企業版 OCTAVE)具有十個網路風險管理步驟:
- 建立風險治理與風險承受度。
- 定義關鍵服務與資產範圍。
- 確認資產的韌性要求。
- 評估現有資安能力。
- 識別資產所面臨的風險、威脅及漏洞。
- 根據能力進行風險分析。
- 規劃應變策略。
- 實施應變計畫。
- 持續監控與成效衡量。
- 定期檢討、更新並重複流程。
OCTAVE Allegro(中小型企業版)則是由八個網路風險管理步驟組成:
- 建立風險衡量標準與評估準則。
- 建構資訊資產概況。
- 辨識資訊資產位置(容器)。
- 辨識關注議題。
- 辨識威脅情境。
- 辨識具體風險。
- 進行風險分析。
- 選擇應對方法。
網路風險管理職務
網路風險管理涉及多項職務,多數屬於輔助性質。但仍在整體風險管理機制中扮演關鍵角色。以下為企業內常見的幾個核心角色:
資安長 (CISO)
CISO(Chief Information Security Officer) 負責監督組織的整體網路安全策略。對資安風險管理負有最終責任。
為推動網路風險管理計劃,CISO 通常與其他高階主管密切合作,確保網路安全計畫與流程符合業務營運需求與風險容忍度。其職責通常包含:
- 在資安需求與營運目標間取得平衡
- 向向技術及非技術利害關係人溝通安全、風險及事件相關的關鍵訊息
- 識別、評估並排序其安全風險
- 主導與第三方關係人相關的網路安全風險評估及管理
網路風險責任主管 (CRE)
CRE(Cyber Risk Responsible Executive) 屬於高階管理層中負責網路風險管理的角色,涵蓋風險評估、分析、減緩及監控等工作。該角色通常由風險長 (CRO)擔任。CRE 也需協助組織確定可接受的風險等級,並監督網路風險管理計畫的實施以符合策略需求。
網路風險分析師
網路風險分析師(Cyber Risk Analyst / Cyber Risk Coordinator),或稱為網路風險協調員,職責通常包括:
- 使網路安全流程及控制措施對應至相關框架及內部系統
- 分析潛在的企業營運及客戶風險
- 執行安全性評估與政策審查
- 建立網路風險分析報告
- 評估組織目前所處的網路風險等級
- 識別、評估並提供網路安全風險領域的諮詢服務,以解決或減緩風險
- 提供有關風險減緩與風險接受度的決策判斷
- 監督威脅偵測的日常營運活動
- 支援內部的網路風險分析、分類及應變
網路安全計畫經理
網路安全計畫經理(Cybersecurity Program Manager)的主要職責之一,是確保網路安全計畫與組織的網路風險管理策略一致。
資安意識與訓練專員
資安意識與訓練專員(Security Awareness and Training Specialist)的重點在於制定計畫,確保所有使用者皆能瞭解組織面臨的風險,以及確保所有使用者皆能瞭解組織面臨的風險,以及對應的安全政策與防護措施。他們透過提供資訊與執行教育訓練,確保所有使用者皆能獲得所需的知識、技能及資源,以支撐組織的整體網路風險管理機制。
第三方風險經理
供應商風險經理(Third-Party Risk Manager / Vendor Risk Manager)負責評估及管理與外部關係人(例如合作夥伴、供應商及客戶)相關的網路安全風險。他們能協助制定可接受的風險準則,並透過初始評估及定期稽核來確保第三方符合組織資安要求與法規標準。
網路風險管理最佳實務及核心能力
有效的網路風險管理計畫應具備以下實務做法與支援機制,包含:
- 定義職務及具體職責
- 制定完善的政策與工具,以評估供應商風險
- 識別新興風險,例如法規變更與威脅向量進化
- 評估並驗證安全控制措施及其他減緩措施的成效
- 定期測試安全控制機制
- 有效應用既有資安風險管理框架(如 NIST、ISO、FAIR 等)
支援網路風險管理的工具能力包括:
- 數據分析
- 稽核與追蹤
- 協作與溝通
- 資料管理
- 問題管理與追蹤
- 報告
- 工作流程最佳化
網路風險管理能提升整體網路安全
資安風險管理對企業整體資安戰略的重要性已廣獲技術與管理階層認同。這些機制能將安全意識納入整個企業管理階層及員工的觀念,並落實於各項提升整體安全的計畫中。因應不斷演變的威脅情勢,網路風險管理需擴大網路安全的範圍。
網路風險管理不僅能改善網路安全,還能協助組織面對大量複雜且具合規要求的法規,如個資保護法、金融監管要求等。其所涵蓋的稽核、報告與紀錄功能,可滿足許多合規需求。
儘管網路安全威脅與漏洞無法徹底消除,,但透過完善的風險管理,組織能主動識別與處理大多數風險項目,持續擴展資安策略的深度與廣度。
