美國國家標準與技術研究所 (National Institute of Standards and Technology, NIST) 發布的特別出版物 800-30 (NIST SP 800-30) 由 NIST 開發,是為了指導聯邦機構及其他組織了解如何運用原則與方法來進行全面的風險評估。 NIST SP 800-30 提供了一套系統化的風險評估方法,協助組織了解並評估資訊系統的運作與使用所帶來的各種風險,這些風險可能影響其營運、資產、個人、其他組織,甚至整個國家/地區。
NIST SP 800-30 指南提供了詳細的風險評估方法,協助組織判斷應實施哪些安全控制措施。
NIST SP 800-30 具備高度的彈性,可作為任何組織用來識別與評估風險的參考資源,無論該組織的規模、產業類別或其資訊系統的成熟度為何。
NIST 800-30 的主要重點如下。
風險評估流程
NIST 800-30 闡述了一套結構化的風險評估流程,協助組織識別其資訊系統與營運所面臨風險的發生可能性與潛在影響。NIST SP 800-30 風險評估流程的主要步驟包括:
- 準備評估
- 進行評估
- 傳達結果
- 維持評估
威脅與弱點環境檢視
NIST SP 800-30 提供了詳細的方法,用於識別組織資訊系統中可能影響其運作的內部與外部威脅及弱點。這項檢視包含分析威脅來源與威脅事件,以及這些威脅可能利用的系統弱點。
風險評估
NIST SP 800-30 提供指導,協助組織透過判定威脅利用弱點的可能性及評估潛在影響來評估風險。這包括評估若發生漏洞,對組織營運、資產及個人可能造成的負面影響。此步驟對於風險回應的優先排序以及做出明智的安全決策至關重要。
風險管理
在識別並評估風險後,NIST SP 800-30 將接著指導組織如何為這些風險制定優先處理順序。這包括考量風險應該被緩解、轉移、接受或避免,並選擇適當的控制措施來因應。風險緩解可能包括實施安全控制措施、採行新政策,以及進行持續監控以管理剩餘風險。
通訊
在整個風險評估過程中,NIST SP 800-30 強調對發現結果、決策及採取的行動進行完整記錄,以支持流程的透明性與可重複性。這些紀錄同時有助於強化追究責任,並促進組織內的明智決策。此外,NIST SP 800-30 也強調,需將風險評估結果有效傳達給所有相關利益關係人,確保他們了解風險以及已採取的減輕措施。
監控和審查
NIST SP 800-30 認識到風險評估並非一次性活動,因此強調持續監控及定期檢視風險的重要性。這可確保組織環境的變化、新興威脅或新出現的弱點都被納入考量,並使風險評估保持最新。
準備風險評估
根據 NIST SP 800-30 所述,為風險評估做準備是風險管理流程中關鍵的初始步驟。這可確保風險評估全面、有效,並符合組織的特定需求與目標。以下是在準備 NIST SP 800-30 風險評估時需採取的幾個重要步驟。
明確目的
明確建立 NIST SP 800-30 風險評估的目標,例如符合法規要求、保護敏感資料或提升整體安全性。這將指導評估的範圍與深度。
評估範圍
確定 NIST SP 800-30 風險評估的範圍與參數,包括要評估的系統、資料及流程。明確範圍有助於將評估重點放在最關鍵的資產上,使流程更易管理且具針對性。
收集相關資訊
在 NIST SP 800-30 風險評估前,事先收集組織技術基礎結構、軟體、硬體及業務流程的所有必要資訊。這包括網路拓撲圖、先前的風險評估報告,以及任何相關的合規要求。
組建風險評估小組
組建一支具備必要專業知識與背景的團隊。該團隊應跨足整個組織(例如:資訊技術、資安、法務及營運部門),以確保考量到所有相關觀點及各部門特定需求。
制定風險評估方法
決定用於識別與分析風險的方法與工具。這可能包括採用定性或定量的風險評估方法,或兩者的組合,只要其符合 NIST SP 800-30 的指導方針,並與組織的風險容許程度及評估目標一致。
溝通與訓練
傳達 NIST SP 800-30 風險評估的目的、方法、工具與技術,並提供相關培訓,以確保利益關係人及參與者了解其在風險評估流程中的角色與責任。
審查法律和監管要求
了解影響組織的合規要求,以確保 NIST SP 800-30 風險評估涵蓋所有義務,從而避免潛在的法律問題。
規劃資料收集
確定資料的收集方式、收集人員及資料來源。妥善規劃有助於高效率地蒐集準確且相關的資料,並加速 NIST SP 800-30 風險評估流程。
制定時間表
設定完成 NIST SP 800-30 風險評估的現實時間表。特別要考量特定目標的截止日期,尤其是在評估受外部法規或合規要求驅動的情況下。
進行風險評估
進行風險評估涉及一個系統化流程,組織需識別、分析並評估所面臨的風險。這對於制定有效的風險管理與減輕策略至關重要。以下為該流程的一般執行概述,並緊密依循 NIST SP 800-30 的指導方針。
考慮潛在威脅
識別可能威脅組織數位資產的潛在威脅。這些威脅可能包括:
識別弱點
進行弱點掃描與稽核,以偵測組織系統及流程中可能導致資安事件的缺口。這應包括檢視組織的安全政策、程序及控制措施。
評估可能性和影響
評估每個已識別威脅被利用及弱點被攻擊的可能性。根據潛在的財務損失、聲譽損害、營運中斷及法律影響,將可能性分為高、中、低。在此過程中,需考量直接與間接影響,可使用以下方式:
- 現有控制措施效能的判定
- 專家意見
- 歷史資料
- 有關威脅來源能力及其動機因素的資訊
- 趨勢分析
計算風險
將事件發生的可能性與影響程度結合,以判定整體風險。這可以透過風險矩陣量化,例如追蹤預期的金錢損失,或依據既定標準以定性方式描述,使用低、中、高等級來表示。
確定風險優先順序
根據風險的嚴重程度以及組織的風險承受能力對風險進行排序。此步驟可將資源與精力集中於最關鍵的風險上。根據組織的風險管理政策,決定是否接受、避免、轉移或減輕每項風險。
識別並評估現有控制措施
檢視現有的安全措施與控制手段,以判斷其在降低弱點及減輕風險方面的有效性。注意檢查現有措施不足之處,找出控制缺口。
制定額外的風險減輕策略
對於風險水平不可接受的項目,在考量現有控制措施後,需識別額外的減輕策略。這些策略可能包括強化安全控制、實施新的安全措施、投資技術升級、調整營運作法,或選擇接受或轉移風險。進行成本效益分析可協助決定應採取哪些減輕策略。
文件和報告
在 NIST SP 800-30 風險評估過程中,記錄所有發現,包括已識別的風險、其發生可能性與影響程度、現有控制措施,以及建議的額外減輕措施。紀錄應清楚且完整,因其將作為決策與合規要求的依據。編寫風險評估報告,將結果傳達給利益關係人,包括管理層及必要時的外部相關方。
風險評估資訊傳達
傳達與 NIST SP 800-30 風險評估相關的資訊至關重要,因為它可確保利益關係人了解組織所面臨的風險。以下為有效傳達的幾項建議,有助於縮短從識別風險到採取減輕行動之間的落差。
了解受眾
根據受眾的知識程度與關注重點調整資訊傳達方式,以確保資訊相關且易於理解。例如,技術人員可能需要了解弱點與控制措施的詳細資訊,而高階管理層則可能更關心風險對業務目標及整體風險態勢的影響。
使用清晰簡明的語言
在描述風險、其可能後果及建議的減輕措施時,應使用直接且清楚的語言。避免使用可能造成混淆的專業術語或名詞;若不可避免需要使用技術性詞彙,務必簡單清楚地加以定義。
對不確定性保持透明
風險評估通常涉及不確定性。應對這些不確定性保持透明,包括資料的限制以及在評估過程中所做的任何假設。
突顯主要發現與建議
在資訊傳達時,先提供最關鍵發現與建議行動的摘要。即使受眾未閱讀完整文件或參與整場簡報,也能確保主要訊息被傳達。
利用清單或項目符號突顯重要的發現與建議。並在可能的情況下,提供如何減輕或應對風險的建議,以增強受眾的行動能力。
使用視覺輔助工具
使用視覺輔助工具來補充書面或口頭說明,而非取代其內容。確保這些視覺工具清晰且標示適當。
圖表、統計圖及矩陣是傳達複雜資訊的有效視覺輔助工具。例如,風險矩陣可用來呈現各種風險的嚴重程度與發生可能性。
使用多種管道
透過多種管道傳遞資訊,以觸及更廣泛的受眾,並滿足不同資訊接收偏好。建議的傳達管道包括社群媒體、電子報、內部協作系統、簡報及報告。
提供背景和理由
透過將已識別的風險與較熟悉的風險進行比較,或以具體方式說明其潛在影響,來提供風險的背景資訊。這有助於受眾理解風險的嚴重性與相關性。
務必說明為何某些風險因其發生可能性及潛在影響而被認為比其他風險更重要。此外,應說明建議的減輕策略背後的理由,包括所考量的權衡或其他相關因素。
鼓勵回饋與討論
明確表示歡迎回饋,並提供回饋管道。然而,接收問題或意見的人員需準備好回應問題與釐清誤解,並在必要時提供進一步說明。
鼓勵對話可獲得更多洞察,並促進風險管理的共同責任文化。提供受眾提問或表達關切的方式,並確保後續追蹤溝通結果,以確認資訊已被接收、理解並在必要時採取行動。
維持風險評估
維持有效的風險評估流程需要定期更新評估內容,以反映新資訊、環境變化及過往經驗的教訓。以下為有效維護風險評估工作的幾項考量。
適應變化
主動調整風險評估策略,以反映新的威脅或營運條件的變化,這些變化可能源自技術進步、法規變動或公司營運方式的調整。
進行定期審查
定期檢視風險評估的指標與流程。檢視頻率應根據風險性質、環境變化或任何重大相關事件而定。
持續改進
評估風險及風險評估流程,並根據績效、回饋及環境變化進行改進。
文件變更
記錄風險評估中所做的任何變更及其原因。這些紀錄對於了解風險管理策略的演進,以及在審計或檢查時支持決策至關重要。
與利益關係人互動
持續與利益關係人互動,以收集其見解與回饋。這些利益關係人可包括員工、客戶、在地社群及監管機構。利益關係人的回饋能提供新的觀點與資料,這些資訊可能在其他情況下無法取得。
建立績效指標
制定一套用於衡量風險管理流程效能的指標。這些指標可包括事件發生頻率、回應時間,以及風險及其減輕措施的成本影響。
整合新資料
隨著新資料的取得,應將其納入風險評估流程及減輕措施中。這可能包括技術變化、新的科學研究,或來自持續風險監控的更新資訊。還應納入從事件應變活動中獲得的深入解析,以優化持續的風險評估工作。例如,若發生資安事件,應進行分析以了解先前對相關風險的評估是否充分,並判斷是否需要調整風險排序或控制措施。
運用科技
使用專為風險管理設計的科技與軟體工具。這些工具可協助分析複雜資料、追蹤變化,並在達到特定門檻時發出警示。
NIST 800-30 常見問題解答
以下是有關 NIST 800-30 的一些常見問題的解答。
什麼是 NIST 800-30?
美國國家標準與技術研究所 (NIST) 發布的特別出版物「NIST SP 800-30:風險評估指南」是一個強大的工具,提供關於如何在聯邦資訊系統及組織內進行風險評估的完整指導。NIST SP 800-30 是更廣泛的 NIST 800 系列的一部分,旨在促進資訊系統與網路的安全性。
誰必須遵守 NIST 800-30?
NIST 800-30 是為美國聯邦機構設計,協助其對資訊系統進行風險評估。然而,該指南已被私人企業、州與地方政府,以及與聯邦機構合作的承包商廣泛採用,以使其風險管理實務保持一致。
NIST 800-30 與網路安全風險管理有何關係?
NIST SP 800-30 指南是更廣泛的 NIST 風險管理框架的一部分,該框架旨在協助組織管理及減輕其資訊系統相關的風險。指南闡述了一個系統化流程,用於識別、估算及優先排序資訊安全風險,這是完整網路安全風險管理策略的核心要素。NIST SP 800-30 協助組織評估潛在安全威脅的影響,並決定適當的風險回應措施,以保護其資訊系統與資料。
什麼是 NIST 800-53 控制類別?
NIST SP 800-53 提供了一份針對聯邦機構及其資訊系統量身打造的完整安全與隱私控制清單。其控制措施依類別進行組織,每個類別將特定類型的相關控制措施聚集在一起。這些控制類別有助於將廣泛的安全與隱私措施整理成可管理且相關的群組,使組織更容易實施與評估。
NIST SP 800-30 的價值
組織可從 NIST SP 800-30 中獲得廣泛益處,因其提供了一份完整指南,不僅協助進行詳細的風險評估,還促進將這些評估整合到更廣泛的安全與風險管理實務中。透過遵循 NIST SP 800-30 的指導,組織能更有效地防範潛在威脅,並確保其資訊系統的機密性、完整性與可用性。
