基本上網路安全其目的就是為了組織的風險管理而存在的,探討網路科技所帶來的威脅是如何影響到公司資產,這些系統能為公司帶來商業價值,同樣也可以造成等值的商業損失,所以我們才需要想控管機制來管理風險,我們利用網路安全的方法來解析數種元素之間的關係
從最底層來看是網路安全框架提供安全控管來保護組織降低風險,例如ISO27000系列的認證、NIST網路安全框架或者其他種可以合作的控管機制框架皆可,主要是控管網路安全事件管理
而最上層的威脅是漏洞利用造成的資安事件,組織應該分類出這些事件,這些資安事件會危害組織降低商譽及資產,包括得花多少成本來處理資安事件,最後一項元素就是會引發風險的公司資產,是公司最重要的價值也是攻擊者最想要的目標,資安事件管理控管屬於一種全面性的流程主要目的是偵測及分類組織內的元素或資產是否會成為事件,協助資安團隊進一步的調查與解決問題
資安框架建議可以採取NIST的網路安全框架(NIST Cyber Security Framework, CSF)[1],CSF中的六個功能可以作為控管機制的參考,其框架將網路安全架構轉換成容易理解的的形式,能夠幫助網路安全人員以及高階主管更方便理解保護組織的方法與觀念
Reference
[1] The NIST Cybersecurity Framework (CSF) 2.0:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
