複選題

15. 下列何項正確的描述了美國國家標準技術研究院(NIST)的網路安全框架(Cyber Security Framework, CSF)新增的「治理(Govern)」功能重點?(複選)
(A) 明確高層管理在網路安全策略中的責任與決策角色
(B) 提供技術層面的具體指導來實施威脅緩解機制
(C) 強調將網路安全融入組織的整體風險管理框架中
(D) 引入自動化工具以簡化網路安全事件的回應流程

答案:登入後查看
統計: A(52), B(17), C(50), D(8), E(0) #3536961

詳解 (共 2 筆)

#6622318
  NIST 網路安全框架(CSF)新...
(共 2003 字,隱藏中)
前往觀看
2
0
#6629599

68b2d0c2e9c6b.jpg
68b2d0f759e3a.jpg
NIST 的說法是:

Govern 功能確保網路安全活動與組織的 使命、風險管理、合規義務 相一致。

 -> Govern 功能的重點

  1. 組織層級治理:高層管理必須清楚扮演決策角色與責任(不是純技術人員的事情)。

  2. 網路安全融入整體治理與風險管理:資安風險要被視為企業風險的一部分,而不是孤立。

  3. 政策、程序、角色分工:明確規範資安責任在董事會、CISO、風險委員會之間的關係。

  4. 資源與問責 (Accountability):確保資安有足夠資源,並對外部利害關係人展現透明度。



這題正確答案是 (A)、(C)

詳細解析

背景:NIST CSF 2.0

  • 2024 年更新時,新增了 Govern (治理) 功能,變成六大功能:
    Govern、Identify、Protect、Detect、Respond、Recover

  • 「Govern」的定位是 最高層次的治理與策略,確保資安不只是技術問題,而是 組織治理與風險管理的一部分

選項分析

  • (A) 明確高層管理在網路安全策略中的責任與決策角色

    • ✅ 正確。Govern 的一大重點就是 董事會、C-level、資安長(CISO) 的責任明確化。

    • 要求資安納入 高層決策責任,而不是僅靠 IT 部門。

  • (B) 提供技術層面的具體指導來實施威脅緩解機制

    • ❌ 這比較偏向 Protect / Detect / Respond 的領域。

    • Govern 著重的是「治理與策略」,而非技術細節。

  • (C) 強調將網路安全融入組織的整體風險管理框架中

    • ✅ 正確。Govern 功能強調:

      • 資安風險 ≠ IT 風險,而是 企業整體風險管理 (ERM) 的一環。

      • 要和財務、法遵、營運等風險管理並列。

  • (D) 引入自動化工具以簡化網路安全事件的回應流程

    • ❌ 這屬於 Respond (回應) 功能的範疇,不是 Govern 的重點。

總結

-> NIST CSF 新增的 Govern 功能重點是:

  • (A) 高層責任與決策角色

  • (C) 資安融入整體風險管理

 

2
0