15. NIST CSF 於近年來已經成為世 界各國使用率最高的資安框架，2024 年 3 月 NIST 公佈了最 新版的 2.0 版，其功能自原有的 5 個主功能，擴增成為 6 大 主要功能，原有的維度為一個維護的防護流程，新的管理功 能加強了原有的 5 個功能外，也使 CSF 更具有效率的方式將 寶貴且有限的資源做最佳的投注。在 2.0 版新增的功能，於 發佈的資料中稱之為下列何項？
(A) 識別(Identify)
(B) 響應(Respond)
(C) 治理(Govern)
(D) 復原(Recover)

總結

NIST CSF 2.0 於 2024 年 3 月發佈時，除了原有的五大核心功能（Identify、Protect、Detect、Respond、Recover）之外，新增了第六大核心功能「治理（Govern）」，以強化組織對資安策略、風險管理、政策與監督等面向的管理與溝通 (csf.tools)。新功能「治理」聚焦於建立並維護風險管理架構與流程，涵蓋政策制定、角色權責、持續監督及供應鏈風險治理等要素 (NIST 出版物)。

原有五大核心功能

1. 識別（Identify）：了解並管理資產、系統與環境的資安風險。

2. 保護（Protect）：實施防護措施以預防或減輕資安事件影響。

3. 偵測（Detect）：及時發現資安事件或異常活動。

4. 響應（Respond）：對已偵測之事件採取行動以加以控制與緩解。

5. 復原（Recover）：支援系統與服務在事件後快速恢復並持續改善 (csf.tools)。

新增第六大核心功能：治理（Govern）

• 定位：作為「跨切」（cross-cutting）功能，治理提供策略層面的引導，確保其餘五項功能得以依據組織目標與風險容忍度落實與調整 (Expel)。

• 範疇：涵蓋風險管理策略、政策制定與執行、角色與權責分配、持續監督機制，以及供應鏈風險管理等。

• 目的：透過明確的治理結構與持續監督，增進決策透明度與問責性，使資源配置更具效率並與組織整體策略緊密結合 (arcticwolf.com)。

答案

(C) 治理 (Govern)