TTC-電信技術中心全球資訊網

美國國家標準暨技術研究院（National Institute of Standards and Technology , NIST）針對資通安全框架（Cybersecurity Framework, CSF）2.0改版於2022年2月進行意見徵集（Request for Information, RFI）與分析，並於同年6月3日公布分析結果，以作為改版依據。NIST期望公私部門更能廣泛應用CSF2.0於網路安全風險管理，強化組織韌性，進一步提升國家經濟安全。

NIST向全球已導入CSF之機構徵集使用心得，並就 CSF 2.0徵求相關建言，以改善框架實施的有效性。CSF 1.0建立於2014年，被全球185國家所採用，企業可透過由識別（identify）、防護（protect）、偵測（detect）、回應（response）、復原（recover）形成的5大循環框架，配合實施層級（Implementation Tiers）建立自身的描述檔（profile），用以協助企業持續改善資通安全。CSF於2018年首次改版為CSF1.1，主要更新是為重新闡明部份安全用語以提升實施指引的精確性， 2022年的2.0改版則是為因應持續演變的網路安全生態進行內容調整，NIST將透過意見徵集（RFI）、舉辦網路論壇、工作坊等形式蒐集利害關係人對於CSF2.0草案的回饋。

本次意見徵集結果總共獲得超過130則回覆，除了來自國際網路安全標準組織與各國政府機構之外，超過半數來自產業意見，尤其以IT科技業為大宗，包括Microsoft、IBM、Cisco等科技巨擘，其他則來自通訊、能源、金融、醫療等領域。NIST將RFI歸納成7大主題：

• 主題1：聚焦於維護和建立CSF框架更新時的關鍵屬性
• 主題2：維持CSF與其他NIST既有架構的一致性
• 主題3：提供更多的CSF實施指引
• 主題4：確保CSF框架得以維持技術中立，但容許不同的技術議題，包含新技術的演進與實務
• 主題5：強調評估框架實施結果的方式與量測標準的重要性
• 主題6：供應鏈的網路安全風險納入框架之考量
• 主題7：透過國家改善供應鏈資通安全倡議（National Initiatives for Improving Cybersecurity in Supply Chains, NIICS）對應既有的實施措施，並提供有效的實作指引和工具，以強化網路安全供應鏈風險管理。

主題1到主題3針對CSF內容調整的一般性建議。多數建議認為CSF2.0應維持有其簡單、彈性且能適用於各產業之關鍵屬性，並確保新舊版本之相容性。另一方面則希望強化NIST與聯邦法制、國際安全標準等非NIST體系之研究資源與模型的一致性，如納入更多參考資源在國家線上資訊參考計畫（Online Informative References Program, OLIR）所提供的資料比對平臺上，來強化框架與其他實施指引之間的對應關係。

主題4特別指出CSF2.0需反應現階段資訊科技/營運科技（IT/OT）匯流的技術趨勢，在網路風險管理層面，應考量橫跨IT、OT、物聯網（IoT）、容器（container）與雲端環境之資訊資產，或將工業控制系統（ICS）安全指引與框架對應等建議。意見普遍認為雲端運算與共享服務商業模式將是未來應新增的議題。

主題5指出CSF2.0應強調評量工具會因不同評估對象（例如自評、供應商、產品或服務）而異，並提供額外指引。此外，資通安全指標應更細緻反映需求，例如新增特定安全指標的子類目（subcategory）與其對應的實施措施，以確保該措施之可衡量性及有效性；一般普遍認為CSF仍需對應既有的成熟度評估機制。

主題6與主題7凸顯近年全球普遍重視的供應鏈安全管理問題。多數意見認為，與其新設立一個供應鏈風險管理（Supply Chain Risk Management, S-CRM）框架，不如將S-CRM納入既有的CSF框架避免外界混淆。在資產管理的資訊上，建議NIST要強化對於物料清單，尤其是軟體物料清單（Software Bill of material, SBOM）的安全指引，SBOM在雲端服務供應鏈屬於重要環節。在開源軟體的使用上，則建議NIST可提供風險評估指引，並協助開源社群識別相對應的風險。最後，多數評論認為，NIST可以透過NIICS促使國內其他政府機構的政策倡議能彼此同調，例如以NIICS負責整合既有的聯邦倡議內容，或與部門單位合作推廣雲端、軟體或技術託管解決方案的益處。

各國政府與產業在重視資通安全的同時，亟需一個國際共通且能清楚解決複雜網路問題的風險溝通準則。NIST此次的CSF 2.0意見徵集反映眾所關切的雲端服務、開源軟體使用、供應鏈風險管理等新興議題，將被納入未來框架的改版範圍，預期將對全球政府或產業資通安全政策造成一定的變動與影響。