美國關鍵基礎建設資安框架採用COBIT 5做為參考文件

美國政府在今年二月公布「改善關鍵基礎建設資安框架(Framework for Improving Critical Infrastructure Cybersecurity)」資訊(http://goo.gl/fRJbwb),以強化美國關鍵基礎建設的強度,同時根據全球採行的標準與產業的最佳實務來制定,以便協助組織管理資安風險;本次公布最大亮點就是它將COBIT 5 納入參考文件,使得這個框架的運用層面更加廣闊,也更貼近融入GRC整體架構。

美國國家安全和經濟安全所仰賴的是「可靠運作的關鍵基礎設施」,網絡安全威脅利用不斷增加的複雜性和連通性關鍵基礎設施系統,讓國家安全、經濟、公共安全和健康置於危險當中,類似於財務和聲譽的風險,網絡安全風險已影響到公司營運績效,它會拉高費用和影響收入,並可能會損害到一個組織去創新及取得和維護客戶的能力。為了有效解決這些風險,美國總統於2013年2月12日以行政命令13636頒佈「改善關鍵基礎建設資訊安全」,其中規定它是美國的政策,為加強美國國家關鍵基礎設施安全與彈性,和維護一個鼓勵高效、創新、和經濟繁榮的網路安全環境,同時促進安全、保安、商業機密、隱私和公民自由。

本框架著重於使用業務導向因素,以指導網路安全活動和考量網絡安全風險,做為組織風險管理程序的一部分。該框架由三部分組成:核心框架層級、框架圖像層級和框架實施層級。框架核心層級是網路安全活動、成果、和參考資料的集合,是經常在重要基礎設施架構間,提供發展個別組織圖像檔案的細步指導。透過使用圖像文件檔案,此框架將協助組織調整其網路安全活動與其業務需求、風險承受能力和資源。各層級提供一個讓組織檢查和了解他們管理網路安全風險方法的特性之機制。

進一步內容,請參考文件網址: http://goo.gl/fRJbwb

Notional Information and Decision Flows within an Organization

關於國際電腦稽核協會(ISACA)的參與過程,請參考右列網址: The new US cybersecurity framework—and how ISACA was involved

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員