CLOSE

OPEN

CAREERS

TENDER INFO

CONTACT US

善用NIST CSF框架 確保網絡安全 (Chinese only)

號稱史上最嚴的歐盟GDPR《一般資料保護規則》,將於本月25日正式實施。現時已經開始有企業因未能符合GDPR要求,需要停止支援歐盟用戶。

GDPR要求數據控制者須採取「充足措施」確保數據安全,實際上是要求企業制訂資訊安全策略,並須符合公認的保安標準,例如ISO/IEC 27001/27002及美國國家標準技術研究所(NIST)的《資訊保安框架》(簡稱 NIST CSF)等。

全球監管機構提升對企業資訊保安的要求已成大勢所趨,例如香港金融管理局亦推出「網絡防衛評估框架」,以一套共通及「風險為本」的框架,讓銀行評估本身的風險狀況,確保其網絡防衛能力足以應付。

去年,美國總統特朗普簽署網絡安全行政命令,要求美國政府機構利用NIST CSF框架推行數據保護和風險管理。這框架不僅適用於美國本土的政府機構,全球企業的資訊保安從業員也可參考該框架及使用其指引,為自己的機構定立資訊保安的最佳作業守則。

NIST CSF框架包括五個核心功能,分別為辨識(Identify)、保護 (Protect)、偵測(Detect)、應對(Respond) 及復原(Recover),為分辨風險、防範及偵測威脅,以及應對資訊保安事故和事後復原,提供了全面的路線圖。

國際市場研究機構Gartner 預測,到2020年全美國有一半企業將採用NIST CSF框架,相信會成為網絡安全行業的重要標準。香港電腦保安事故協調中心會在往後數周,介紹這框架的每個功能,讓大家可以初步了解NIST CSF框架如何實施和改進網絡安全。