关闭

展开

职位空缺

招标资料

联络我们

善用NIST CSF框架 确保网络安全

号称史上最严的欧盟GDPR《一般资料保护规则》,将于本月25日正式实施。现时已经开始有企业因未能符合GDPR要求,需要停止支援欧盟用户。

GDPR要求数据控制者须採取「充足措施」确保数据安全,实际上是要求企业制订资讯安全策略,并须符合公认的保安标准,例如ISO/IEC 27001/27002及美国国家标准技术研究所(NIST)的《资讯保安框架》(简称 NIST CSF)等。

全球监管机构提升对企业资讯保安的要求已成大势所趋,例如香港金融管理局亦推出「网络防卫评估框架」,以一套共通及「风险为本」的框架,让银行评估本身的风险状况,确保其网络防卫能力足以应付。

去年,美国总统特朗普签署网络安全行政命令,要求美国政府机构利用NIST CSF框架推行数据保护和风险管理。这框架不仅适用于美国本土的政府机构,全球企业的资讯保安从业员也可参考该框架及使用其指引,为自己的机构定立资讯保安的最佳作业守则。

NIST CSF框架包括五个核心功能,分别为辨识(Identify)、保护 (Protect)、侦测(Detect)、应对(Respond) 及復原(Recover),为分辨风险、防范及侦测威胁,以及应对资讯保安事故和事后復原,提供了全面的路线图。

国际市场研究机构Gartner 预测,到2020年全美国有一半企业将採用NIST CSF框架,相信会成为网络安全行业的重要标准。香港电脑保安事故协调中心会在往后数周,介绍这框架的每个功能,让大家可以初步了解NIST CSF框架如何实施和改进网络安全。