資安治理環境日趨成熟:國際標準
資安治理在資料、數據相形重要的潮流趨勢下,重視程度逐步升溫,包括金融、高科技產業對此更是愈來愈重視,透過國際標準落實資安治理更是讓各產業的資安團隊想要落實的課題。
文╱梁日誠

近年企業面對的資安事故,早已不只是資訊或資安部門的議題,一場資安事故,可能同時影響營運交付、供應鏈信任、法規遵循、品牌聲譽,甚至人員與功能安全。
「資安治理」須為「組織治理」之一環
高階管理人員、企業主、董事會與利害關係人真正關心的,往往不是「控制做得夠不夠」,而是:這些風險,是否已被納入整體治理體制?誰對結果承擔可歸責性?組織是否擁有長期承擔與修復風險的能力?
這正是國際標準如:「ISO 27014 Governance of Information Security 資安治理」、「ISO 38500 Governance of IT for the Organization IT 治理」、「ISO 37000 Governance of Organizations 組織治理」、「ISO 37004 Governance Maturity Model – Guidance 治理成熟度模型指引」所因應的治理議題,治理相關的國際標準並非管理系統標準(MSS),而是一套適用於所有組織的「整體治理指導」並由管理系統所支撐,強調治理用以指導、評估、監督並對組織達成其目的負責。在國際標準的脈絡下,資安治理不再是獨立專題,而是組織治理框架中的一個必要面向。
資安治理在組織治理中的合縱與連橫
資安治理與其他治理議題如:IT 治理、人工智慧(AI)治理、資料(Data)治理等,連橫(Communicate and Collaborate)於組織治理之中,如圖<A>所示(資料來源:ISO 37000、ISO 38500、ISO 38507、ISO 27014、ISO 5259-5),展現資安治理嵌入於組織治理之中。

在 圖<A> 架構中,最上層是 ISO 37000 所定義的組織治理(Governance of Organization);中層透過治理層的指導(Direct)、評估(Evaluate)、監督(Monitor)形成決策循環;下層則是各對應的管理系統與實務領域的組織管理(Management of Organization)實務運作。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
ISO 37000 以目的(Purpose)為核心的「主要治理原則(Primary Governance Principle)」,延伸至價值創造、策略、監督與可歸責性等「功能性治理原則(Functional Governance Principles)」,並透過利害關係人參與、領導力、資料與決策、風險治理、社會責任與長期可行性及績效等「賦能性治理原則(Enabling Governance Principles),確保組織能在各樣性的環境中持續運作。
在組織治理中,資安不是目的,而是支撐組織核心業務與長期價值的治理能力之一;在下層的組織管理中,資安管理靠著合縱(Implement and Integrate)各特定領域資安的能力,支撐著資安治理之所需。
資安治理的嵌入與實現
在 ISO 37000 的組織治理視角下,資安治理並不是新增一套平行治理,而是嵌入(Fit-in)於既有的治理原則與可歸責性結構,至於 ISO 27014 的角色,則是將資安轉化為一個可被組織治理層指導、評估、監督與可歸責性的治理議題。
換言之,ISO 27014 所詮釋的是,在 ISO 37000 的組織治理原則之下,資安對應的治理方向,例舉如圖<B>。

資安治理的溝通協作與佈署整合
在組織治理(Governance of Organization)層,資安治理須能與其他治理主題以共通的語言橫向(如圖<A>標註(H)處)溝通。這些其他治理面向通常包括如:IT 治理、AI 治理、資料治理與隱私治理,資安治理也須與其他治理主題協作而避免重工。
由此對應到組織管理(Management of Organization)層,資安管理亦須與其他管理主題橫向(如圖<A>標註(H)處)溝通與協作,如常見的「整合式管理系統 IMS)」即為依「國際認證論壇(IAF)」的規範進行跨管理主題的管理系統實作,IMS 也恰展現組織管理層可以有效地支持組織治理層的溝通與協作之需。
此外,在組織治理層與組織管理層間,可以透過縱向(如圖<A>標註(V)處)的 Direct、Evaluate、Monitor 的佈署,讓治理縱向落實到具體的管理系統與營運場景,並建立端對端的資料可視性 Visibility(如圖<A>標註(V)處),以支持如資安治理儀表板(Dashboard)的應用,展現資安治理的可視性與透明性。
在組織管理層的實際環境中,資安治理對應的資安管理領域,可見以 ISMS(ISO 27001)為縱向(如圖<A>標註(V)處)主軸,依特定領域與風險情境整合特定領域資安標準的趨勢,如:
■ OT 與工業自動控制系統安全(IEC 62443系列)
■ 供應鏈資安(ISO 27036 系列、IEC 62443-2-4、CMMC、NIST SP800-171/172、ISO 22318)
■ 雲端安全(ISO 27017、FedRAMP)
■ 個資保護(ISO 27018、ISO 29151、ISO 27701)
■ AI 與資料安全(ISO 27090(發展中)、ISO 27091(發展中)、NIST AI RMF)
■ 醫療與關鍵基礎設施安全(ISO 27799、SMART on FHIR、ISO 27019)
■ 半導體產業資安(SEMI E187)
■ 歐盟法規(如 CRA、eIDAS)所相關的資安調和標準(Harmonized Standards)
■ 安全的軟體生命週期(SSDF、SBOM、DevSecOps)
■ 道路車輛資安(ISO 21434、TISAX)
■ 建築資訊模型安全(ISO 19650-5)
這些特定領域資安標準不是彼此競爭,而是透過縱向整合,讓資安治理要求能在不同特定領域中可被執行或驗證,並使得所需的資安管理資料可視於資安治理中,常見的 Crosswalk 便是特定領域資安標準間的對應展現,也具備避免重工的效果。
資安治理之成熟度模型
當資安治理的橫向與縱向架構逐漸清晰後,資安治理成熟度便下一個必然的議題。「ISO 37004 Governance Maturity Model – Guidance 治理成熟度模型指引」提供一個可量測、可彙總、可改善、可陳報的治理成熟度模型,可將此模型應用於資安治理,以 ISO 27014 的資安治理條件(Conditions)與原則(Principles)作為治理構面(Dimension),並從三個成熟度面向(Aspects)進行量測:
■ Behaviour(行為):著眼於資安治理行為是否如預期發生,如:是否主動要求資安風險評鑑、是否將 OT 與供應鏈納入資安治理視角。
■ Effectiveness(有效性):著眼於資安治理是否達到如預期的結果,如:是否能在事故發生前透過異常偵測與預警降低衝擊。
■ Efficiency(效率):著眼於資安治理是否以合理成本達成預期的效果,如:是否避免重複投資,是否透過Crosswalk 降低合規與稽核負擔。

透過資安治理成熟度模型的彙總機制,這些量測結果可以進一步產出:資安治理原則成熟度、資安治理條件成熟度、整體資安治理成熟度(Overall Cybersecurity Governance Maturity),資安治理成熟度模型範例示意圖如 圖<C>(資料來源:ISO 37004),使資安治理具備了與財務、ESG、風險治理等相類似的治理量測機制。
結語
採用以 ISO 37000 組織治理為根基而架構於其上的 ISO 27014 資安治理,應用 ISO 37004 成熟度模型,可以觀察到一條明朗的治理脈絡:資安不再只是「做了什麼控制與管理」,而是「是否具備可被指導、可被評估、可被監督、可被量測與持續改善的治理能力」。
[推薦閱讀:從 Moltbot/OpenClaw 看紫隊演練的必要性 ]
當資安能同時做到:在組織治理/管理層與其他治理/管理面向溝通協作(橫向)、在組織管理層佈署整合各特定領域並回饋治理決策(縱向)、並能被量測其成熟度與展現治理與持續改善的成果,才能真正成為組織資安治理的具體展現。
當前資安管理範圍的侷限性,如僅限於特定核心資通系統,也連帶影響了資安治理的透明性,或許柏拉圖法則(Pareto Principle,或稱 80/20 法則)是各組織較能平衡投入資源與劃定適當資安治理範圍的考量機制。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















