• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

國際標準資安治理趨勢,橫向縱向與成熟度量測

2026-03-06
分類 : CISO精選, 精選文章
0
A A
0
國際標準資安治理趨勢,橫向縱向與成熟度量測

◤圖片由 Gemini 生成

資安治理環境日趨成熟:國際標準

資安治理在資料、數據相形重要的潮流趨勢下,重視程度逐步升溫,包括金融、高科技產業對此更是愈來愈重視,透過國際標準落實資安治理更是讓各產業的資安團隊想要落實的課題。

文╱梁日誠


◤ 作者梁日誠(CISSP| CISSO| CCISM| CCISA| CCISO| PI| CCP| CCA| AIMP| FIAAIS| FHCA-EU AI Act| CAIE| CDE| CDA| DSFM| CBAE| FHCA-GDPR| GPM-b)現為加拿大 SCC/MC ISO/IEC JTC1/SC42、SC27、ISO/TC22/SC32、IEC/TC65 技術組成員,ISO 42001/ISO 27001/ISO 27701/ISO 22301/ISO 20000-1/IEC 62443-2-1 稽核師及講師,TCIC 環奧國際驗證公司全球營運總經理。

近年企業面對的資安事故,早已不只是資訊或資安部門的議題,一場資安事故,可能同時影響營運交付、供應鏈信任、法規遵循、品牌聲譽,甚至人員與功能安全。

內容目錄 隱藏
資安治理環境日趨成熟:國際標準
「資安治理」須為「組織治理」之一環
資安治理在組織治理中的合縱與連橫
資安治理的嵌入與實現
資安治理的溝通協作與佈署整合
資安治理之成熟度模型
結語

「資安治理」須為「組織治理」之一環

高階管理人員、企業主、董事會與利害關係人真正關心的,往往不是「控制做得夠不夠」,而是:這些風險,是否已被納入整體治理體制?誰對結果承擔可歸責性?組織是否擁有長期承擔與修復風險的能力?

這正是國際標準如:「ISO 27014 Governance of Information Security 資安治理」、「ISO 38500 Governance of IT for the Organization IT 治理」、「ISO 37000 Governance of Organizations 組織治理」、「ISO 37004 Governance Maturity Model – Guidance 治理成熟度模型指引」所因應的治理議題,治理相關的國際標準並非管理系統標準(MSS),而是一套適用於所有組織的「整體治理指導」並由管理系統所支撐,強調治理用以指導、評估、監督並對組織達成其目的負責。在國際標準的脈絡下,資安治理不再是獨立專題,而是組織治理框架中的一個必要面向。

資安治理在組織治理中的合縱與連橫

資安治理與其他治理議題如:IT 治理、人工智慧(AI)治理、資料(Data)治理等,連橫(Communicate and Collaborate)於組織治理之中,如圖<A>所示(資料來源:ISO 37000、ISO 38500、ISO 38507、ISO 27014、ISO 5259-5),展現資安治理嵌入於組織治理之中。

在 圖<A> 架構中,最上層是 ISO 37000 所定義的組織治理(Governance of Organization);中層透過治理層的指導(Direct)、評估(Evaluate)、監督(Monitor)形成決策循環;下層則是各對應的管理系統與實務領域的組織管理(Management of Organization)實務運作。

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]

ISO 37000 以目的(Purpose)為核心的「主要治理原則(Primary Governance Principle)」,延伸至價值創造、策略、監督與可歸責性等「功能性治理原則(Functional Governance Principles)」,並透過利害關係人參與、領導力、資料與決策、風險治理、社會責任與長期可行性及績效等「賦能性治理原則(Enabling Governance Principles),確保組織能在各樣性的環境中持續運作。

在組織治理中,資安不是目的,而是支撐組織核心業務與長期價值的治理能力之一;在下層的組織管理中,資安管理靠著合縱(Implement and Integrate)各特定領域資安的能力,支撐著資安治理之所需。

資安治理的嵌入與實現

在 ISO 37000 的組織治理視角下,資安治理並不是新增一套平行治理,而是嵌入(Fit-in)於既有的治理原則與可歸責性結構,至於 ISO 27014 的角色,則是將資安轉化為一個可被組織治理層指導、評估、監督與可歸責性的治理議題。

換言之,ISO 27014 所詮釋的是,在 ISO 37000 的組織治理原則之下,資安對應的治理方向,例舉如圖<B>。

◤ <圖 B> 在 ISO 37000 的組織治理原則之下,資安對應的治理方向。

資安治理的溝通協作與佈署整合

在組織治理(Governance of Organization)層,資安治理須能與其他治理主題以共通的語言橫向(如圖<A>標註(H)處)溝通。這些其他治理面向通常包括如:IT 治理、AI 治理、資料治理與隱私治理,資安治理也須與其他治理主題協作而避免重工。

由此對應到組織管理(Management of Organization)層,資安管理亦須與其他管理主題橫向(如圖<A>標註(H)處)溝通與協作,如常見的「整合式管理系統 IMS)」即為依「國際認證論壇(IAF)」的規範進行跨管理主題的管理系統實作,IMS 也恰展現組織管理層可以有效地支持組織治理層的溝通與協作之需。

此外,在組織治理層與組織管理層間,可以透過縱向(如圖<A>標註(V)處)的 Direct、Evaluate、Monitor 的佈署,讓治理縱向落實到具體的管理系統與營運場景,並建立端對端的資料可視性 Visibility(如圖<A>標註(V)處),以支持如資安治理儀表板(Dashboard)的應用,展現資安治理的可視性與透明性。

在組織管理層的實際環境中,資安治理對應的資安管理領域,可見以 ISMS(ISO 27001)為縱向(如圖<A>標註(V)處)主軸,依特定領域與風險情境整合特定領域資安標準的趨勢,如:

■ OT 與工業自動控制系統安全(IEC 62443系列)
■ 供應鏈資安(ISO 27036 系列、IEC 62443-2-4、CMMC、NIST SP800-171/172、ISO 22318)
■ 雲端安全(ISO 27017、FedRAMP)
■ 個資保護(ISO 27018、ISO 29151、ISO 27701)
■ AI 與資料安全(ISO 27090(發展中)、ISO 27091(發展中)、NIST AI RMF)
■ 醫療與關鍵基礎設施安全(ISO 27799、SMART on FHIR、ISO 27019)
■ 半導體產業資安(SEMI E187)
■ 歐盟法規(如 CRA、eIDAS)所相關的資安調和標準(Harmonized Standards)
■ 安全的軟體生命週期(SSDF、SBOM、DevSecOps)
■ 道路車輛資安(ISO 21434、TISAX)
■ 建築資訊模型安全(ISO 19650-5)

這些特定領域資安標準不是彼此競爭,而是透過縱向整合,讓資安治理要求能在不同特定領域中可被執行或驗證,並使得所需的資安管理資料可視於資安治理中,常見的 Crosswalk 便是特定領域資安標準間的對應展現,也具備避免重工的效果。

資安治理之成熟度模型

當資安治理的橫向與縱向架構逐漸清晰後,資安治理成熟度便下一個必然的議題。「ISO 37004 Governance Maturity Model – Guidance 治理成熟度模型指引」提供一個可量測、可彙總、可改善、可陳報的治理成熟度模型,可將此模型應用於資安治理,以 ISO 27014 的資安治理條件(Conditions)與原則(Principles)作為治理構面(Dimension),並從三個成熟度面向(Aspects)進行量測:

■ Behaviour(行為):著眼於資安治理行為是否如預期發生,如:是否主動要求資安風險評鑑、是否將 OT 與供應鏈納入資安治理視角。
■ Effectiveness(有效性):著眼於資安治理是否達到如預期的結果,如:是否能在事故發生前透過異常偵測與預警降低衝擊。
■ Efficiency(效率):著眼於資安治理是否以合理成本達成預期的效果,如:是否避免重複投資,是否透過Crosswalk 降低合規與稽核負擔。

透過資安治理成熟度模型的彙總機制,這些量測結果可以進一步產出:資安治理原則成熟度、資安治理條件成熟度、整體資安治理成熟度(Overall Cybersecurity Governance Maturity),資安治理成熟度模型範例示意圖如 圖<C>(資料來源:ISO 37004),使資安治理具備了與財務、ESG、風險治理等相類似的治理量測機制。

結語

採用以 ISO 37000 組織治理為根基而架構於其上的 ISO 27014 資安治理,應用 ISO 37004 成熟度模型,可以觀察到一條明朗的治理脈絡:資安不再只是「做了什麼控制與管理」,而是「是否具備可被指導、可被評估、可被監督、可被量測與持續改善的治理能力」。

[推薦閱讀:從 Moltbot/OpenClaw 看紫隊演練的必要性 ]

當資安能同時做到:在組織治理/管理層與其他治理/管理面向溝通協作(橫向)、在組織管理層佈署整合各特定領域並回饋治理決策(縱向)、並能被量測其成熟度與展現治理與持續改善的成果,才能真正成為組織資安治理的具體展現。

當前資安管理範圍的侷限性,如僅限於特定核心資通系統,也連帶影響了資安治理的透明性,或許柏拉圖法則(Pareto Principle,或稱 80/20 法則)是各組織較能平衡投入資源與劃定適當資安治理範圍的考量機制。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

564x96 Cio Taiwan形象稿
上一篇文章

【專訪】和泰汽車 MaaS 先進策略本部長韓志剛

下一篇文章

聯發科達哥新進展 說台語也會通

相關文章

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊
CISO精選

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

2026-07-04
1d11_1
精選文章

Harness Engineering 與 FDE 崛起 落實 AI 轉型

2026-07-02
下一篇文章

聯發科達哥新進展 說台語也會通

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

AI 時代的新課題:企業如何建立 Token 治理?

掌握五大 Token 治理策略,別讓不透明的 AI 成本燒光您的年度預算! 文/

資誠與北醫共建 AI 創新平台 智慧醫療競爭力邁向生態系

整理/鄭宜芬 資誠(PwC Taiwan)17日舉辦「Pitching Wedn

【金融業】後量子密碼遷移 PQC 的落地實務

一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量

從機器人到服務平台 AI、雲端與訂閱制開拓陪伴經濟市場

文/鄭宜芬 AI浪潮席捲全球,各界對人形機器人的期待也持續升溫。友訊科技執行長張

量子軟體生態系 2028 年將成戰場

文╱黃光彩 量子運算正從「科學承諾」快速走向「系統交付」。一場由政府宣示、硬體路

地緣政治進入供應鏈,企業無法迴避的現實

當地緣政治成為常態性的營運變數,資訊長所肩負的責任,已遠超過維持系統穩定運行。

剖析 Miasma 蠕蟲對 AI 供應鏈的系統性打擊與防禦

編譯/Frances 短短一個月內(2026 年 5 月至 6 月),全球開源與

當 CRM 成為照妖鏡,CIO 敢不敢看?系統照出了醫療體系的什麼原形?

這面鏡子照出的,不是妖魔鬼怪,而是醫療體系在面對龐大的營運與效率壓力時,最真實、

InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

整理/鄭宜芬 隨著生成式 AI與自動化技術重塑產業生態,資訊安全面臨前所未有的挑

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音