Industrial Cyber網站在2024年11月27日報導,Australian Institute of Company Directors (AICD)與Cyber Security Cooperative Research Centre (CSCRC)共同發表最新的網路安全治理原則(Cyber Security Governance Principles)。數位供應鏈、資料治理與監理和立法之轉變,在這份新文件裡都有更新。第二版反映了2022年發佈第一版以來的網路安全治理發展,以及新的網路威脅,而且回應了快速變動的網路威脅局勢和日益升高的監理焦點。
為了支持董事,Cyber Security Governance Principles 提供了實務工具,包括特殊的問題、治理紅旗,以及確認表,協助董事會強化網路韌性、改善風險控制並有效監督供應商關係。
Cyber Security Governance Principles確認表強調:藉由明示誰負責網路安全,來建立明確角色與責任之重要性。其建議任命一位網路的「倡導者」來倡議網路韌性和處理相關詢問。此外,它建議要評估:董事或董事群是否應該在監督網路安全上扮演更主動的角色。另外,它還建議要辨明關鍵數位供應商,以及全面瞭解其網路控制。
這兩個機構也建議,要發展、落實及持續修訂全面性的網路安全策略。主動尋找具成本效益的機會,以強化網路能力。評估是否使用有名聲的外部供應商,可較內部管理更能改善網路韌性。還有要辨明關鍵營運與客戶資料、決定誰可以接觸資料,並確保其保護。要嚴格限制關鍵系統與資料之進入權,並定期審視管道控制。要定期對所有員工進行網路安全訓練和意識計畫。此外,還要推動強大的電郵衛生實務。
Cyber Security Governance Principles還強調要培育網路韌性的文化,作法是對所有員工落實強制性的訓練和釣魚測試,在應用時還要針對志工。定期與員工溝通是很重要的,可推動健全的網路實務,包括維持電郵衛生。要鼓勵強健的網路實務,可藉由激勵和任命一位員工當「網路安全主管」來倡導這些好實務,並處理員工之詢問。
兩機構也建議,要藉由發展一個全面性因應計畫,來準備重大網路安全事故,若適當的話,可以使用網路上的範本。要對各式各樣的場景做模擬作業或測試,以確定回應計畫是可行的。也要確保:關鍵資料和系統之實體備援有定期更新、測試和安全儲存。在線下維持一份潛在協助者和關鍵利害關係人名單,以便在重大網路安全事故發生時找得到人。
更新版的原則也認知到,現代組織是在複雜的數位生態體系下運作的,其中與第三方的關係也會帶來重大網路風險的暴露。
Cyber Security Governance Principles強調,所有規模的組織,都能夠採實務性措施來降低數位供應鏈風險,包括比對關鍵利害關係人、以及瞭解供應商的網路安全控制。組織亦可建立數位供應鏈一定程度的餘裕,比如供應商的多元化以及維持關鍵系統之備援。
隨營運和個別資料日益成為組織之命脈,修訂後的Cyber Security Governance Principles強調,健全資料治理的重要性。董事會應該要:在監督其組織資料管理實務上扮演主動的角色、瞭解蒐集到什麼關鍵資料、儲存何處,以及誰可取得;有資料留存、處置和取得管理之明確政策;落實符合安全分級的資料保護措施;以及監督與第三方之間的資料分享措施。
新版原則就董事會可如何準備重大網路事故,以及在事故發生時如何有效且同理心地回應,強化了相關指引。一個關鍵點是:要回應關鍵網路事故的組織,應該詳細注意網路危機的人為影響,包括員工和客戶的。一個有活力、回應人們如何受到影響的董事會,是重建組織聲譽最好的單位。
沒有留言:
張貼留言