什麼是 NIST 800-37？

能源、供水、交通與通訊等關鍵基礎設施系統，提供了支撐我們社會運作的基本服務。要保護這些重要資產免受現代網路威脅的侵害，需要採用植基於既有風險管理原則的整體性策略。美國國家標準暨技術研究院（NIST）提供了關鍵的網路安全框架，協助關鍵基礎設施的擁有者與營運者管理風險並強化韌性。

本文將探討 NIST 800-37 與 NIST 800-161 框架的核心要素，以及基礎設施擁有者如何運用這些框架來提升安全性。

第一部分：什麼是 NIST 800-37？

NIST 特別出版品 800-37 提供了針對資訊系統與組織的風險管理框架（RMF）指引。這份重要文件首次發布於 2010 年，並於 2018 年更新，概述了一個靈活、基於生命週期的流程，用於整合資訊安全與風險管理。

第二部分：NIST SP 800-37 框架的核心要素

NIST 800-37 提供了一個靈活的基準架構，組織可根據其獨特需求進行調整。然而，有幾項關鍵原則構成了成功實施 RMF 的核心：

• 生命週期觀點：RMF 不是一次性活動，而是持續管理風險的進行式流程。
• 技術中立性：RMF 可適用於所有類型的技術與系統。
• 以風險為基礎：有效的風險評估，無論是在組織層級或系統層級，對於識別適當的控制措施都至關重要。
• 以控制措施為基礎：透過 NIST 標準中概述的可重複使用與可自訂的控制目錄，定義最低安全要求。
• 分層評估：評估的深度與嚴格程度會根據系統的關鍵性而調整。
• 持續監控：定期重新評估控制措施，以因應各種變化。
• 簡化流程：RMF 將其他 NIST 標準的步驟整合為統一的框架。

這些基本原則使 NIST 800-37 能適用於不同的關鍵基礎設施產業與技術，同時促進安全性與韌性。

第三部分：實施 NIST 800-37 框架的最佳實務

成功實施 NIST RMF 需要領導層與員工的共同投入。以下是基礎設施營運者的最佳實務：

• 及早整合安全：在系統生命週期的所有階段，從設計到除役，都應考量安全影響。
• 了解你的資產：維護詳細的系統、元件與資料清單，以定義安全類別與控制措施。
• 優先排序控制措施：將資源集中在能為關鍵資產提供最大安全價值的控制措施上。
• 提升認知：為人員提供 RMF 培訓與存取控制政策。
• 嚴謹記錄：保存所有活動的記錄，以便進行品質控制與監督。
• 自動化流程：運用自動化工具來簡化工作流程、提高一致性，並節省人工作業的時間。
• 簡明報告：為領導層與監督機構製作簡潔的安全狀態報告。
• 促進溝通：鼓勵安全與系統人員之間開放溝通，以了解營運需求。

遵循這些最佳實務有助於將安全融入正常的系統運作，同時優化稀缺資源。基礎設施組織的員工必須共同合作，針對最高優先級的系統與資料實施 RMF 原則。

第四部分：NIST 網路安全框架簡介

雖然 NIST 800-37 提供了廣泛的風險管理框架，NIST 還提供了其他指引來協助保護關鍵基礎設施：

NIST 800-39

這份於 2011 年發布的手冊，概述了 NIST 出版品中使用的風險管理流程。它提供風險框架、評估、回應與監控的指引。NIST 800-39 透過詳述如何系統性地評估與監控資訊安全風險，來補充 800-37。

NIST 800-161

這項近期的供應鏈風險管理標準，提供了識別、評估與緩解產品及服務供應鏈中漏洞的指引。供應鏈安全是基礎設施營運者的主要風險暴露點，使 NIST 800-161 成為 RMF 的重要配套標準。

第五部分：使用 EdrawMax 建立風險管理圖表

視覺化圖表可協助基礎設施安全團隊理解並溝通NIST 標準中概述的風險管理流程。EdrawMax 是一款使用者友善的圖表繪製軟體，擁有豐富的範本庫，非常適合此項任務。

使用 EdrawMax，使用者可從預先製作的 NIST 800-37 圖表範本中選擇，並透過新增圖形與對齊元素來自訂圖表。智慧繪圖輔助功能（如對齊參考線、自動間距與物件貼齊）有助於快速建立專業圖表。

透過將強大的自訂選項簡化為簡單的拖放操作，EdrawMax 讓傳達複雜的 NIST 指引變得輕而易舉。

以下是使用 EdrawMax 建立風險管理圖表的步驟：

步驟 1：

開啟 EdrawMax，在圖表類別下選擇「風險管理」。這會開啟風險管理圖表範本清單。瀏覽範本並選擇一個最符合您想建立的風險管理圖表類型的範本。

步驟 2：

從左側的圖形庫拖放圖形來自訂範本。新增或移除圖形以配合您的特定需求。

步驟 3：

在圖形中輸入文字以標示元素或顯示說明。在畫布上調整大小、對齊並排列圖形與連接線。

步驟 4：

使用右側的格式設定面板變更圖形顏色、線條樣式與字型。套用自訂顏色以強調風險等級。

步驟 5：

完成自訂後，點擊「儲存」或「另存新檔」以儲存圖表供日後編輯使用。

透過運用 EdrawMax 中的風險管理範本，您可以有效率地建立自訂的專業品質圖表。

結論

隨著網路威脅日益複雜，關鍵基礎設施產業可運用經過驗證的 NIST 框架來管理風險並強化防禦。NIST 800-37 提供了一個靈活的藍圖，用於持續評估威脅、實施控制措施，並使系統更具韌性。