富邦人壽在總經理陳世嶽（前排中）的支援下，由資安部門花費十個月的時間與心力，自行導入美國NIST CSF網路安全框架，讓該框架成為全公司、跨部門溝通資安的共同語言。（攝影／洪政偉）

NIST CSF導入有賴於跨部門合作

富邦人壽最終順利通過NIST CSF驗證，但是，這個過程的進行並非一帆風順。金融業常見的複雜系統及合規的要求，使得導入NIST CSF資安框架需要跨部門的高強度合作，包括資訊部門、資安單位、風控，以及審計稽覈等。

此外，NIST CSF資安框架雖然脈絡清晰，但要落實到實務中，需要對組織的人員架構、既有流程和企業文化做出部分調整。例如：在辨識（Identify）階段，需要盤點企業所有關鍵資產與風險範疇，過程當中經常涉及不同系統的負責人；在保護（Protect）階段，需要資安政策、技術工具，以及教育訓練的支援，員工對新流程的接受度也是關鍵。

在偵測（Detect）階段，需要部署更全面的監控系統，例如：異常流量分析系統、入侵偵測／防禦系統等；而在回應（Respond），以及復原（Recover）階段，則需要與各部門保持順暢的通訊機制，一旦發生意外事件，可以在最短時間內聚合資源，將影響降到最低。

麵對這些挑戰，黃文解表示，富邦人壽透過多次跨部門會議及內部教育訓練，讓每位員工逐漸理解：資安並非「只有資安部門在管」的議題，而是整個組織共同的責任。

當然，各項制度的落實也非一蹴可幾，而是持續循環的過程，賴居正表示，從最初的評估到最後的驗證，富邦人壽就用十個月的時間，一步步累積經驗，奠定了這次成功驗證的基石。

NIST CSF可協助與內外部利害關係人之間的溝通

富邦人壽對於通過NIST CSF資安框架的驗證，設定了短期和長期目標。黃文解表示，短期目標有二：首先是「與內外部利害關係人溝通」，藉由通過NIST CSF驗證，對內，讓管理層、員工都能更清楚知道：「我們現在哪些網路安全的措施已經到位？接下來還有哪些必須提升的空間？」；對外，可以藉此向主管機關、股東，以及客戶證明，更清楚瞭解該公司在資安保護方面的投入，以及具備的能力。

黃文解進一步解釋，透過導入NIST CSF資安框架，對內做到重新檢視公司資安成熟度，並且透過系統化的風險管理架構，讓員工跟資訊部門之間的合作更緊密；讓公司同仁對資安認知更為深刻，知道好在哪裡、不足在哪裡，因而能朝特定目標改善。

對外而言，壽險保戶在意的，就是個資與交易資訊能否安全無虞，他指出，過去很多保戶或許對「網路投保」心存疑慮，當富邦人壽能拿出NIST CSF驗證來做背書時，對於打消顧客疑慮、讓他們願意嘗試線上投保，具有不容小覷的引流效果。換句話說，他認為，資安驗證並非只是一紙證書，而是能在營運端創造真實的價值，對於該公司推廣網路投保等線上業務具有正向效益。

賴居正則表示，當富邦人壽將作業流程統整到NIST CSF的五大構麵後，方便清楚定義每一起資安事情和資安措施，究竟是「識別」、「保護」、「偵測」、「回應」還是「復原」等不同面向，可以讓每件事情的歸屬更清楚。

比方說，假設今天管理高層提出問題：「富邦人壽在保護（Protect）階段當中，做了哪些措施？」或者「如果遇到突發狀況，回應（Respond）機制是什麼？」賴居正表示，透過NIST CSF資安框架，就可以給予立即、明確的答案，並用一張完整的圖像呈現。

另外他也舉例，像是主管機關提出不同的資安要求時，該公司就能透過五大構麵，釐清到底是哪一個構麵需要補強，也能夠和資訊部門、營業部門等不同單位，在同一個脈絡下討論，不會顯得資安部門好像是來找大家麻煩的。

其次，也能藉此自我檢視與外部評估，黃文解指出，經由第三方機構進行客觀的稽覈，不僅可確認該公司目前的資安成熟度是否符合國際標準，還可以進一步擴大驗證範疇，強化網路安全的防護措施。

黃文解認為，該公司內部過去也曾做過一些成熟度評估，但透過第三方驗證，可以更公正客觀地協助該公司找到合適的定位。「這一部分不僅僅是一種『合規性』的保障，更是一種自我檢核。」他說。

賴居正補充說明，富邦人壽2023年想更進一步瞭解相關的資安措施：到底做得好不好？夠不夠？又該如何評估？他發現，單純靠ISO 27001的定期內稽、外稽，這種只能知道「通過」或「不通過」的驗證方式，對於該公司提高資安防護水準的作為是不夠的。

為了更具體瞭解富邦人壽的資安成熟度，以及接下來該如何完善，賴居正表示，該公司便積極尋找合適的資安框架，以及類似BSI這樣的第三方驗證單位，以客觀、第三者角度更深入審核，讓富邦人壽真正掌握該公司實際資安成熟度，也可以知道同業的水準與企業的資安最佳實務為何，誠實麵對可能有疏漏或缺口的部分。賴居正坦言，這其實就是富邦人壽導入NIST CSF的最大動機：希望提升資安治理能力，並以客觀的方式取得證明。

黃文解表示，NIST CSF 1.1資安框架有五個構麵，可用以檢視現有的資安成熟度，在短期內，該公司希望透過驗證，向各方展現富邦人壽在保護客戶資料上的用心與能力；同時更清楚地瞭解自身在網路安全方面的不足，並從第三方的角度，得到誠實而客觀的建議；更重要的是，可以透過這個過程，讓組織的安全策略與行動更加扎實。

將資安的成熟度從普遍能夠達到的第三級，再往上提升

長期而言，富邦人壽所訂出的目標有三個，黃文解表示，首先，全面提升資安成熟度，將NIST CSF資安框架的各項控管機制融入日常營運當中，持續追求更為高階的資安成熟度，讓企業和組織的資訊安全水準可以做到與國際同步。

黃文解也透露：「就目前的評估結果來看，富邦人壽在部分面向已達第四級（註：一般NIST CSF成熟度有五級）；多數屬於第三級。」他指出，未來該公司希望能把所有資安構麵的成熟度，都提升到第四級，甚至挑戰第五級。

其次，培育資安人才與資安專業，除了建立資安制度，更重要的是，要投資在資安專業人才與相關的資安培訓上，促使員工能夠透過持續進修與驗證，緊跟全球資安發展趨勢。「這不僅是管理制度的升級，也包含人員的教育訓練與專業能力的養成。」黃文解說。

第三，展望未來，NIST CSF 2.0版本先前已經問世，而在新推出的版本中，更加強調「治理（Governance）」構麵，包括：高階管理階層的參與、策略與政策擬定，以及監督與報告機制等。

隨著政府主管機關也不斷關注生成式AI、區塊鏈、雲端服務等新興領域的資安問題時，賴居正表示，若無法妥善將資安問題融入技術應用的初期，便有可能在後續發展留下資安風險。因此，該公司也藉由NIST CSF框架，可以更快把新議題納入既有框架進行評估，確保企業能隨著趨勢演變而持續進步。」

他也補充說明，最初該公司要導入NIST CSF資安框架時，主要想要梳理資安單位該做什麼，接著，纔能夠更有效地和公司內部各部門，尤其是資訊部門的溝通協作。隨著NIST CSF資安框架發展到2.0版本，更加強調「治理」這個構麵時，他認為，對於資安部門而言，透過NIST CSF資安框架，反而可以更輕鬆地向總經理與董事會報告各項資安策略，以及相關成果。

賴居正指出：「未來像生成式AI等新興議題，也能放在NIST CSF這個共同資安框架，進行風險的『識別、保護、偵測、回應與復原』。」

花10個月衝刺導入進度，從零開始、最終成功通過NIST CSF驗證

富邦人壽資訊安全處經理曾淑玲回憶，整個驗證的籌備期，長達十個月左右。她提到，剛開始，該公司曾經想找外部顧問來協助導入NIST CSF驗證，但在臺灣沒看到真正導入成功的案例，加上沒找到合適的顧問，所以，最後決定由富邦人壽資安處的內部同仁負責，執行通過NIST CSF驗證的專案。

曾淑玲指出，過去該公司在導入資安國際驗證，或資安框架制度，例如BS 10012等驗證導入，都頗有經驗，加上部門主管信任的前提之下，花了十個月，包含差異分析、弱點補強，以及和臺灣BSI（英國標準協會）進行高度合作的過程，從預審再到正式驗證，一路都非常緊湊。

在準備NIST CSF驗證的過程，曾淑玲表示，分成幾個重要階段。第一階段先進行差異分析與策略制定，先完成差異分析，再根據分析結果進行弱點補強。

曾淑玲指出，由於NIST CSF在臺灣，先前只有一個通過驗證的企業導入案例，企業若直接向驗證單位提出要求，卻對自身狀況毫無頭緒，很可能因時間不足或問題過多，導致整個過程吃力不討好，「前期的自評與組織溝通尤為關鍵。」她說。

賴居正補充指出，富邦人壽剛開始尋找相關輔導資源時，發現臺灣其實找不到真正熟悉NIST CSF驗證的輔導顧問，若只是針對條文內容、照本宣科，資安處同仁甚至比外部顧問更瞭解自身企業運作邏輯。

曾淑玲表示，公司最後選擇自行導入NIST CSF驗證，關鍵是藉助該公司資安部門同仁，先前有豐富的國際資安驗證（如BS 10012）導入經驗，加上熟悉規則、掌握制度導入的門道，並且與臺灣英國標準協會（BSI）保持密切合作，才能順利完成任務。

賴居正也提及，NIST CSF資安框架的驗證，比起ISO 27001資安管理系統，兩者之間其實還是存在許多細節上的差異，「所以，富邦人壽必須和臺灣BSI進行反覆討論後，才能真正釐清條文所要表達的精神。」他說。

第二階段就是：進行前期評估與模擬驗證。賴居正表示，他們先邀請臺灣BSI以「模擬考」形式先做一次預評估，可以讓富邦人壽更快速瞭解，第三方驗證單位在驗證過程中，到底重視的內涵是什麼，以及更清楚區別NIST CSF資安框架的跟ISO 27001的差異性。

臺灣BSI指出，NIST CSF資安框架跟ISO 27001之間，有九成的重疊，前者更強調實際的控制措施與網路弱點分析。賴居正表示，因為透過該次預評，該公司更清楚「應該補強哪些環節」，才能在去年（2024年）9月正式查覈時，最終以零缺失通過臺灣BSI驗證。

第三階段就是：教育訓練與內部溝通。富邦人壽資訊安全處副處長陳慧玲強調，ISO 27001的基礎，為此次驗證提供了重要支撐，同時針對內部差距分析進行全面教育訓練，幫助各部門降低導入NIST CSF資安框架的阻力。

當初ISO 27001剛出現時，有些企業完全依賴顧問寫檔案，內部卻不真正瞭解要做什麼？為什麼這樣做？即使拿到證書，也難以對實際資安運作帶來幫助。

賴居正表示，同理，企業想真正落實NIST CSF框架，需要內部的資安人員、資訊人員、甚至風險管理單位一同參與，才能真正把NIST CSF資安框架融入日常營運。