有些人對於NIST CSF v2.0治理功能有些誤解,主要還是用NIST CSF v1.1的概念去思考。在過去網路安全政策與治理在組織是以支援性質(supporting activities)存在,而非領導主責(leading activities),這與NIST CSF v2.0強調的治理功能來看,是互相衝突與矛盾的。
過去,治理在NIST CSF v1.1相關的內容分散在「識別 (Identify)」功能,導致許多企業將資安治理視為 IT /Cybersecurity部門的「行政庶務」(Supporting activities),使得資安與營運脫鉤。NIST 為了調整這個情況,在 CSF 2.0 中,NIST 專門新增了一個獨立的核心功能:治理 (Govern),也就意味治理不再是躲在後面的「行政支援」。
NIST CSF 2.0 強調:
• 治理不是技術問題,而是營運(business)問題: 如果領導層不帶頭確定風險優劣順序,技術團隊的防禦就會缺乏方向。
• 當責性 (Accountability): 治理功能要求組織的高階主管(C-level)與董事會對資安結果負責,而不僅僅是資安長 (CISO) 的責任。
• NIST CSF v2.0治理功能是「因」,其他管理功能是「果」。沒有治理的引領,識別與保護就只是盲目的技術堆疊。
