網路安全的CARE標準

網路安全的CARE標準

     2020年大部分主要投資網路安全為優先事項，像是執行工具，以避免安全事件等後果，今後網路安全優先事項和投資需要建立在持續(Consistent)、充分(Adequate)、合理(Reasonable)、有效(Effective)的四項準則(CARE)下。這些在商業環境創造機會去製作優先事項和投資的決定會直接影響組織保護的能力和商業成果。

而網路安全標準、架構和完成模型都是為了保護環境而發布的建議，他們通常包括關於工具、策略、安全概念、安全保障、準則、風險管理方法、作用、培訓、最佳實踐、保證和技術等指南。

　　隨著組織企業成熟度提高，這些網路安全標準、架構和完成模型都將會失去控制優先項目和投資，當組織企業處於初期規劃計畫由於增加了潛在投資的複雜性，因此必須更緊密根據組織環境來制定。也有一些組織企業努力地了解並開發相同水準的網路安全防護，並在防護需求和經營企業之前取得平衡。網路安全是一個必然主觀，而這個觀點是一個現實，必須滿足可信和可辯護的優先項目和投資。

將CARE應用於結果驅動的方法

  CARE標準解決了組織企業中決定和實施適當級別的網絡安全時的主觀性問題。它能夠直接看到保護級別的指標和報告以及支援企業決策的管理流程。

  網路安全的結果驅動方法(ODA)是一種管理流程，根據直接瞄準業務環境中的保護級別的結果來驅動優先順序和投資。ODA透過抽象工具、人員和流程來反應一個組織企業受到保護的程度，而不是簡單地反應它是如何受到保護的，而是能夠對網路安全進行更有效的管理。

  ODA是由一系列分散的因素組成的，這些因素影響持續觀測的結果，並使網路安全優先事項和投資得以持續調整。ODA是由結果驅動指標(ODM)推動，這些指標為決定網路安全計畫的優先級別和投資提供了更豐富的知識。

  監管機構在定義CAER標準上選擇的術語中有許多的見解，既貶低了當前網路安全的投資方法，也引入了新的機會，也引入新的機會，讓企業獲利，同時提高了網路安全準備標準。而Gartner統整了牛津辭典對該術語的定義：

1.Consistent (持續)

隨著時間的推移，控制項的工作方式是否相同?

CARE持續的標準：

為了證明持續，網路安全成果需要定期測試和不斷報告，組織企業應了解管理提供的持續保護，ODM不斷更新並反應當前的保護狀態

2. Adequate  (適當、足夠)

你是否有符合另商業需求滿意可接受的管理措施?

CARE足夠性的標準：

為了證明足夠性，組織企業應定義優先順序和投資，透過管理過程開發滿足利益相關者期望的控制。這些優先順序和投資應產生可衡量的網路安全結果的控制。

而不能預期此產生的網路安全結果是傑出或完美的，這些預期的網路安全結果應該由管理人員透過一個在組織企業的風險承受能力範圍內優化風險、價值和成本的業務案例來簽署，但不能超出可接受的行為。

3. Reasonable (合理、有理)

你有適當、公平和適度的管理嗎?

CARE合理性的標準：

合理的管理應該以可信和可辯護的業務需求為指標。每個組織企業都需要靈活性來滿足其獨特的需要和環境。隨者ODM的基準化，公平性將逐漸顯現。在可信的基準出現之前，規模小的組織企業可以效仿他們的同行。有資源這樣做的大型組織可以使用定量評估來確定甚麼對他們的情況是公平的。

在執行中，適度是很重要的。投資應該要合理的，完美的安全不是一個目標或期望

4. Effective (有效的、有力的)

你的控制項目是否成功地產生或預期的保護級別?

CARE有效的標準：

有效的管理提供選擇的網路安全結果，滿足所需的保護級別。控制產生的結果作為ODM的好處進行測量和報告。

在這裡應注意即使企業組織達到了期望的保護級別並且他們是有達到CARE標準，但仍然會遭到駭客的攻擊，因為沒有百分之百完美保護的東西。透過不斷的監控與報告營運ODM和有效的修補漏洞，討論所需保護級別的更改，並與業務需求保持平衡。而這樣的標準和方法將解決許多長期存在的問題。