首頁 最新消息 領航觀點 強化組織資安治理-認識「CSET」資安治理的加速器

最新消息

強化組織資安治理-認識「CSET」資安治理的加速器

CSET 資安評估工具 CISA Cyber Security Evaluation Tool OT資安自評 工控資安 資安成熟度評估工具 OT Cybersecurity Assessment

一、CSET是什麼?

CSET(Cyber Security Evaluation Tool),由美國官方網路安全暨基礎設施安全局(CISA)開發的免費軟體,提供系統性、規範化且可重複的安全態勢評估方法。此工具引導資產擁有者及營運者透過逐步流程,評估其工業控制系統(ICS)及資訊技術(IT)網路安全實務,並協助使用者運用眾多政府及產業認可的標準與建議進行網路安全態勢自我評估。

二、CSET模組簡介

CSET提供許多模組,使用CSET進行資通安全評估時,首先需要選擇適用的模組以利進行安全性評估。安碁資訊將CSET模組歸類如下:

1、一般性通用模組:各種產業都可使用

  •  Incident Management Review(IMR)模組:評估組織事件與事故管理能力,提升網路安全韌性;
  • Cyber Infrastructure Survey (CIS) 模組:聚焦關鍵服務的資安成熟度與韌性;
  • Cyber Resilience Review (CRR) 模組:著重於組織「關鍵服務」的營運韌性與資安成熟度,協助分析在正常、壓力及危機情境下的資安管理能力;
  • External Dependencies Management (EDM) 模組:協助組織辨識、管理與監控「外部依存」對營運與資安的影響,特別針對第三方供應商、外包服務、產業鏈合作等依賴項進行風險評估與治理設計;
  • Ransomware Readiness Assessment(RRA)模組:評估組織是否具備足夠的預防、偵測、應變與復原能力,以因應勒索軟體攻擊。

2、產業模組:適合各別產業進階客製化評估

  • 電力產業(一般電力)-Cybersecurity Capability Maturity Model (C2M2) V2.1 模組:C2M2 專為電力產業設計,適用於電力調度中心、智慧電表系統、綠能場域等;
  • 電力產業(風電)-Wind Cybersecurity Evaluation Risk Tool (Wind-CERT) 模組:Wind-CERT是美國能源部(DOE)與國土安全部(DHS)合作開發,建構於 NIST CSF、ICS 資安指南、IEC 61400-25 與 IEC 62443 等國際資安框架之上,並結合實際風電場營運經驗與資安事件案例作為風險建模依據;
  • 電力產業(太陽能)-Solar Cybersecurity Evaluation Risk Tool (SCERT)模組:SCERT 專為太陽能場域設計,此模組由美國能源部(DOE)和國土安全部(DHS)合作開發,符合美國「能源部太陽能威脅建模合作倡議(STMCI)」及「太陽能資安框架(SCF:Solar Cybersecurity Framework)」;
  • 電力產業(智慧電網)-NISTIR 7628 Volume 1模組:NISTIR 7628 Volume 1 是美國 NIST 所制定的《智慧電網資通安全指引》作為智慧電網資安防護的核心架構;
  • 電力產業(智慧電網)-NERC CIP Revisions 5 與 6 模組:依據北美電力可靠性協會(NERC)所制定的 CIP-002 至 CIP-014 第五與第六版標準,協助電力產業進行關鍵資產與網路的資安合規與成熟度評估;
  • 油氣產業(天然氣管線)-INGAA Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry模組:依據美國天然氣管線協會(INGAA)所制定的資安指引,協助管線業者系統性盤點資產、檢查制度、識別關鍵與脆弱點;
  • 油氣產業(天然氣管線、液態儲存)-TSA Validated Architecture Design Reviews (VADR) 模組:VADR 是由美國運輸安全管理局(TSA)與 CISA 推動,專為天然氣管線、運輸等關鍵基礎設施設計的網路架構與資安能力評估工具;
  • 水資源產業-American Water Works Association (AWWA) Cybersecurity Tool 模組:AWWA 由美國水協會(AWWA)依據 NIST CSF 架構設計,針對飲用水與污水處理設施,提供資安風險自評與防護建議;
  • 交通產業(鐵道)-Defining a Security Zone Architecture for Rail Transit and Protecting Critical Zones 模組:根據美國 APTA(American Public Transportation Association)發布之推薦規範(APTA-SS-CCS-RP-002-13),聚焦於鐵路運輸環境中控制與通訊系統的資安分區與關鍵區域保護;
  • 交通產業(航空)FAA - Portable Electronic Devices Used in Aviation – Operations 2021 模組:由美國聯邦航空總署(FAA)制定,分為「Operations」與「Maintenance」兩大情境,Operations模組聚焦於飛航期間使用行動裝置(如平板、筆電)進行導航、通訊、飛行管理等作業的資安風險;
  • 交通產業(航空)FAA - Portable Electronic Devices Used in Aviation – Maintenance 模組:針對地面維修、查核、系統檢測等作業中使用 PED 的資安控管與合規要求;
  • 醫療產業-Health Insurance Portability and Accountability Act Security Rule(HIPAA Security Rule)模組:HIPAA Security Rule 模組由美國衛生與公共服務部(HHS)制定,要求醫療機構保護個人健康資訊(PHI)的機密性、完整性與可用性;
  • 國防產業-CISA CMMC 2.0 模組:CMMC 2.0(Cybersecurity Maturity Model Certification)模組由美國國防部(DoD)推動,作為國防工業與供應鏈資安成熟度評估標準。

除了以上模組,CSET尚有美國國家標準技術研究院(NIST)相關模組,(例如:CSF2.0、NIST SP 800-171、NIST SP 800-53 Revision 5、NIST SP 800-161 Supply Chain Risk Management 模組)、還有金融業PCIDSS模組及刑事犯罪Criminal Justice Information Services (CJIS) Security Policy 模組,組織可選擇適用之模組進行評估。詳細模組介紹,請參閱下列連結:(CSET 介紹PDF下載)

三、強化資安治理-CSET效益總結

在數位轉型與威脅升級並行的時代,組織已無法僅依賴被動防禦,而需要一套能夠主動盤點、精準評估、持續改善的資安治理系統。

CSET 模組可廣泛應用於能源、交通、水資源、醫療等關鍵領域,協助組織從「不知道風險在哪」邁向「知道該怎麼做」,讓資安成為組織韌性與信任的核心。

透過 CSET,組織能:

  • 全面盤點現況:快速掌握制度、技術、人員與流程的資安弱點
  • 量化成熟度與風險:產出視覺化報告,支援決策與稽核
  • 對應國際標準:涵蓋NIST、ISO、CMMC 等,滿足法規與合規需求
  • 推動持續改善:建立 PDCA 循環,強化跨部門協作,持續優化風險管理

面對日益複雜的資安挑戰,CSET 不僅是治理成熟的最佳起點,更是企業持續強化資安競爭力的重要關鍵。


附錄:安碁資訊CSET 模組介紹(點我下載)