彼此間的不信任把人們推入自我限制的泥沼��,但國際標準能讓我們自信達觀地面對脆弱�����。
微軟����、蘋果�����、谷歌�、英特爾和IBM有什么共同點?除了同屬《財富》世界500強企業(yè)����,這些科技巨頭都采用了ISO/IEC
27001標準。隨著該標準在全球數(shù)以千計的網(wǎng)站上日益普及應用���,它已成為信息安全管理體系的事實標準��。
為了防止關鍵數(shù)據(jù)資產遭到數(shù)字威脅和攻擊�����,各組織機構需要建立網(wǎng)絡復原力的理念����。網(wǎng)絡復原力是技術系統(tǒng)�、團隊建設、組織文化以及日常運營中不可或缺的一部分�。實際上,如今�,商業(yè)領軍人士要比從前更重視網(wǎng)絡威脅。世界經(jīng)濟論壇(WEF)的《2023年全球網(wǎng)絡安全展望》報告指出����,有91%的受訪者稱,他們認為“至少在未來兩年有可能”發(fā)生影響深遠的災難性網(wǎng)絡事件����。
全球企業(yè)通過實施ISO/IEC 27001標準來應對網(wǎng)絡安全壓力。作為世界上最知名的信息安全管理體系(ISMS)標準��,ISO/IEC
27001是一套有據(jù)可依的政策��、程序、流程和體系���,對網(wǎng)絡攻擊���、黑客入侵、數(shù)據(jù)泄露和數(shù)據(jù)盜竊造成的數(shù)據(jù)損失進行風險管理�。
什么是網(wǎng)絡復原力?
網(wǎng)絡復原力是指組織機構在遭遇網(wǎng)絡攻擊或其他網(wǎng)絡事件時保持正常運營的能力�����,一般指具備必要的技術和組織手段�����,能夠監(jiān)測�、應對此類網(wǎng)絡事件,并從事件中恢復�、吸取經(jīng)驗教訓,從而進一步提升復原力���。
安德里亞斯·伍爾夫(Andreas
Wolf)是ISO/IEC信息技術安全標準的專家組牽頭人���,他說:“網(wǎng)絡復原力會在安全預防措施不得力時發(fā)揮作用��,在數(shù)字經(jīng)濟時代�����,能平穩(wěn)度過網(wǎng)絡中斷期的企業(yè)才是市場贏家���,能化脆弱為力量的機構才敢于冒險�!眻D片
伍爾夫對網(wǎng)絡安全并不陌生,他帶領團隊負責ISO/IEC
27001標準的更新和修訂工作�。新版本于2022年10月發(fā)布��,旨在應對全球信息技術安全問題�����,并增強數(shù)字信任����。該標準鼓勵組織機構保護各類信息安全,建立中心化管理框架��,減少無效防御技術開支�����,保護數(shù)據(jù)的完整性、保密性和可用性�,從而增強機構的網(wǎng)絡復原力。
然而�,網(wǎng)絡復原力不單指某個機構的內部運作,而是必須由所有第三方和整個供應鏈上的全體參與者共同努力才能實現(xiàn)���。幸運的是����,WEF的另一份報告《網(wǎng)絡復原力指數(shù)(CRI):提高組織機構網(wǎng)絡復原力》清晰透明地展示了行業(yè)�、同行和供應鏈方面的網(wǎng)絡復原力實例,為人們提供了參考框架�����。
CRI為公私營部門的網(wǎng)絡領導者提供了現(xiàn)實中網(wǎng)絡復原力最佳實踐的通用框架��,衡量組織效能的機制�,以及價值傳遞的方法。根據(jù)CRI的原則�����,為實現(xiàn)健全的機構網(wǎng)絡復原力開展進一步實踐,就是采用公認的安全框架以及ISO/IEC
27001等行業(yè)標準��。
脆弱性是復原力的基礎
對競爭對手和政策制定者公開內部運作��、分享信息會讓很多機構沒有安全感�����,然而恰恰是這種脆弱性才能帶來真正的協(xié)作和進步����。
在數(shù)字時代,我們絕不能在網(wǎng)絡復原力上妥協(xié)���。商業(yè)實踐中也有案例表明�,能夠自信地面對薄弱環(huán)節(jié)�、積極增強網(wǎng)絡復原力的機構�����,都迅速地成長為了行業(yè)領頭羊����,并開始制定其生態(tài)系統(tǒng)標準��。ISO/IEC
27001的整體性方法不僅涵蓋信息技術���,更覆蓋了整個機構,人員��、技術和流程都能從中受益���。