彼此間的不信任把人們推入自我限制的泥沼��,但國際標(biāo)準(zhǔn)能讓我們自信達(dá)觀地面對脆弱���。
微軟�����、蘋果���、谷歌����、英特爾和IBM有什么共同點(diǎn)���?除了同屬《財(cái)富》世界500強(qiáng)企業(yè),這些科技巨頭都采用了ISO/IEC 27001標(biāo)準(zhǔn)��。隨著該標(biāo)準(zhǔn)在全球數(shù)以千計(jì)的網(wǎng)站上日益普及應(yīng)用,它已成為信息安全管理體系的事實(shí)標(biāo)準(zhǔn)����。
為了防止關(guān)鍵數(shù)據(jù)資產(chǎn)遭到數(shù)字威脅和攻擊��,各組織機(jī)構(gòu)需要建立網(wǎng)絡(luò)復(fù)原力的理念���。網(wǎng)絡(luò)復(fù)原力是技術(shù)系統(tǒng)����、團(tuán)隊(duì)建設(shè)�、組織文化以及日常運(yùn)營中不可或缺的一部分。實(shí)際上��,如今,商業(yè)領(lǐng)軍人士要比從前更重視網(wǎng)絡(luò)威脅�����。世界經(jīng)濟(jì)論壇(WEF)的《2023年全球網(wǎng)絡(luò)安全展望》報(bào)告指出��,有91%的受訪者稱�����,他們認(rèn)為“至少在未來兩年有可能”發(fā)生影響深遠(yuǎn)的災(zāi)難性網(wǎng)絡(luò)事件�。
全球企業(yè)通過實(shí)施ISO/IEC 27001標(biāo)準(zhǔn)來應(yīng)對網(wǎng)絡(luò)安全壓力。作為世界上最知名的信息安全管理體系(ISMS)標(biāo)準(zhǔn)��,ISO/IEC 27001是一套有據(jù)可依的政策�、程序、流程和體系�,對網(wǎng)絡(luò)攻擊、黑客入侵���、數(shù)據(jù)泄露和數(shù)據(jù)盜竊造成的數(shù)據(jù)損失進(jìn)行風(fēng)險(xiǎn)管理����。
什么是網(wǎng)絡(luò)復(fù)原力?
網(wǎng)絡(luò)復(fù)原力是指組織機(jī)構(gòu)在遭遇網(wǎng)絡(luò)攻擊或其他網(wǎng)絡(luò)事件時(shí)保持正常運(yùn)營的能力��,一般指具備必要的技術(shù)和組織手段���,能夠監(jiān)測�、應(yīng)對此類網(wǎng)絡(luò)事件�����,并從事件中恢復(fù)����、吸取經(jīng)驗(yàn)教訓(xùn)��,從而進(jìn)一步提升復(fù)原力��。
安德里亞斯·伍爾夫(Andreas Wolf)是ISO/IEC 信息技術(shù)安全標(biāo)準(zhǔn)的專家組牽頭人�����,他說:“網(wǎng)絡(luò)復(fù)原力會在安全預(yù)防措施不得力時(shí)發(fā)揮作用�,在數(shù)字經(jīng)濟(jì)時(shí)代,能平穩(wěn)度過網(wǎng)絡(luò)中斷期的企業(yè)才是市場贏家���,能化脆弱為力量的機(jī)構(gòu)才敢于冒險(xiǎn)����。”
伍爾夫?qū)W(wǎng)絡(luò)安全并不陌生�����,他帶領(lǐng)團(tuán)隊(duì)負(fù)責(zé)ISO/IEC 27001標(biāo)準(zhǔn)的更新和修訂工作���。新版本于2022年10月發(fā)布�,旨在應(yīng)對全球信息技術(shù)安全問題����,并增強(qiáng)數(shù)字信任。該標(biāo)準(zhǔn)鼓勵(lì)組織機(jī)構(gòu)保護(hù)各類信息安全�,建立中心化管理框架,減少無效防御技術(shù)開支��,保護(hù)數(shù)據(jù)的完整性�����、保密性和可用性�,從而增強(qiáng)機(jī)構(gòu)的網(wǎng)絡(luò)復(fù)原力���。
然而,網(wǎng)絡(luò)復(fù)原力不單指某個(gè)機(jī)構(gòu)的內(nèi)部運(yùn)作����,而是必須由所有第三方和整個(gè)供應(yīng)鏈上的全體參與者共同努力才能實(shí)現(xiàn)。幸運(yùn)的是��,WEF的另一份報(bào)告《網(wǎng)絡(luò)復(fù)原力指數(shù)(CRI):提高組織機(jī)構(gòu)網(wǎng)絡(luò)復(fù)原力》清晰透明地展示了行業(yè)���、同行和供應(yīng)鏈方面的網(wǎng)絡(luò)復(fù)原力實(shí)例�����,為人們提供了參考框架。
CRI為公私營部門的網(wǎng)絡(luò)領(lǐng)導(dǎo)者提供了現(xiàn)實(shí)中網(wǎng)絡(luò)復(fù)原力最佳實(shí)踐的通用框架�����,衡量組織效能的機(jī)制�,以及價(jià)值傳遞的方法。根據(jù)CRI的原則�����,為實(shí)現(xiàn)健全的機(jī)構(gòu)網(wǎng)絡(luò)復(fù)原力開展進(jìn)一步實(shí)踐,就是采用公認(rèn)的安全框架以及ISO/IEC 27001等行業(yè)標(biāo)準(zhǔn)�。
脆弱性是復(fù)原力的基礎(chǔ)
對競爭對手和政策制定者公開內(nèi)部運(yùn)作、分享信息會讓很多機(jī)構(gòu)沒有安全感��,然而恰恰是這種脆弱性才能帶來真正的協(xié)作和進(jìn)步�。
在數(shù)字時(shí)代,我們絕不能在網(wǎng)絡(luò)復(fù)原力上妥協(xié)�����。商業(yè)實(shí)踐中也有案例表明�,能夠自信地面對薄弱環(huán)節(jié)、積極增強(qiáng)網(wǎng)絡(luò)復(fù)原力的機(jī)構(gòu)�����,都迅速地成長為了行業(yè)領(lǐng)頭羊����,并開始制定其生態(tài)系統(tǒng)標(biāo)準(zhǔn)。ISO/IEC 27001的整體性方法不僅涵蓋信息技術(shù)�,更覆蓋了整個(gè)機(jī)構(gòu),人員�、技術(shù)和流程都能從中受益。
