彼此間的不信任把人們推入自我限制的泥沼�,但國際標(biāo)準(zhǔn)能讓我們自信達觀地面對脆弱�����。
微軟、蘋果�����、谷歌��、英特爾和IBM有什么共同點����?除了同屬《財富》世界500強企業(yè),這些科技巨頭都采用了ISO/IEC 27001標(biāo)準(zhǔn)����。隨著該標(biāo)準(zhǔn)在全球數(shù)以千計的網(wǎng)站上日益普及應(yīng)用,它已成為信息安全管理體系的事實標(biāo)準(zhǔn)�����。
為了防止關(guān)鍵數(shù)據(jù)資產(chǎn)遭到數(shù)字威脅和攻擊��,各組織機構(gòu)需要建立網(wǎng)絡(luò)復(fù)原力的理念���。網(wǎng)絡(luò)復(fù)原力是技術(shù)系統(tǒng)��、團隊建設(shè)���、組織文化以及日常運營中不可或缺的一部分����。實際上����,如今,商業(yè)領(lǐng)軍人士要比從前更重視網(wǎng)絡(luò)威脅�。世界經(jīng)濟論壇(WEF)的《2023年全球網(wǎng)絡(luò)安全展望》報告指出,有91%的受訪者稱�����,他們認(rèn)為“至少在未來兩年有可能”發(fā)生影響深遠的災(zāi)難性網(wǎng)絡(luò)事件�。
全球企業(yè)通過實施ISO/IEC 27001標(biāo)準(zhǔn)來應(yīng)對網(wǎng)絡(luò)安全壓力。作為世界上最知名的信息安全管理體系(ISMS)標(biāo)準(zhǔn)���,ISO/IEC 27001是一套有據(jù)可依的政策���、程序���、流程和體系�����,對網(wǎng)絡(luò)攻擊��、黑客入侵���、數(shù)據(jù)泄露和數(shù)據(jù)盜竊造成的數(shù)據(jù)損失進行風(fēng)險管理�。
什么是網(wǎng)絡(luò)復(fù)原力���?
網(wǎng)絡(luò)復(fù)原力是指組織機構(gòu)在遭遇網(wǎng)絡(luò)攻擊或其他網(wǎng)絡(luò)事件時保持正常運營的能力���,一般指具備必要的技術(shù)和組織手段,能夠監(jiān)測�����、應(yīng)對此類網(wǎng)絡(luò)事件����,并從事件中恢復(fù)��、吸取經(jīng)驗教訓(xùn)�����,從而進一步提升復(fù)原力��。
安德里亞斯·伍爾夫(Andreas Wolf)是ISO/IEC 信息技術(shù)安全標(biāo)準(zhǔn)的專家組牽頭人����,他說:“網(wǎng)絡(luò)復(fù)原力會在安全預(yù)防措施不得力時發(fā)揮作用��,在數(shù)字經(jīng)濟時代���,能平穩(wěn)度過網(wǎng)絡(luò)中斷期的企業(yè)才是市場贏家���,能化脆弱為力量的機構(gòu)才敢于冒險?�!?/span>
伍爾夫?qū)W(wǎng)絡(luò)安全并不陌生���,他帶領(lǐng)團隊負(fù)責(zé)ISO/IEC 27001標(biāo)準(zhǔn)的更新和修訂工作�����。新版本于2022年10月發(fā)布�,旨在應(yīng)對全球信息技術(shù)安全問題,并增強數(shù)字信任�。該標(biāo)準(zhǔn)鼓勵組織機構(gòu)保護各類信息安全,建立中心化管理框架���,減少無效防御技術(shù)開支,保護數(shù)據(jù)的完整性��、保密性和可用性�����,從而增強機構(gòu)的網(wǎng)絡(luò)復(fù)原力���。
然而���,網(wǎng)絡(luò)復(fù)原力不單指某個機構(gòu)的內(nèi)部運作,而是必須由所有第三方和整個供應(yīng)鏈上的全體參與者共同努力才能實現(xiàn)�。幸運的是,WEF的另一份報告《網(wǎng)絡(luò)復(fù)原力指數(shù)(CRI):提高組織機構(gòu)網(wǎng)絡(luò)復(fù)原力》清晰透明地展示了行業(yè)�、同行和供應(yīng)鏈方面的網(wǎng)絡(luò)復(fù)原力實例,為人們提供了參考框架�。
CRI為公私營部門的網(wǎng)絡(luò)領(lǐng)導(dǎo)者提供了現(xiàn)實中網(wǎng)絡(luò)復(fù)原力最佳實踐的通用框架�,衡量組織效能的機制�,以及價值傳遞的方法。根據(jù)CRI的原則�,為實現(xiàn)健全的機構(gòu)網(wǎng)絡(luò)復(fù)原力開展進一步實踐,就是采用公認(rèn)的安全框架以及ISO/IEC 27001等行業(yè)標(biāo)準(zhǔn)�。
脆弱性是復(fù)原力的基礎(chǔ)
對競爭對手和政策制定者公開內(nèi)部運作、分享信息會讓很多機構(gòu)沒有安全感����,然而恰恰是這種脆弱性才能帶來真正的協(xié)作和進步。
在數(shù)字時代����,我們絕不能在網(wǎng)絡(luò)復(fù)原力上妥協(xié)。商業(yè)實踐中也有案例表明�����,能夠自信地面對薄弱環(huán)節(jié)���、積極增強網(wǎng)絡(luò)復(fù)原力的機構(gòu)���,都迅速地成長為了行業(yè)領(lǐng)頭羊,并開始制定其生態(tài)系統(tǒng)標(biāo)準(zhǔn)�。ISO/IEC 27001的整體性方法不僅涵蓋信息技術(shù)����,更覆蓋了整個機構(gòu)�,人員、技術(shù)和流程都能從中受益���。
