彼此間的不信任把人們推入自我限制的泥沼,但國際標準能讓我們自信達觀地面對脆弱。
微軟、蘋果、谷歌、英特爾和IBM有什么共同點?除了同屬《財富》世界500強企業,這些科技巨頭都采用了ISO/IEC 27001標準。隨著該標準在全球數以千計的網站上日益普及應用,它已成為信息安全管理體系的事實標準。
為了防止關鍵數據資產遭到數字威脅和攻擊,各組織機構需要建立網絡復原力的理念。網絡復原力是技術系統、團隊建設、組織文化以及日常運營中不可或缺的一部分。實際上,如今,商業領軍人士要比從前更重視網絡威脅。世界經濟論壇(WEF)的《2023年全球網絡安全展望》報告指出,有91%的受訪者稱,他們認為“至少在未來兩年有可能”發生影響深遠的災難性網絡事件。
全球企業通過實施ISO/IEC 27001標準來應對網絡安全壓力。作為世界上最知名的信息安全管理體系(ISMS)標準,ISO/IEC 27001是一套有據可依的政策、程序、流程和體系,對網絡攻擊、黑客入侵、數據泄露和數據盜竊造成的數據損失進行風險管理。
什么是網絡復原力?網絡復原力是指組織機構在遭遇網絡攻擊或其他網絡事件時保持正常運營的能力,一般指具備必要的技術和組織手段,能夠監測、應對此類網絡事件,并從事件中恢復、吸取經驗教訓,從而進一步提升復原力。
安德里亞斯·伍爾夫(Andreas Wolf)是ISO/IEC 信息技術安全標準的專家組牽頭人,他說:“網絡復原力會在安全預防措施不得力時發揮作用,在數字經濟時代,能平穩度過網絡中斷期的企業才是市場贏家,能化脆弱為力量的機構才敢于冒險。”
伍爾夫對網絡安全并不陌生,他帶領團隊負責ISO/IEC 27001標準的更新和修訂工作。新版本于2022年10月發布,旨在應對全球信息技術安全問題,并增強數字信任。該標準鼓勵組織機構保護各類信息安全,建立中心化管理框架,減少無效防御技術開支,保護數據的完整性、保密性和可用性,從而增強機構的網絡復原力。
然而,網絡復原力不單指某個機構的內部運作,而是必須由所有第三方和整個供應鏈上的全體參與者共同努力才能實現。幸運的是,WEF的另一份報告《網絡復原力指數(CRI):提高組織機構網絡復原力》清晰透明地展示了行業、同行和供應鏈方面的網絡復原力實例,為人們提供了參考框架。
CRI為公私營部門的網絡領導者提供了現實中網絡復原力最佳實踐的通用框架,衡量組織效能的機制,以及價值傳遞的方法。根據CRI的原則,為實現健全的機構網絡復原力開展進一步實踐,就是采用公認的安全框架以及ISO/IEC 27001等行業標準。
脆弱性是復原力的基礎對競爭對手和政策制定者公開內部運作、分享信息會讓很多機構沒有安全感,然而恰恰是這種脆弱性才能帶來真正的協作和進步。
在數字時代,我們絕不能在網絡復原力上妥協。商業實踐中也有案例表明,能夠自信地面對薄弱環節、積極增強網絡復原力的機構,都迅速地成長為了行業領頭羊,并開始制定其生態系統標準。ISO/IEC 27001的整體性方法不僅涵蓋信息技術,更覆蓋了整個機構,人員、技術和流程都能從中受益。
