科技巨头如何构建网络弹性

微软、苹果、谷歌、英特尔和 IBM 有什么共同点？除了都是财富 500 强公司，这些科技巨头都在使用ISO/IEC 27001。随着全球范围内越来越多的采用，以及在全球数千个站点上的展示，ISO/IEC 27001 已成为信息安全管理系统的事实上的标准。

为了保护其关键数据资产不受数字威胁和漏洞的影响，组织需要采取网络弹性思维。网络弹性不仅必须是技术系统的组成部分，而且必须是团队、组织文化和日常运营的组成部分。事实上，今天的商业领袖比前辈们更清楚网络威胁。根据世界经济论坛（WEF）《2023年全球安全展望》，91%的受访者表示，他们认为“至少在未来两年内有可能发生一场影响深远、灾难性的网络事件”。

世界各地的公司都通过实施ISO/IEC 27001这一世界最著名的信息安全管理系统 (ISMS) 标准来应对压力。它是一套文件化的政策、程序、流程和系统，用于管理网络攻击、黑客、数据泄露或盗窃造成的数据丢失风险。 

什么是网络弹性？ 

网络弹性是组织在面对网络攻击或其他网络事件时的运营能力。它涉及采取必要的技术和组织措施来检测、响应此类事件并从中恢复、适应和从中学习以提高未来弹性的能力。 

负责ISO/IEC IT安全标准的专家组负责人Andreas Wolf 表示：“当安全预防措施失效时，网络弹性就会接管一切。”“在数字经济中，跨越网络中断的能力使市场冠军脱颖而出。将脆弱转化为力量的组织将有信心承担健康的风险。” 

说到安全，Wolf 并不陌生。他和他的团队负责去年10 月发布的新修订版ISO/IEC 27001，以应对全球 IT 安全挑战并提高数字信任。它鼓励组织保护所有形式的信息，开发集中管理的框架，减少无效防御技术的支出，并保护数据的完整性、机密性和可用性，从而使组织受益。  

ISO 标准和网络安全

但弹性不仅仅指组织的内部运作；它必须适用于所有第三方合作伙伴关系和整个供应链。幸运的是，同样由世界经济论坛发布的《网络弹性指数：推进组织的网络弹性》 (CRI: Advancing Organizational Cyber Resilience)旨在作为一个参考框架，为行业、同行和供应链的网络弹性实践提供可见性和透明度。  

CRI 为公共和私营部门的网络领导者提供了真正网络弹性最佳实践的通用框架、衡量组织绩效的机制以及传达价值的清晰语言。根据 CRI 的原则，健康组织网络弹性的后续实践和子实践是使用公认的安全框架和行业标准，例如ISO/IEC 27001。  

脆弱性作为弹性的基石 

对内部做法保持透明并与竞争对手和政策制定者共享信息会使组织感到脆弱。但正是这种脆弱性将导致真正的合作和进步。  

我们不能在数字时代的网络弹性上妥协。它也有一个商业案例。通过自信的脆弱性采用网络弹性的组织迅速成为其行业的领导者，并为其生态系统设定标准。ISO/IEC 27001 的整体方法意味着涵盖整个组织，而不仅仅是 IT。人员、技术和流程都会受益。