任何网络安全战略的成功都取决于其基础。正确的输入在塑造明智、相关且与业务一致的方法方面发挥着关键作用。这些输入为设计有效应对独特组织风险和不断变化的威胁形势的策略提供了必要的背景信息。

以下要素是网络安全战略中的关键战略输入：

1 全球行业报告

分析来自知名全球研究报告、白皮书和学术研究的见解，可以广泛了解当前的威胁态势。这些资源有助于识别趋势、新出现的风险和创新解决方案，从而为策略提供信息。

2 过往的风险评估

历史风险评估，包括过去18个月的审计报告、渗透测试和漏洞管理数据，具有不可估量的价值。它们提供了对组织当前安全状况的见解，突出了需要注意的优势领域和漏洞。

3 网络保险和保障要求

了解组织的网络保险范围及要求，可以突出潜在的风险缺口。解决这些领域不仅可以加强安全态势，还可以通过展示主动风险管理来降低保费。

4 业务优先级

网络安全战略必须与组织更广泛的目标和计划保持一致。与业务领导者合作以了解战略优先事项可确保安全措施支持运营目标。例如，智慧城市计划引入了物联网 (IoT) 和运营技术 (OT)，因此需要量身定制的网络安全规划。

5 法规要求

遵守如GDPR、PCI DSS或ISO/IEC 27001等监管框架会影响资源分配和项目优先级。使战略与这些义务保持一致可确保组织避免处罚并保持与利益相关者的信任。

网络弹性的七大支柱

在不断发展的威胁环境中，AI、IoT 和量子计算等新兴技术既带来了机遇，也带来了威胁。一个强大的网络安全策略对于组织有效应对这些挑战至关重要。有效的策略包含七大基本支柱，确保组织能够检测、响应网络威胁并从中恢复。

以下是七大支柱：

1 将安全嵌入到设计中

在设计阶段实施安全措施可确保及早解决漏洞。这种方法构建了有弹性的系统，以保护关键资产并培养利益相关者的信任。

2 优先考虑基本的网络安全控制

基本措施，如维护关键资产清单、实施多因素认证 (MFA) 和补丁管理，是不可协商的。这些基本控制措施可抵御常见威胁，无论组织规模或复杂程度如何。

3 强化“人”防线

员工通常是第一道防线。全面的安全意识计划、定期的网络钓鱼模拟和推广强密码实践使个人能够识别和缓解威胁。

4 注重准备与事件响应

认识到违规行为是不可避免的，组织必须为快速事件检测、遏制和恢复做好准备。有据可查的响应计划可以最大限度地减少中断并增强弹性。

5 主动管理利益相关者

与利益相关者合作可确保网络安全与业务目标保持一致。清晰的沟通可以培养信任并确保对战略计划的支持。

6 确保供应链安全

第三方供应商通常会引入漏洞。组织应评估供应商的安全状况，实施合同保障措施并实施持续监控，以降低供应链风险。

7 实施持续的独立保障

定期对安全控制进行独立评估，验证其有效性。这一持续的过程加强了组织的风险态势，并确保符合行业标准。

克服挑战

有效的网络策略并非没有障碍。领导层的支持、与业务目标保持一致以及管理量子密码学等新出现的风险是需要关注的关键领域。

推动业务成功的网络战略

通过将这七大支柱嵌入到全面的网络战略中，组织不仅可以保护其资产，还可以推动业务成功。定期审查、利益相关者参与和对弹性的关注可确保随着数字环境的发展，组织安全驾驭它的能力也会随之提高。

作者: Grant Hughes, CISA, CISM, CDPSE, CASP, CCSK, CCSP, CEH, CIH, CISSP, SSCP

翻译：刘畅，CISA、CISM、ISO27001Auditor，ISACA微信公众号特邀通讯员。

校对：李京（Randy Li)，CGEIT，ISACA微信公众号特邀通讯员，关注IT治理、信息安全