13、网络安全中的政府政策、策略与技术视角

网络安全中的政府政策、策略与技术视角

1. 企业网络风险管理框架与方法

在网络安全领域，企业面临着诸多网络风险。一些框架可用于管理大部分网络风险，例如Essential Eight框架，但该框架的采用程度未经过审计或监控，且主要处理已知风险，不像CBEST那样考虑威胁情报（TI）及其应对方式，也没有像NIST和ISO 2700框架那样对风险及其对企业业务使命和运营的影响进行系统层面的审查。不过，对于中小企业而言，Essential Eight是管理网络风险的一个良好开端。

除了上述框架，还有其他利用现有治理框架管理网络风险的方法：
- 使用服务组织审计标准 ：如国际会计标准中的相关准则，像ISAE3402和SSAE16。SSAE16要求符合标准的组织对数据控制和隐私进行审计信息披露，同时评估控制水平和隐私政策目标的达成情况，但专业审计师对这些标准的认证程度无需披露。
- 治理方法 ：将网络安全纳入董事会审计委员会，由董事会负责监控网络风险，如同监控企业财务风险一样。这种方法的成功取决于董事会成员对网络风险的理解和应对能力。

良好的网络安全治理实践应基于以下因素：
1. 企业领导具备相关知识 ：将网络安全视为业务风险，而非单纯的IT问题。董事会中有熟悉网络安全的成员是良好的企业实践。
2. 形成通用的网络安全风险语言 ：专业领域为董事会提供建议的人员需将网络安全风险以业务风险的形式传达，董事会也需要了解影响整个公司的实践以及网络安全的优先级。
3. 区分安全与弹性