数字化时代下的网络安全战略框架系列之四 持续提升网络安全 数字化时代下的网络安全要求 在当今世界，技术不断地更新迭代，攻击更有可能成功渗透 到组织的防御和安全控制中。当这种情况发生时，为了保证 组织的业务连续性和声誉，组织的反应必须是快速、彻底和 果断的，这一点至关重要。如果没有持续提升的网络安全能 力，这在网络攻击发生时将会变成十分严重的问题。所以建 设企业自身防护能力并非一日之功，需要组织管理层以及执 行者需要不断关注当前安全态势及相关技术的发展，以及各 国监管机构对于企业运营的安全合规要求。 一个长期且强大的网络安全风险计划有助于推动业务增长， 保护企业价值，履行社会责任，并帮助企业应对网络安全威 胁，也会使企业在威胁荆棘丛生的数字化环境中立于主动之 地，把握时代机遇。 CSF: 一个全面的网络安全战略框架 德勤网络安全战略框架（CSF）是一种以业务为导向、基于威胁 管理网络安全战略的平台。 CSF是德勤在网络安全战略方面进行 了四年多的研究和投资的结果，并且采用了成熟的方法来确定企 业网络安全的当前能力和目标成熟度，并提出了改进企业内部和 整体网络安全弹性的建议。CSF是如何解决内部或外部投资利益 相关方的疑虑，并且给企业带来真正好处呢？ CEO：“我在新闻中读到了网络钓鱼。 我们有这种风险 吗？” 与他们讨论CSF的总体方法，CSF如何从明确当前成熟度 到给出建议，以及需要采取的不同步骤。向他们展示当前 网络安全成熟度和目标成熟度的仪表盘，得到目前的安全 能力是否有短板，以至于不能抵御网络钓鱼，并提供给他 们总体的投资成本以及长期可以达成的收益信息。 董事会成员：“我们对这些网络攻击的抵御能力是什 么？” 通过阐释CSF中记录的所有关键信息资产，来获取可能受 到攻击的资产以及位置的整体视图。告知他们正在采取措 施提高这些关键资产的抵御能力。 CIO/CISO：“我需要投入多少资金来优化我的网络能 力？” 网络安全能力成熟度以及路线图，这些有针对性的方法使 CSF可以帮助识别组织中哪些投资是最有效的。CSF将使 他们清楚地了解组织的安全能力状况。 业务部门：“与我的业务相关的网络威胁是什么？ 通过跨多个业务部门进行评估，我们可以突出显示哪些能 力与哪个业务单元相关联。有针对性的建议可以提供增加 业务部门网络弹性。 综上，CSF是适应每一家公司的解决方案，并且可以根据企业风 险偏好，定制化平台评估内容，以适应不断变化的公司网络安全 战略和行业安全动态。不仅可以帮助公司保护自己免受网络安全 威胁，还可以与其实现转型（即数字化）的关键业务目标保持一 致，并为客户提供最好的服务。 1/4 　 如何持续提升网络安全 在了解自身整体网络安全能力，并且识别到企业目前急需保护的 数字化资产时，如何利用企业资源执行网络安全建设工作？换言 之，在知晓我们的当前能力以及安全领域的薄弱之处，如何制定 计划去实现网络安全建设目标，如何将这些计划拆解成可执行的 具体工作步骤？以及如何监督并检验整改计划是否真正生效？ CSF作为一个成熟的网络安全战略框架，得益于如下几个方面： 制定路线图 在意识到企业的整体网络安全差距之后，定义项目并制定战略路 线图以实现目标成熟度，并制定管理报告，成为网络安全建设的 终极目标，CSF平台为客户提供定制化的项目管理的功能： 在考虑优先级的前提下，分析并将单独的建议组合为各个 不同的项目。 为每个已识别的项目定义项目属性，其中包括：关键活 动，目标，成本，要求，成功标准，所有者，里程碑等信 息。 确定和记录项目的优先级并定义实施时间表、里程碑和关 联关系。 在总体战略路线图中实现项目进度和管理的可视化，使得 组织能够在给定的时间范围内实现所期望的目标成熟度。 整改计划执行成果检验 CSF作为网络安全领域中一个成熟的平台，了解到在路线图中的 项目具体执行之前，管理层可能会对某些项目的收益产生疑虑， 故CSF相应提供了“What If分析”功能。该功能可用于模拟项目 配置中定义的项目将对整体网络弹性产生的影响，这也意味着用 户可以提前验证投资特定能力的好处。 另外，“提升效果”功能允许用户快速识别对组织整体网络弹性 水平贡献最大的能力。然后可以利用此信息来确定特定差距、建 议或项目的优先级，并估算特定项目对能力成熟度和整体网络弹 性产生的影响。 在整改项目运行过程中，管理者可以通过CSF的Roadmap功能， 随时掌握项目进展动态，以便得到整改计划的整体执行情况，若 有任何异常情况，则可随时调整项目的执行或者资源的投入。更 重要的是，CSF平台还提供了网络成熟度的校验功能，此功能意 味着在整改实施完毕之后，通过CSF平台重新评估企业的网络安 全成熟度，则可以得到和首次评估的得分差距，以此差距结果作 为网络安全建设和整改的可行性、有效性和收益性的依据，来帮 助管理层意识到网络安全建设对企业而言，可以起到真正的保驾 护航作用。 　 案例分析 CSF作为一个可以管理整个网络安全建设的平台，在某企业根据 目前的网络安全成熟度制定了路线图之后，也为管理层提供了相 应的项目管理功能。 其中包括提供路线图和项目进度管理报告的功能，例如里程碑功 能可以让管理者随时掌握项目动态，以及资金和项目人员的分配 情况，这样可以保证网络安全工作的资源调配和顺利推进。 2/4 在各个整改项目实施完毕之后，可以通过重新评估来验证这些项 目是否真正在提高企业网络安全能力上发挥了作用。对比整改前 后的成熟度全景图，如果我们发现有一些领域还在保持原有水 平，这时管理层以及网络安全部门可以通过总结和反思，重新制 定整改计划，以实现企业的全面安全防御。 此外，CSF还提供报告引擎功能，平台已经在后台配置了完善的 管理层汇报模板。平台操作人员可以从不同能力模式或者内容 （网络安全成熟度，路线图，项目管理，风险偏好等），下载已 经根据平台实际数据填充完毕的报告，省去大量收集汇报材料的 时间和繁琐的整理程序。 　 结语 为了评估组织的网络安全能力 - 我们首先需要知道我们需要评估 的内容。德勤网络安全能力模型基于这样一种理念，即组织不仅 要抵御网络威胁，还要保持警惕和弹性，并拥有足够的管理手段 来确保业务价值的持续性。 3/4 CSF可以为企业提供最好的并且可定制化的服务，以满足其特定 需求。它也是一种独特的解决方案，可以满足每个内部或外部利 益相关方的需求。 4/4