Alliantist的創(chuàng)始人兼首席執(zhí)行官M(fèi)ark Darby探討了ISO 27001的重要性-這是企業(yè)應(yīng)該努力達(dá)到的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

　　信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：BS7799-1，信息安全管理實(shí)施規(guī)則BS7799-2，信息安全管理體系規(guī)范。第一部分對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

　　當(dāng)前的網(wǎng)絡(luò)安全格局是一種混亂，但也是一種認(rèn)識(shí)到需要改變的事物。

　　這在政府推出的計(jì)劃中得到了最好的體現(xiàn)，例如Cyber Essentials。但是，即使這一點(diǎn)正在審查中，目前尚不清楚2020年初會(huì)發(fā)生什么-更多的混亂！

　　面對(duì)網(wǎng)絡(luò)安全危機(jī)，有大量的認(rèn)證和模型，企業(yè)被建議甚至被迫采用。

　　其中的巔峰之作是ISO 27001-唯一的信息安全管理系統(tǒng)標(biāo)準(zhǔn)，可以通過(guò)一定程度的權(quán)威進(jìn)行獨(dú)立認(rèn)證。甚至NIST網(wǎng)絡(luò)安全也沒(méi)有那個(gè)“認(rèn)證”，所以這也是智慧和更強(qiáng)大的買家推動(dòng)ISO 27001的另一個(gè)原因

　　除此之外，監(jiān)管環(huán)境正在趕上最新的數(shù)據(jù)保護(hù)法案和GDPR。

　　“無(wú)所事事不是一種選擇”

　　ISMS.online背后的公司Alliantist的創(chuàng)始人Mark Darby表示，領(lǐng)導(dǎo)者和企業(yè)開(kāi)始認(rèn)識(shí)到“無(wú)所事事不是一種選擇”，但他們不確定該做什么，這有助于企業(yè)證明他們信息安全管理可以成為值得信賴的。

　　為什么要改變心意？達(dá)比指出，遭受破壞的風(fēng)險(xiǎn)和后果越來(lái)越大，這是主要原因。而且，由于這一點(diǎn)和GDPR這樣的法規(guī)，更大的企業(yè)-供應(yīng)鏈中的強(qiáng)大企業(yè)，可以向供應(yīng)商指示他們做什么-正在尋求認(rèn)可的認(rèn)證。

　　“最簡(jiǎn)單的可能是Cyber Essentials，但這只是到目前為止，”達(dá)比說(shuō)。“更聰明的企業(yè)希望看到物理安全以及網(wǎng)絡(luò)安全和安全產(chǎn)品開(kāi)發(fā)，而不僅僅是保護(hù)路由器等，更好，更受認(rèn)可的是ISO 27001。”

　　這種接近安全的新方式仍在不斷涌現(xiàn)，景觀仍然分散和混亂。

　　“有人需要通過(guò)它開(kāi)辟更多的楔子，以便讓那些開(kāi)始認(rèn)識(shí)到他們有意識(shí)地?zé)o能力的企業(yè)更容易，而不是無(wú)意識(shí)地?zé)o能，”他繼續(xù)道。

　　從無(wú)意識(shí)轉(zhuǎn)變?yōu)橛幸庾R(shí)到積極主動(dòng)

　　承認(rèn)網(wǎng)絡(luò)安全問(wèn)題是第一步。然后是一個(gè)主動(dòng)解決企業(yè)安全漏洞的案例。

　　擁抱Cyber Essentials是一個(gè)良好的開(kāi)端，但正如Darby所暗示的那樣，這還不夠。

　　“希望英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）和其他人會(huì)做的事情是，他們將開(kāi)始圍繞公認(rèn)的標(biāo)準(zhǔn)，如ISO 27001，”他希望。“而不是所有這些企業(yè)都試圖將自己的某些東西帶出來(lái)，如果努力幫助跨越關(guān)鍵領(lǐng)域的企業(yè)，那將會(huì)好得多。

　　“我認(rèn)為隨著時(shí)間的推移，我們將朝著這個(gè)方向發(fā)展，但企業(yè)可以自己做的事情可能就是開(kāi)始教育他們的供應(yīng)鏈。”

　　保護(hù)供應(yīng)鏈

　　整個(gè)供應(yīng)鏈的失敗是需要克服的最大安全障礙之一。

　　現(xiàn)在是企業(yè)接受Darby所謂的“負(fù)責(zé)任的客戶，負(fù)責(zé)任的供應(yīng)商計(jì)劃”的時(shí)候了。

　　“讓我們想象一下，你是一家大型銀行，你有一個(gè)非常重要的供應(yīng)鏈，而不是僅僅向供應(yīng)鏈發(fā)送一份合同，表明你將符合ISO 27001，為什么不幫助他們呢？為什么不讓他們具備這樣做的能力呢？那么他們實(shí)際上是在供應(yīng)鏈中建設(shè)能力和能力，并使供應(yīng)鏈更具彈性？大型企業(yè)可以做很多事情來(lái)幫助規(guī)模較小，財(cái)富較少，經(jīng)驗(yàn)較少的企業(yè)。“

　　協(xié)作是關(guān)鍵。它一直都是。但是，對(duì)于保持最佳實(shí)踐或秘密工作方式的自然商業(yè)反應(yīng)，它一直受挫。

　　現(xiàn)在，它采用更智能的工作方式，采用可幫助企業(yè)在供應(yīng)鏈中上下移動(dòng)的產(chǎn)品;找出風(fēng)險(xiǎn)，后果和機(jī)會(huì)在哪里，然后看看那個(gè)基礎(chǔ)是否有人已經(jīng)解決了這些問(wèn)題，如果是，如何解決？

　　成本挑戰(zhàn)

　　網(wǎng)絡(luò)安全技能是一種稀缺商品。

　　而且，正因?yàn)槿绱耍瑢＜屹M(fèi)用正在上升-這意味著它使小型企業(yè)無(wú)法承受安全問(wèn)題;他們無(wú)法承擔(dān)非常重要的咨詢支持。

　　為了解決這個(gè)問(wèn)題，Alliantist問(wèn)：“我們?nèi)绾尉幾胂∪辟Y源？我們?nèi)绾伍_(kāi)始使用自動(dòng)化，機(jī)器學(xué)習(xí)等類似的東西并將其構(gòu)建成產(chǎn)品，“Darby問(wèn)道。

　　企業(yè)必須考慮不同的工作方式來(lái)鞏固供應(yīng)鏈。但是，至關(guān)重要的是，即使他們有錢，資源并不總是存在。

　　政府，企業(yè)，大學(xué)和其他教育機(jī)構(gòu)正在開(kāi)始解決人才短缺問(wèn)題并建立未來(lái)的能力。但是，它目前還不完全存在。

　　制定信息安全戰(zhàn)略

　　與大多數(shù)與技術(shù)相關(guān)的計(jì)劃一樣，安全性必須從最高層開(kāi)始;“尤其是因?yàn)镚DPR的威脅和風(fēng)險(xiǎn)以及有價(jià)值的知識(shí)產(chǎn)權(quán)的丟失是一個(gè)嚴(yán)重的問(wèn)題，”達(dá)比說(shuō)。

　　在今天的媒體第一環(huán)境中，違規(guī)丑聞和數(shù)據(jù)濫用是詛咒;可能使企業(yè)損失數(shù)百萬(wàn)或數(shù)十億美元，具體取決于其市值。因此，股東和更廣泛的利益相關(guān)者將受到真正的關(guān)注。

　　如果一個(gè)企業(yè)不被信任，那么它就不會(huì)出去贏得市場(chǎng)，也不會(huì)在戰(zhàn)略上能夠在它想要的領(lǐng)域成長(zhǎng)-這是企業(yè)領(lǐng)導(dǎo)人的關(guān)鍵考慮因素。

　　Darby談到自己在商業(yè)和戰(zhàn)略方面的背景時(shí)說(shuō)：“信息安全正在影響我的成長(zhǎng)能力，所以我們必須進(jìn)入并理解這一點(diǎn)，因?yàn)槲覀兪且患姨峁┸浖?wù)的技術(shù)公司，為我們提供有價(jià)值的數(shù)據(jù)。顧客。

　　“任何代表另一個(gè)企業(yè)的數(shù)據(jù)處理器的人都需要證明他們可以信任，這是一個(gè)板級(jí)挑戰(zhàn)。因此，如果你在一家大型銀行或者你是一個(gè)小企業(yè)，這是一個(gè)重大的增長(zhǎng)挑戰(zhàn)。“

　　領(lǐng)導(dǎo)網(wǎng)絡(luò)安全費(fèi)用

　　在大企業(yè)中，首席執(zhí)行官或董事會(huì)不太可能領(lǐng)導(dǎo)網(wǎng)絡(luò)安全。

　　然而，鑒于該主題的重要性，這一責(zé)任將落在首席信息官，首席技術(shù)官或首席信息安全官的肩上-具有這種能力的人。

　　“在整個(gè)供應(yīng)鏈中加入企業(yè)的戰(zhàn)略層面，它影響到每個(gè)員工和每個(gè)供應(yīng)商，高級(jí)管理層應(yīng)該處理這個(gè)問(wèn)題，”達(dá)比說(shuō)。

　　“在大型企業(yè)中，您通常會(huì)遇到DPO，CISO，CTO，CIO或高級(jí)別人士，”他繼續(xù)說(shuō)道。“但是，在中小型企業(yè)中，你正在談?wù)撍姓呒?jí)別，創(chuàng)始人級(jí)別。

　　“這是一個(gè)棘手的挑戰(zhàn)，你不能委托給最初級(jí)的人;它需要這種級(jí)別的領(lǐng)導(dǎo)和參與。

　　“即使使用像我們這樣的工具來(lái)解決這個(gè)問(wèn)題并不是一個(gè)昂貴的問(wèn)題，但如果出現(xiàn)問(wèn)題或者沒(méi)有它就無(wú)法贏得這項(xiàng)新業(yè)務(wù)，這是一個(gè)非常昂貴的問(wèn)題。”

　　ISMS.online背后的公司Alliantist是Tech Nation Cyber的一部分-這是英國(guó)首個(gè)針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的全國(guó)性擴(kuò)展計(jì)劃。它的目標(biāo)是雄心勃勃的科技公司為增長(zhǎng)做好準(zhǔn)備。