Alliantist的創(chuàng)始人兼首席執(zhí)行官Mark Darby探討了ISO 27001的重要性-這是企業(yè)應該努力達到的網(wǎng)絡(luò)安全標準

　　信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：BS7799-1，信息安全管理實施規(guī)則BS7799-2，信息安全管理體系規(guī)范。第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。

　　當前的網(wǎng)絡(luò)安全格局是一種混亂，但也是一種認識到需要改變的事物。

　　這在政府推出的計劃中得到了最好的體現(xiàn)，例如Cyber Essentials。但是，即使這一點正在審查中，目前尚不清楚2020年初會發(fā)生什么-更多的混亂！

　　面對網(wǎng)絡(luò)安全危機，有大量的認證和模型，企業(yè)被建議甚至被迫采用。

　　其中的巔峰之作是ISO 27001-唯一的信息安全管理系統(tǒng)標準，可以通過一定程度的權(quán)威進行獨立認證。甚至NIST網(wǎng)絡(luò)安全也沒有那個“認證”，所以這也是智慧和更強大的買家推動ISO 27001的另一個原因

　　除此之外，監(jiān)管環(huán)境正在趕上最新的數(shù)據(jù)保護法案和GDPR。

　　“無所事事不是一種選擇”

　　ISMS.online背后的公司Alliantist的創(chuàng)始人Mark Darby表示，領(lǐng)導者和企業(yè)開始認識到“無所事事不是一種選擇”，但他們不確定該做什么，這有助于企業(yè)證明他們信息安全管理可以成為值得信賴的。

　　為什么要改變心意？達比指出，遭受破壞的風險和后果越來越大，這是主要原因。而且，由于這一點和GDPR這樣的法規(guī)，更大的企業(yè)-供應鏈中的強大企業(yè)，可以向供應商指示他們做什么-正在尋求認可的認證。

　　“最簡單的可能是Cyber Essentials，但這只是到目前為止，”達比說。“更聰明的企業(yè)希望看到物理安全以及網(wǎng)絡(luò)安全和安全產(chǎn)品開發(fā)，而不僅僅是保護路由器等，更好，更受認可的是ISO 27001。”

　　這種接近安全的新方式仍在不斷涌現(xiàn)，景觀仍然分散和混亂。

　　“有人需要通過它開辟更多的楔子，以便讓那些開始認識到他們有意識地無能力的企業(yè)更容易，而不是無意識地無能，”他繼續(xù)道。

　　從無意識轉(zhuǎn)變?yōu)橛幸庾R到積極主動

　　承認網(wǎng)絡(luò)安全問題是第一步。然后是一個主動解決企業(yè)安全漏洞的案例。

　　擁抱Cyber Essentials是一個良好的開端，但正如Darby所暗示的那樣，這還不夠。

　　“希望英國國家網(wǎng)絡(luò)安全中心（NCSC）和其他人會做的事情是，他們將開始圍繞公認的標準，如ISO 27001，”他希望。“而不是所有這些企業(yè)都試圖將自己的某些東西帶出來，如果努力幫助跨越關(guān)鍵領(lǐng)域的企業(yè)，那將會好得多。

　　“我認為隨著時間的推移，我們將朝著這個方向發(fā)展，但企業(yè)可以自己做的事情可能就是開始教育他們的供應鏈。”

　　保護供應鏈

　　整個供應鏈的失敗是需要克服的最大安全障礙之一。

　　現(xiàn)在是企業(yè)接受Darby所謂的“負責任的客戶，負責任的供應商計劃”的時候了。

　　“讓我們想象一下，你是一家大型銀行，你有一個非常重要的供應鏈，而不是僅僅向供應鏈發(fā)送一份合同，表明你將符合ISO 27001，為什么不幫助他們呢？為什么不讓他們具備這樣做的能力呢？那么他們實際上是在供應鏈中建設(shè)能力和能力，并使供應鏈更具彈性？大型企業(yè)可以做很多事情來幫助規(guī)模較小，財富較少，經(jīng)驗較少的企業(yè)。“

　　協(xié)作是關(guān)鍵。它一直都是。但是，對于保持最佳實踐或秘密工作方式的自然商業(yè)反應，它一直受挫。

　　現(xiàn)在，它采用更智能的工作方式，采用可幫助企業(yè)在供應鏈中上下移動的產(chǎn)品;找出風險，后果和機會在哪里，然后看看那個基礎(chǔ)是否有人已經(jīng)解決了這些問題，如果是，如何解決？

　　成本挑戰(zhàn)

　　網(wǎng)絡(luò)安全技能是一種稀缺商品。

　　而且，正因為如此，專家費用正在上升-這意味著它使小型企業(yè)無法承受安全問題;他們無法承擔非常重要的咨詢支持。

　　為了解決這個問題，Alliantist問：“我們?nèi)绾尉幾胂∪辟Y源？我們?nèi)绾伍_始使用自動化，機器學習等類似的東西并將其構(gòu)建成產(chǎn)品，“Darby問道。

　　企業(yè)必須考慮不同的工作方式來鞏固供應鏈。但是，至關(guān)重要的是，即使他們有錢，資源并不總是存在。

　　政府，企業(yè)，大學和其他教育機構(gòu)正在開始解決人才短缺問題并建立未來的能力。但是，它目前還不完全存在。

　　制定信息安全戰(zhàn)略

　　與大多數(shù)與技術(shù)相關(guān)的計劃一樣，安全性必須從最高層開始;“尤其是因為GDPR的威脅和風險以及有價值的知識產(chǎn)權(quán)的丟失是一個嚴重的問題，”達比說。

　　在今天的媒體第一環(huán)境中，違規(guī)丑聞和數(shù)據(jù)濫用是詛咒;可能使企業(yè)損失數(shù)百萬或數(shù)十億美元，具體取決于其市值。因此，股東和更廣泛的利益相關(guān)者將受到真正的關(guān)注。

　　如果一個企業(yè)不被信任，那么它就不會出去贏得市場，也不會在戰(zhàn)略上能夠在它想要的領(lǐng)域成長-這是企業(yè)領(lǐng)導人的關(guān)鍵考慮因素。

　　Darby談到自己在商業(yè)和戰(zhàn)略方面的背景時說：“信息安全正在影響我的成長能力，所以我們必須進入并理解這一點，因為我們是一家提供軟件服務(wù)的技術(shù)公司，為我們提供有價值的數(shù)據(jù)。顧客。

　　“任何代表另一個企業(yè)的數(shù)據(jù)處理器的人都需要證明他們可以信任，這是一個板級挑戰(zhàn)。因此，如果你在一家大型銀行或者你是一個小企業(yè)，這是一個重大的增長挑戰(zhàn)。“

　　領(lǐng)導網(wǎng)絡(luò)安全費用

　　在大企業(yè)中，首席執(zhí)行官或董事會不太可能領(lǐng)導網(wǎng)絡(luò)安全。

　　然而，鑒于該主題的重要性，這一責任將落在首席信息官，首席技術(shù)官或首席信息安全官的肩上-具有這種能力的人。

　　“在整個供應鏈中加入企業(yè)的戰(zhàn)略層面，它影響到每個員工和每個供應商，高級管理層應該處理這個問題，”達比說。

　　“在大型企業(yè)中，您通常會遇到DPO，CISO，CTO，CIO或高級別人士，”他繼續(xù)說道。“但是，在中小型企業(yè)中，你正在談?wù)撍姓呒墑e，創(chuàng)始人級別。

　　“這是一個棘手的挑戰(zhàn)，你不能委托給最初級的人;它需要這種級別的領(lǐng)導和參與。

　　“即使使用像我們這樣的工具來解決這個問題并不是一個昂貴的問題，但如果出現(xiàn)問題或者沒有它就無法贏得這項新業(yè)務(wù)，這是一個非常昂貴的問題。”

　　ISMS.online背后的公司Alliantist是Tech Nation Cyber的一部分-這是英國首個針對網(wǎng)絡(luò)安全領(lǐng)域的全國性擴展計劃。它的目標是雄心勃勃的科技公司為增長做好準備。