2023快来了，企业是时候制定全新的网络安全框架了

框架或说架构存在的意义是为了帮助企业建立整体的视图，但在其落地时，并不会像理论上那样齐整，一定是局部的、零碎的、渐进的。但如果没有整体视图，企业根本不知道自己做的具体工作意味着什么，以及有可能会往哪里发展。而有了整体视图，即便工作零碎，也可以形成自己的逻辑，以积少成多之势逐渐形成企业自己的方法论和体系。

当安全框架迎来新的数据合规环境时，也是一样的道理，企业需要从上至下的整体视图，在逻辑上需要和传统框架有所融合，且这个过程相比于过去要更为紧迫，因为法律不等人，但同时还不能急于求成，得考虑全面，各项法规都得涉及明确。

我们知道框架是目标，落地要允许不完美，不能死套，之后又得快速地修正，就像我们常说的，先挖许多坑，甚至大坑，然后再想办法一个个填补，接着再逐渐地把填坑变成可以各个自主运转的流程，这样就可以自驱动了。重要的不是有多少坑还没有填满，而是有无机制能支持企业不断地去填补。

国内知名安全专家曾举过这样的例子，他说安全框架的重要性就好比大餐和快餐，大餐靠的是名厨名师的发挥，如果今天这个名厨心情不好或者换个新人，可能做出的产品质量就有非常大的下降。而快餐如肯德基，所有的操作都是标准化和流程化，就是初中毕业没学过烹饪的人经过短期培训和严格管理，也能确保炸出正常的薯条。

快餐的标准化流程和管理几乎完全消除了人的因素，它确保的是，对外提供的服务质量要能够始终稳定，不会出现大起大落的情况。安全框架的目标或者说需要解决的问题，就是在企业变大、业务和系统日益复杂的情况下，在资源投入保持不变或变化较小的情况下，尽量将安全服务质量保持在稳定区间。

也就是说，新的安全框架同样是为了保证安全服务，同时它还能以法律法规为目标，让企业不被处罚。对此，国外安全专家指出，高管、甚至董事会成员，都有责任与CISO合作，帮助企业创建全新的、正确的规范性框架，该框架需要提供透明度，需要能识别安全漏洞，并能使用公司适当的指标，该框架中的数据必须易于消化，比如非安全专家在看到这些数据时能够轻松的理解，并作出相应的回馈。

零售公司的PCI DSS（支付卡行业数据安全标准）和金融服务领域的FFIEC CAT（联邦金融机构考试委员会的网络安全评估工具）是众所周知的网络安全框架，国外安全专家认为，此二者可以作为企业开发网络安全框架的基础，它们都衡量了一系列的安全控制（身份验证、数据安全和漏洞优先级），有助于降低组织风险态势，并能让企业了解其安全策略的真实性。

CISO可以通过使用这些行业标准和工具来创建一个全面的框架，且这框架要能被非安全专家的高管所理解。通过这种方式，它可以为企业带来“规定性地”的指导方针，其不仅能识别安全漏洞，而且在适当的业务环境中还能解决安全漏洞。

对于一家企业来说，最大的问题是“该如何选择、使用现有的网络安全框架来制定企业自己的体系”，三个主要变量决定了这一选择：组织的规模和成熟度、与行业相关的问题以及对公司内部业务流程的理解。

大企业在法律法规上通常已被制定了明确的要求，他们需要遵守几种类型的监管控制。比如上市公司必须提交报告，以遵守财务法规，如美国证券交易委员会（Securities And Exchange Commission）要求的公开并购报告或私募股权收购报告。这两份报告都包含一定数量的网络安全情报，也是审计时的主要内容。

再比如ESG报告。一直以来，大众评价一家公司，通常都是从财务的角度来考量它的收益与风险。但 ESG 引入了一个全新的维度，从环境保护、社会责任和公司治理等方面考察这家公司的表现，并以量化的方式来影响公司估值，资本市场逐渐将企业的ESG表现纳入投资决策。

随着市场动向，人们对于 ESG 的兴趣与日俱增，CISO的职责将进一步扩大，他们需要制定安全和风险战略，以符合企业的治理目标，而这些目标很可能关系到公司的声誉问题，很明显声誉也算作是风险里的一种。这些报告、这些相关的情报就是企业安全框架宝贵的输入来源。

而对于较小的公司来说，IT和安全团队是精简的，因为其组织的成熟度和资源较少，所以流程更加有限。这样的情况通常会导致监管职责重叠，CISO的职责会变成又负责安全，又负责合规政策。但职责重叠也有好处，比如有利于制定企业流程，因为从中收集政策信息的利益相关者较少，审批流程也就不会那么繁琐。

安全控制问题具有不同的特性，这取决于各行业的背景因素。比如遵守PCI DSS框架须满足六个控制目标，包括建立和维护安全的网络和系统、保护持卡人数据、维护漏洞管理计划、实施强有力的访问控制措施、定期监控和测试网络、维护信息安全政策。于如今在线交易量正慢慢超过实体交易量的当下，对于希望将支付业务转移到线上的组织来说，比如零售业，遵守这套框架必不可少。

然而，PCI DSS在制造业这样的行业中可能无法适用，因为制造业里的公司会完全驻留在企业内部，很少甚至无法访问外部网络。在这种情况下，安全问题应该以帮助组织开发一致的迭代方法为主，比如识别、评估、管理网络安全风险，比如保护关键基础设施，这些设施可能被规模、复杂性和技术能力各异的公共或私营部门组织所控制。因此，国家标准与技术研究院网络安全框架（NIST CFS）在制造业里会是一个较好的适用框架。

很多时候，公司只从外部视角来考虑网络安全，他们忘了在自己内部的日常流程中也可能存在致命的漏洞。到了如今数据合规的时代，了解数据如何在业务中存储、处理或传输便成了安全框架主要的思考内容，这可以帮助企业更清楚地了解自身在数据生命周期的不同阶段，需要哪些安全控制和测量。

大型组织拥有良好的内部流程，较小的公司可能从未明确其业务流程，而随着时间的推移，业务流程可能会有机地（无人值守）增长。如果网络安全对你的企业来说确实是一个重要的问题，那么现在是时候去找IT主管或CISO创建企业内部流程的初始映射了。

对应国外安全专家的建议，例举国内安全专家胡恺健在隐私保护框架上的搭建思路。

他在文章中写道：多标准融合是信息安全管理体系成功落地运行的必然之举，如果一个企业为了满足蜂拥而至的监管合规要求，而“造”出多套管理制度应对，对企业而言无疑是一场灾难。对于个人数据与隐私保护管理体系搭建也是一样的道理，应该时刻强调体系具备全球地区适配性、多标准融合性与高度互操作性。

一个优秀的安全体系框架是安全管理体系的基石，而合理的框架搭建流程，是保障框架与适应企业环境的关键。个人数据与隐私保护框架的搭建流程，参考《ISACA Journal丨隐私框架甄选和采用指南》的文章，大概可以分为以下几步：

1.识别框架：识别全球知名的隐私保护框架（例如NIST Privacy Framework、ISO 27701、ISO 29100、GAPP等），了解各个框架的侧重点。考虑与网络安全或信息安全框架的融合性与互操作性。

2.综合考量：由合适的角色（安全、法务、合规、风控、业务、人力）共同对个人数据与隐私保护框架进行现状、业务影响、效益和全球合规遵从的综合考量，得出甄选框架的原则和需求。

3.甄选评估：了解企业需遵从的合规要求、企业业务目标、利益相关方要求、企业希望通过的隐私认证。同时，根据企业目前的网络安全或信息安全框架情况，选择具备安全-隐私高互操作性的框架。最后，应根据企业业务服务范围内各司法管辖区相关法律、标准来调整框架内容。

4.框架集成：个人数据与隐私保护框架应与网络安全/信息安全/数据安全框架进行有效集成，使他们之间具备互操作性。例如组织已通过ISO 27001，那就应该在ISO 27001的基础上完成隐私内容的集成，制定需优化和补充的体系文件，按项目管理方式去推动落实和优化。

可以看到，国内外安全专家对安全框架的搭建和改进有着相仿的思路，都是从环境入手，用合规驱动，然后参考各种体系并形成自己的方法论。

对于安全框架在新时代的飞速发展下需要怎样的重建，国内安全专家如此建议。

比特大陆CISO张鲁认为，企业网络安全框架会随着内部和外部环境的变化而变化。过去我们简单理解为一个企业的业务模式决定了其价值资产，价值资产决定了其威胁模型，由威胁模型推导出企业的安全框架。而数字化时代中，企业与企业之间不再是完全割裂的，重视自身安全的同时需要警惕蝴蝶效应下的黑天鹅事件。整个社会的数字化体系需要有一套纵深防御和强监管以及开放透明可靠的通报机制作为基础保障。

隐私保护从业者王振东以最近热映的《天下长河》为引，讲述了他对此问题的看法。“《天下长河》讲的是清朝治河名臣靳辅和陈湟治理黄河的故事。就信息系统而言，本质是由程序和数据组成，比之黄河，就是河道与河水。但凡有信息系统，就应该考虑程序该如何建设，这样才能保证数据正常流动。”

所以王振东说，数据安全本身不是一个新话题，如果系统设计伊始就考虑了安全问题，那就不需要建立全新的数据安全框架。如果组织范围内的大多数系统最初都只想着“先污染后治理”，那么就需要从整个企业的组织架构出发，来考虑数据安全架构的问题。

以上仅为在数据安全方面的一点个人考虑。而从隐私保护的方面来说，王振东觉得，目前绝大多数企业的系统架构中并没有真正做到“尊重用户”、“开放透明”、“正和双赢”、“内嵌”、“默认隐私”、“主动防御”、“端到端”这些隐私设计，也可能没有考虑数据主体的权利和控制者的义务，以及包括目的限制和存储限制在内的各种法律要求，都已对现有系统提出了更高的规定。

基于这样的现状，隐私保护和数据合规团队需要考虑对系统架构进行评估，并根据发现的缺陷和缺失进行填补，从隐私的角度考虑系统架构和产品设计。整个行业还处在非常初期的阶段，不同国家不同文化背景的人对此也需要意识提升和适应的缓冲期。

王振东认为，这个行业也对人才的综合素质提出了更高的要求，包括对隐私原则、法律法规与标准规范、网络和信息技术、安全理论与技术、项目管理甚至心理学都有所认识和理解。同时，王振东指出，新时代的职场人，也要对自己有更高的要求，不断学习，充实自己，才能抓住这种前所未有的机会。

而某互联网公司安全专家李磊对于安全框架的认识是，业务形态、网络形态，例如云化、安全态势等都在变化，所以需要建立最适合企业发展和现状的网络安全框架，但需要清醒认识到的是：

1.网络安全防护的本质没有变，面对的始终是攻防的对抗，攻击对应安全防护手段——防护defend和检测detecte。

2.安全防护运营的本质PDCA逻辑没有变。

3.网络防护的保护对象本质没有变，不仅仅是体现在保障抵抗住外部攻击，而实质是指能够保障企业数据的安全性。只是从前大家更多从网络安全视角看问题，忽略了防护保障的最本质的数据安全。

4.监管，合规隐私等法规的发布，会让更多的企业在这方面增加投入，但安全是合规的底线和局部体现。换个视角看网络安全框架，不再是狭义的网络安全，而是大的网络安全观，在这个视角下，其他面临的都是场景问题。

所以，李磊对此给出建议：

1.结合企业现状落地网络安全。

2.需要建立大网络安全观。

3.底层建设技术驱动，上层业务以场景化驱动，二者形成互动，下对上进行支撑，以不变应万变。

某企业安全专家朱璐提出，安全框架对于企业的安全规划与发展很有价值，通过对比目前成熟的安全框架，可以在全局视角分析和了解企业安全的空白，并可以协助指导安全业务规划和发展，当下数据安全以及网络安全均有很多很有帮助的框架可以进行参考，CMMC，以及DMM-数据安全能力成熟度模型，均可以借鉴与参考。

在于企业的当下，安全框架也可以帮助建立与管理层的沟通渠道，可以通过量化以及指标化的方式帮助与管理层沟通，对于CISO/安全负责人来说，选择一个合理的符合目前企业成熟度的框架具有较大的参考性与助力。但对于框架的评估与实践来说，很多需要贴合业务以及贴合企业场景进行改变与调整，在深入了解业务以及市场环境的基础上，结合安全/数据/合规框架可以更加有效地提升安全业务的话语权，并可以获得更多的支持。

最后万变不离其宗，框架也在持续更新与发展，同样对于企业安全设计与建设也是持续的PDCA循环，希望大家都可以找到合适自己以及合适企业的安全建设之路。

对于一些高管而言，改进、落地全新的网络安全合规框架可能有点本末倒置，毕竟建设体系远比解决燃眉之急要缓慢得多，但不禁要问，这与期望首席财务官提供资产负债表、损益表有何不同？安全框架和财务分析都是基于行业公认的数据模型，这些模型对非专家受托人和管理层有着巨大的作用。所以，如今在董事会的决策中，安全和财务信息应被视为同等价值、同等重要，否则企业的安全永远会是大问题。至此，希望更多的企业能够醒悟。