ISO 27001：企业应在整个供应链中努力实现的网络安全标准

　　Alliantist的创始人兼首席执行官Mark Darby探讨了ISO 27001的重要性-这是企业应该努力达到的网络安全标准

　　信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

　　当前的网络安全格局是一种混乱，但也是一种认识到需要改变的事物。

　　这在政府推出的计划中得到了最好的体现，例如Cyber Essentials。但是，即使这一点正在审查中，目前尚不清楚2020年初会发生什么-更多的混乱！

　　面对网络安全危机，有大量的认证和模型，企业被建议甚至被迫采用。

　　其中的巅峰之作是ISO 27001-唯一的信息安全管理系统标准，可以通过一定程度的权威进行独立认证。甚至NIST网络安全也没有那个“认证”，所以这也是智慧和更强大的买家推动ISO 27001的另一个原因

　　除此之外，监管环境正在赶上最新的数据保护法案和GDPR。

　　“无所事事不是一种选择”

　　ISMS.online背后的公司Alliantist的创始人Mark Darby表示，领导者和企业开始认识到“无所事事不是一种选择”，但他们不确定该做什么，这有助于企业证明他们信息安全管理可以成为值得信赖的。

　　为什么要改变心意？达比指出，遭受破坏的风险和后果越来越大，这是主要原因。而且，由于这一点和GDPR这样的法规，更大的企业-供应链中的强大企业，可以向供应商指示他们做什么-正在寻求认可的认证。

　　“最简单的可能是Cyber Essentials，但这只是到目前为止，”达比说。“更聪明的企业希望看到物理安全以及网络安全和安全产品开发，而不仅仅是保护路由器等，更好，更受认可的是ISO 27001。”

　　这种接近安全的新方式仍在不断涌现，景观仍然分散和混乱。

　　“有人需要通过它开辟更多的楔子，以便让那些开始认识到他们有意识地无能力的企业更容易，而不是无意识地无能，”他继续道。

　　从无意识转变为有意识到积极主动

　　承认网络安全问题是第一步。然后是一个主动解决企业安全漏洞的案例。

　　拥抱Cyber Essentials是一个良好的开端，但正如Darby所暗示的那样，这还不够。

　　“希望英国国家网络安全中心（NCSC）和其他人会做的事情是，他们将开始围绕公认的标准，如ISO 27001，”他希望。“而不是所有这些企业都试图将自己的某些东西带出来，如果努力帮助跨越关键领域的企业，那将会好得多。

　　“我认为随着时间的推移，我们将朝着这个方向发展，但企业可以自己做的事情可能就是开始教育他们的供应链。”

　　保护供应链

　　整个供应链的失败是需要克服的最大安全障碍之一。

　　现在是企业接受Darby所谓的“负责任的客户，负责任的供应商计划”的时候了。

　　“让我们想象一下，你是一家大型银行，你有一个非常重要的供应链，而不是仅仅向供应链发送一份合同，表明你将符合ISO 27001，为什么不帮助他们呢？为什么不让他们具备这样做的能力呢？那么他们实际上是在供应链中建设能力和能力，并使供应链更具弹性？大型企业可以做很多事情来帮助规模较小，财富较少，经验较少的企业。“

　　协作是关键。它一直都是。但是，对于保持最佳实践或秘密工作方式的自然商业反应，它一直受挫。

　　现在，它采用更智能的工作方式，采用可帮助企业在供应链中上下移动的产品;找出风险，后果和机会在哪里，然后看看那个基础是否有人已经解决了这些问题，如果是，如何解决？

　　成本挑战

　　网络安全技能是一种稀缺商品。

　　而且，正因为如此，专家费用正在上升-这意味着它使小型企业无法承受安全问题;他们无法承担非常重要的咨询支持。

　　为了解决这个问题，Alliantist问：“我们如何编纂稀缺资源？我们如何开始使用自动化，机器学习等类似的东西并将其构建成产品，“Darby问道。

　　企业必须考虑不同的工作方式来巩固供应链。但是，至关重要的是，即使他们有钱，资源并不总是存在。

　　政府，企业，大学和其他教育机构正在开始解决人才短缺问题并建立未来的能力。但是，它目前还不完全存在。

　　制定信息安全战略

　　与大多数与技术相关的计划一样，安全性必须从最高层开始;“尤其是因为GDPR的威胁和风险以及有价值的知识产权的丢失是一个严重的问题，”达比说。

　　在今天的媒体第一环境中，违规丑闻和数据滥用是诅咒;可能使企业损失数百万或数十亿美元，具体取决于其市值。因此，股东和更广泛的利益相关者将受到真正的关注。

　　如果一个企业不被信任，那么它就不会出去赢得市场，也不会在战略上能够在它想要的领域成长-这是企业领导人的关键考虑因素。

　　Darby谈到自己在商业和战略方面的背景时说：“信息安全正在影响我的成长能力，所以我们必须进入并理解这一点，因为我们是一家提供软件服务的技术公司，为我们提供有价值的数据。顾客。

　　“任何代表另一个企业的数据处理器的人都需要证明他们可以信任，这是一个板级挑战。因此，如果你在一家大型银行或者你是一个小企业，这是一个重大的增长挑战。“

　　领导网络安全费用

　　在大企业中，首席执行官或董事会不太可能领导网络安全。

　　然而，鉴于该主题的重要性，这一责任将落在首席信息官，首席技术官或首席信息安全官的肩上-具有这种能力的人。

　　“在整个供应链中加入企业的战略层面，它影响到每个员工和每个供应商，高级管理层应该处理这个问题，”达比说。

　　“在大型企业中，您通常会遇到DPO，CISO，CTO，CIO或高级别人士，”他继续说道。“但是，在中小型企业中，你正在谈论所有者级别，创始人级别。

　　“这是一个棘手的挑战，你不能委托给最初级的人;它需要这种级别的领导和参与。

　　“即使使用像我们这样的工具来解决这个问题并不是一个昂贵的问题，但如果出现问题或者没有它就无法赢得这项新业务，这是一个非常昂贵的问题。”

　　ISMS.online背后的公司Alliantist是Tech Nation Cyber的一部分-这是英国首个针对网络安全领域的全国性扩展计划。它的目标是雄心勃勃的科技公司为增长做好准备。