CISO聚焦 | 如何構(gòu)建企業(yè)組織的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性

目前網(wǎng)絡(luò)安全態(tài)勢(shì)嚴(yán)峻，各種勒索攻擊、數(shù)據(jù)泄露、網(wǎng)絡(luò)破壞安全事件層出不窮，作為企業(yè)的網(wǎng)絡(luò)安全管理人員，我們應(yīng)當(dāng)如何做好充分的應(yīng)對(duì)準(zhǔn)備？

因此，今天想要和大家聊聊“網(wǎng)絡(luò)安全韌性”（Cybersecurity resiliency）和“數(shù)字連續(xù)性”（Digital continuity）。先談?wù)劇熬W(wǎng)絡(luò)安全韌性”（Cybersecurity resiliency）：

“Resiliency”這個(gè)單詞翻譯為中文時(shí)通常翻譯為“彈性”，但我更喜歡使用“韌性”，這樣更能體會(huì)出在不利局面下“堅(jiān)韌不拔、頑強(qiáng)應(yīng)對(duì)”的精神，這也是我們今天所要關(guān)注的“網(wǎng)絡(luò)安全韌性”的核心體現(xiàn)；

再談?wù)劇皵?shù)字連續(xù)性”（Digital continuity）：

“業(yè)務(wù)連續(xù)性”（Business continuity）大家都聽(tīng)到過(guò)無(wú)數(shù)次了，但是“數(shù)字連續(xù)性”（Digital continuity）可能大家聽(tīng)到不多。本質(zhì)上來(lái)講，數(shù)字連續(xù)性就是數(shù)字化時(shí)代的業(yè)務(wù)連續(xù)性，強(qiáng)調(diào)的是數(shù)字化信息/IT應(yīng)用系統(tǒng)在業(yè)務(wù)中的可持續(xù)性，在很多語(yǔ)境中其實(shí)和“業(yè)務(wù)連續(xù)性”基本一致。

網(wǎng)絡(luò)安全韌性指的是企業(yè)組織在面臨包括網(wǎng)絡(luò)安全攻擊、服務(wù)中斷等在內(nèi)的各種網(wǎng)絡(luò)安全事件不利影響的局面下，能夠繼續(xù)企業(yè)業(yè)務(wù)運(yùn)營(yíng)并保持增長(zhǎng)的能力。換句話而言，網(wǎng)絡(luò)安全韌性是數(shù)字連續(xù)性在網(wǎng)絡(luò)安全方面的具體展現(xiàn)，是屬于企業(yè)整體數(shù)字連續(xù)性（以及業(yè)務(wù)連續(xù)性）的其中一部分。

在VUCA時(shí)代，我們面對(duì)的世界和環(huán)境有著太多的不確定性。相信大家都知道“墨菲定律”：如果事情會(huì)出錯(cuò)，不管這種可能性有多小，它總會(huì)發(fā)生。網(wǎng)絡(luò)安全亦是如此，我們目前面對(duì)的網(wǎng)絡(luò)安全威脅攻擊強(qiáng)度和頻度都在持續(xù)進(jìn)化，即便我們?cè)诰W(wǎng)絡(luò)安全方面做出了巨大的投入，但是沒(méi)有誰(shuí)可以保證絕對(duì)的安全，我們總會(huì)面臨各種網(wǎng)絡(luò)安全的潛在風(fēng)險(xiǎn)，無(wú)論是APT攻擊、勒索病毒、數(shù)據(jù)泄露、供應(yīng)鏈安全，或者相關(guān)人員的人為失誤等等。

微軟基于過(guò)去一年的相關(guān)客戶服務(wù)與支持，對(duì)缺失網(wǎng)絡(luò)安全基礎(chǔ)控制要求導(dǎo)致嚴(yán)重影響企業(yè)網(wǎng)絡(luò)安全韌性的情況進(jìn)行統(tǒng)計(jì)分析。如下表所示，從中可以看到其中包含了不同類(lèi)型的很多因素，充分體現(xiàn)出了網(wǎng)絡(luò)安全韌性的復(fù)雜性：

信息技術(shù)的發(fā)展永遠(yuǎn)改變了企業(yè)組織與客戶、合作伙伴、員工和其他利益相關(guān)者合作的方式。隨著互聯(lián)網(wǎng)采用率的增長(zhǎng)，攻擊面也在不斷擴(kuò)大，我們所面臨的網(wǎng)絡(luò)安全威脅的強(qiáng)度和頻度都在不斷進(jìn)化，在我們“始終連接”的互聯(lián)網(wǎng)世界中，防止網(wǎng)絡(luò)安全威脅變得愈發(fā)困難。

而企業(yè)組織需要在業(yè)務(wù)增長(zhǎng)、客戶和用戶體驗(yàn)、以及網(wǎng)絡(luò)安全之間尋求合理的平衡。通常情況下，企業(yè)組織通過(guò)實(shí)施用于安全防護(hù)和安全運(yùn)營(yíng)（包含安全響應(yīng)）的工具、技術(shù)和人員來(lái)支撐網(wǎng)絡(luò)安全。雖然這是重要的網(wǎng)絡(luò)安全必備基礎(chǔ)，但實(shí)施網(wǎng)絡(luò)安全工具和技術(shù)的根本目的是確保企業(yè)組織的數(shù)字（業(yè)務(wù)）連續(xù)性。

企業(yè)組織還應(yīng)該在戰(zhàn)略層面思考如何加強(qiáng)其關(guān)鍵系統(tǒng)、IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心的數(shù)字連續(xù)性，以便在面對(duì)導(dǎo)致不利局面時(shí)（無(wú)論是業(yè)務(wù)中斷、網(wǎng)絡(luò)安全威脅攻擊、還是人為錯(cuò)誤等等）保持韌性，繼續(xù)企業(yè)業(yè)務(wù)運(yùn)營(yíng)并保持增長(zhǎng)的能力。這就是數(shù)字連續(xù)性戰(zhàn)略發(fā)揮作用的地方，企業(yè)組織需要量身定制數(shù)字連續(xù)性戰(zhàn)略，并執(zhí)行專(zhuān)門(mén)針對(duì)其業(yè)務(wù)需求的數(shù)字連續(xù)性計(jì)劃，以確保在不利局面下的數(shù)字連續(xù)性。

隨著企業(yè)組織越來(lái)越依賴(lài)于IT技術(shù)，請(qǐng)務(wù)必將數(shù)字連續(xù)性（以及業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)（BCDR））視為整個(gè)企業(yè)組織的重要組成部分，而不僅僅視其為IT團(tuán)隊(duì)或者網(wǎng)絡(luò)安全團(tuán)隊(duì)所需要關(guān)注的問(wèn)題。每個(gè)企業(yè)組織都需要準(zhǔn)備好應(yīng)對(duì)由不可預(yù)見(jiàn)的事件引起的服務(wù)中斷或其他不利影響。關(guān)鍵應(yīng)用系統(tǒng)和服務(wù)的停機(jī)可能導(dǎo)致企業(yè)業(yè)務(wù)運(yùn)營(yíng)和生產(chǎn)力停止、收入和聲譽(yù)損失，以及降低客戶對(duì)企業(yè)組織的信心，而有效且高效的數(shù)字連續(xù)性計(jì)劃可以幫助企業(yè)組織的應(yīng)用系統(tǒng)、IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心抵御服務(wù)中斷事件或其他不利局面的影響。

IT技術(shù)的革命與發(fā)展，見(jiàn)證和推動(dòng)了企業(yè)組織的數(shù)字化轉(zhuǎn)型。作為數(shù)字化轉(zhuǎn)型的基礎(chǔ)，網(wǎng)絡(luò)安全是技術(shù)成功的關(guān)鍵推動(dòng)因素，也是企業(yè)組織發(fā)展所不可缺少的。我們必須考慮業(yè)務(wù)、IT和網(wǎng)絡(luò)安全在數(shù)字化轉(zhuǎn)型中的關(guān)聯(lián)一致性，只有通過(guò)引入合理充分的網(wǎng)絡(luò)安全措施，使企業(yè)組織盡可能地抵御現(xiàn)代化的攻擊，才能支撐企業(yè)組織實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新、提高生產(chǎn)力并最終實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。

隨著網(wǎng)絡(luò)環(huán)境中的安全威脅急劇增加，網(wǎng)絡(luò)安全韌性需要構(gòu)建到企業(yè)組織的核心體系架構(gòu)中，并與企業(yè)財(cái)務(wù)及業(yè)務(wù)運(yùn)營(yíng)的韌性一樣重要。企業(yè)的領(lǐng)導(dǎo)者應(yīng)將網(wǎng)絡(luò)安全韌性視為數(shù)字連續(xù)性的一個(gè)關(guān)鍵方面，他們應(yīng)該在數(shù)字連續(xù)性管理中，像規(guī)劃自然災(zāi)害或其他不可預(yù)見(jiàn)的事件一樣為網(wǎng)絡(luò)安全事件做好計(jì)劃，并將業(yè)務(wù)運(yùn)營(yíng)、基礎(chǔ)設(shè)施管理、法務(wù)、公關(guān)等內(nèi)部干系人緊密的集成聯(lián)合在一起，制定數(shù)字連續(xù)性戰(zhàn)略和戰(zhàn)術(shù)。這樣做將有助于確保企業(yè)組織在不利局面下實(shí)現(xiàn)其核心關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)的持續(xù)運(yùn)營(yíng)，并后續(xù)逐步恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)。

但它并不止于此，針對(duì)供應(yīng)鏈的攻擊行為已經(jīng)成為了網(wǎng)絡(luò)安全攻擊的重要類(lèi)別之一。由于許多企業(yè)組織依賴(lài)第三方供應(yīng)商和服務(wù)提供商，企業(yè)領(lǐng)導(dǎo)者應(yīng)將網(wǎng)絡(luò)安全韌性規(guī)劃擴(kuò)展到其包含供應(yīng)鏈生態(tài)系統(tǒng)在內(nèi)的端到端價(jià)值鏈，以進(jìn)一步確保實(shí)現(xiàn)真正有效的數(shù)字連續(xù)性和網(wǎng)絡(luò)安全韌性。

當(dāng)然，網(wǎng)絡(luò)安全韌性只是企業(yè)韌性中的其中一個(gè)方面而已。如果一個(gè)企業(yè)組織真的想要有韌性，他們應(yīng)該同時(shí)考慮除了網(wǎng)絡(luò)安全之外許多其他方面的風(fēng)險(xiǎn)，在此就不額外展開(kāi)了。

面對(duì)現(xiàn)代化的網(wǎng)絡(luò)安全威脅攻擊，我們也需要通過(guò)現(xiàn)代化的網(wǎng)絡(luò)安全來(lái)應(yīng)對(duì)。我們需要構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性戰(zhàn)略，來(lái)抵御持續(xù)進(jìn)化的網(wǎng)絡(luò)安全威脅，這涉及到企業(yè)組織中人員、流程和技術(shù)的變革，也涉及到企業(yè)領(lǐng)導(dǎo)者、業(yè)務(wù)、IT、安全以及其他內(nèi)部、外部干系人之間的密切合作。

這個(gè)整體全面的網(wǎng)絡(luò)安全韌性戰(zhàn)略包括以下方面：

管理和權(quán)衡企業(yè)組織在數(shù)字化轉(zhuǎn)型中的風(fēng)險(xiǎn)與回報(bào)，實(shí)現(xiàn)合理有效的網(wǎng)絡(luò)安全投入產(chǎn)出。

網(wǎng)絡(luò)安全基礎(chǔ)控制要求。確保企業(yè)組織的核心網(wǎng)絡(luò)安全基礎(chǔ)控制滿足安全最佳實(shí)踐的基本核心要求，例如采用多因素身份驗(yàn)證、部署XDR進(jìn)行威脅防護(hù)、及時(shí)進(jìn)行安全更新、做好數(shù)據(jù)安全防護(hù)等等。

大家可能在國(guó)外的文獻(xiàn)中，經(jīng)常會(huì)看到“Cyber hygiene”或者“Basic security posture”，它們即說(shuō)明此項(xiàng)，未來(lái)再和大家詳細(xì)進(jìn)行介紹。

威脅保護(hù)：針對(duì)已知攻擊提供保護(hù)、預(yù)防新的攻擊行為以及自動(dòng)響應(yīng)與修復(fù)的能力。

被攻擊面管理：主動(dòng)檢測(cè)安全配置、威脅、漏洞，分析被攻擊面并實(shí)時(shí)響應(yīng)的能力。

通過(guò)故障隔離和微分區(qū)減少攻擊事件和災(zāi)難的影響。

發(fā)生業(yè)務(wù)中斷時(shí)的高可用性、冗余和自動(dòng)恢復(fù)。

供應(yīng)鏈韌性：了解并明確對(duì)供應(yīng)鏈資源（包含內(nèi)部、外部資源，例如云計(jì)算服務(wù)）的共同責(zé)任、依賴(lài)關(guān)系和其韌性。

有效的網(wǎng)絡(luò)安全韌性計(jì)劃，始于企業(yè)IT資產(chǎn)的基礎(chǔ)知識(shí)。例如了解可用的服務(wù)以及在發(fā)生中斷時(shí)可以調(diào)用的相關(guān)可用資源。在此基礎(chǔ)上，該計(jì)劃必須能夠評(píng)估其自身的有效性，衡量關(guān)鍵服務(wù)及其依賴(lài)項(xiàng)的性能，測(cè)試和驗(yàn)證本地、云服務(wù)及其他相關(guān)依賴(lài)服務(wù)/供應(yīng)鏈的功能和韌性，根據(jù)對(duì)企業(yè)組織構(gòu)成的總體風(fēng)險(xiǎn)評(píng)估，嚴(yán)格確定優(yōu)先次序，并在企業(yè)組織的整個(gè)數(shù)字生命周期中實(shí)現(xiàn)持續(xù)評(píng)估和改進(jìn)。

這種整體戰(zhàn)略方案，需要在不斷變化的威脅形勢(shì)背景下持續(xù)動(dòng)態(tài)優(yōu)化與調(diào)整，目標(biāo)是推動(dòng)可衡量的有效性和性能改進(jìn)，縮短檢測(cè)、響應(yīng)、阻止和恢復(fù)的時(shí)間，并減少發(fā)生中斷時(shí)的影響范圍。

同時(shí)企業(yè)組織的內(nèi)部、外部干系人之間的聯(lián)系會(huì)日益緊密。例如，安全事件可能會(huì)導(dǎo)致具有隱私影響的數(shù)據(jù)泄露，需要許多內(nèi)部和外部相關(guān)團(tuán)隊(duì)共同努力，以快速響應(yīng)并將影響降至最低。從具體戰(zhàn)術(shù)層面而言，后續(xù)我們應(yīng)該考慮：

01

參考“假定被攻擊”的思想，在構(gòu)建并管理應(yīng)用系統(tǒng)和技術(shù)產(chǎn)品時(shí)，限制威脅攻擊對(duì)其的影響，以至于甚至在安全事件發(fā)生時(shí)，這些應(yīng)用系統(tǒng)和技術(shù)產(chǎn)品的核心組件也能夠持續(xù)安全和有效地運(yùn)營(yíng)。在這個(gè)方面，我們需要關(guān)注保護(hù)核心資產(chǎn)、提高敏捷性和采用包含公有云/混合云在內(nèi)的現(xiàn)代化系統(tǒng)架構(gòu)、減少被攻擊面（例如關(guān)閉不必要的Internet入口）等等并持續(xù)改進(jìn)。

02

在規(guī)劃IT項(xiàng)目時(shí)，權(quán)衡潛在的威脅和發(fā)展機(jī)遇，企業(yè)組織的相關(guān)團(tuán)隊(duì)（無(wú)論是業(yè)務(wù)團(tuán)隊(duì)、IT團(tuán)隊(duì)還是安全團(tuán)隊(duì)）應(yīng)共同承擔(dān)整個(gè)數(shù)字技術(shù)供應(yīng)鏈（包括基于云的安全解決方案）的網(wǎng)絡(luò)安全韌性責(zé)任。

03

在構(gòu)建系統(tǒng)時(shí)，除了通過(guò)“Secure by design”原則來(lái)確保系統(tǒng)的安全設(shè)計(jì)、通過(guò)“Secure by implementation”原則來(lái)確保系統(tǒng)的安全構(gòu)建之外，還應(yīng)嵌入安全性和采取相關(guān)措施來(lái)預(yù)測(cè)、檢測(cè)、容忍、適應(yīng)、響應(yīng)和阻止未來(lái)持續(xù)變化的網(wǎng)絡(luò)安全威脅（“Secure by Operation”）。

04

確保業(yè)務(wù)、IT與網(wǎng)絡(luò)安全的關(guān)聯(lián)一致性與緊密結(jié)合。企業(yè)在開(kāi)發(fā)新的業(yè)務(wù)時(shí)，應(yīng)充分的咨詢(xún)IT團(tuán)隊(duì)和網(wǎng)絡(luò)安全團(tuán)隊(duì)，評(píng)估和明確相關(guān)安全風(fēng)險(xiǎn)。同樣的，安全團(tuán)隊(duì)?wèi)?yīng)該充分考慮并圍繞企業(yè)業(yè)務(wù)發(fā)展目標(biāo)，支持業(yè)務(wù)安全的實(shí)現(xiàn)發(fā)展目標(biāo)。

05

針對(duì)網(wǎng)絡(luò)安全事件，制定明確清晰地企業(yè)組織的操作實(shí)踐和相關(guān)流程，確保網(wǎng)絡(luò)安全韌性能夠得到充分的展現(xiàn)和執(zhí)行。

微軟在幫助企業(yè)組織提高網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性方面，具有非常豐富的經(jīng)驗(yàn)。作為全球網(wǎng)絡(luò)安全業(yè)務(wù)營(yíng)收最大的IT企業(yè)，微軟具有領(lǐng)先、全面且豐富的安全產(chǎn)品和技術(shù)覆蓋場(chǎng)景/集成安全體系，為客戶提供全場(chǎng)景、全平臺(tái)、全生命周期的端到端安全能力，具有優(yōu)秀的生態(tài)系統(tǒng)與合作伙伴體系，并充分支持與第三方集成。

微軟在7個(gè)安全產(chǎn)品線上，集成了超過(guò)60個(gè)不同的安全產(chǎn)品和技術(shù)類(lèi)別，所有微軟安全產(chǎn)品系列作為一個(gè)跨云和跨平臺(tái)的智能集成綜合安全解決方案協(xié)同工作，能夠幫助客戶實(shí)現(xiàn)統(tǒng)一集成的、自動(dòng)化的安全防護(hù)和管理，利用全球領(lǐng)先地安全產(chǎn)品和技術(shù)，在避免冗余和重疊的同時(shí)，最大限度地發(fā)揮其現(xiàn)有產(chǎn)品的價(jià)值，同時(shí)簡(jiǎn)化包含部署成本、管理成本在內(nèi)的總體擁有成本，降低整體復(fù)雜性，并幫助企業(yè)構(gòu)建全面的網(wǎng)絡(luò)安全韌性。

我的安全哲學(xué)就是“假定被攻擊”（Assume Breach），這是一個(gè)逆向的安全思維模式。

孫子兵法有云：“知彼知己，百戰(zhàn)不殆”。在了解自身企業(yè)組織的相關(guān)IT/OT環(huán)境和業(yè)務(wù)系統(tǒng)的運(yùn)作方式的基礎(chǔ)上，我們需要換位從攻擊者的角度來(lái)進(jìn)行思考，才能有的放矢，并更有效高效的實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全目標(biāo)。

“假定被攻擊”是零信任的關(guān)鍵原則，它可以推動(dòng)零信任的具體可行落地，幫助企業(yè)組織防范攻擊行為、限制攻擊的影響并從攻擊事件中快速恢復(fù)?！凹俣ū还簟辈皇恰坝龅嚼щy就放棄吧”的悲觀主義，也不是直接一開(kāi)始就假定企業(yè)組織的所有安全控制措施都失效，而是分層次、分階段假定企業(yè)組織的某種、部分甚至全部安全控制措施被破壞或失效，入侵者成功的實(shí)施了特定、部分或重大威脅攻擊行為并造成了不同程度的影響。

在這種不利局面之下，我們應(yīng)當(dāng)如何有效且高效的應(yīng)對(duì)？“假定被攻擊”這個(gè)安全哲學(xué)是針對(duì)傳統(tǒng)安全思維（將企業(yè)資產(chǎn)保護(hù)在一個(gè)安全的網(wǎng)絡(luò)邊界中）的重大轉(zhuǎn)變，如一開(kāi)始所提到的“墨菲定律”，以及我們沒(méi)有誰(shuí)可以保證“絕對(duì)安全”，我們需要通過(guò)“假定被攻擊”的原則，推動(dòng)企業(yè)組織構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性。

作為全球領(lǐng)先的云計(jì)算廠商，我們與世界各地的企業(yè)組織和政府機(jī)構(gòu)合作的實(shí)踐經(jīng)驗(yàn)表明，云計(jì)算是數(shù)字連續(xù)性和網(wǎng)絡(luò)安全韌性的重要支撐力量。

由于云計(jì)算全球區(qū)域可用、跨地理位置數(shù)據(jù)復(fù)制、按需使用、快速擴(kuò)展、持續(xù)安全進(jìn)化和成本有效性，云能夠大幅提高企業(yè)組織的運(yùn)營(yíng)效率和響應(yīng)威脅的敏捷性。

同樣它還實(shí)現(xiàn)了全球跨地域的高可用性，提供從企業(yè)On-premises到遠(yuǎn)程數(shù)據(jù)中心的無(wú)縫切換和故障轉(zhuǎn)移的機(jī)會(huì)，免受局部地域的自然災(zāi)害或人為威脅。

如前面所介紹的，企業(yè)組織需要構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性戰(zhàn)略。對(duì)于所有企業(yè)組織而言，網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性始于戰(zhàn)略決策，這些決策標(biāo)志著企業(yè)組織從IT系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢(shì)到數(shù)據(jù)分級(jí)分類(lèi)等一系列領(lǐng)域的變化。

盡管云只是可以幫助企業(yè)組織實(shí)現(xiàn)網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性的技術(shù)之一，但它的使用需要一種全面的跨企業(yè)組織的體系和方法，以識(shí)別關(guān)鍵業(yè)務(wù)系統(tǒng)及其相關(guān)威脅，根據(jù)需要將角色和資源分配到特定任務(wù)和特定人員，并最終達(dá)到企業(yè)組織所需的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性目標(biāo)。這絕不僅僅只是涉及到IT部門(mén)的人員，而是涉及到企業(yè)組織中人員、流程和技術(shù)的變革，也涉及到企業(yè)領(lǐng)導(dǎo)者、業(yè)務(wù)、IT、安全以及其他內(nèi)部、外部干系人之間的密切合作。

微軟在通過(guò)云計(jì)算提高企業(yè)組織的網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性方面，具有非常豐富的經(jīng)驗(yàn)，五年前即非常前瞻性的發(fā)布了一篇白皮書(shū)《Advancing Cyber Resilience with Cloud Computing》進(jìn)行相關(guān)介紹，目前來(lái)看仍不過(guò)時(shí)。

在這篇白皮書(shū)中，基于微軟與世界各地的企業(yè)組織和政府機(jī)構(gòu)合作的實(shí)踐經(jīng)驗(yàn)，系統(tǒng)性的介紹了網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性的最佳實(shí)踐，以及利用云計(jì)算來(lái)提高網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性的一系列建議。核心要點(diǎn)如下所述。

構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性戰(zhàn)略。以識(shí)別關(guān)鍵業(yè)務(wù)系統(tǒng)及其相關(guān)威脅，根據(jù)需要將角色和資源分配到特定任務(wù)和特定人員。

確定哪些數(shù)據(jù)和服務(wù)將遷移到云。在此過(guò)程中確保滿足數(shù)據(jù)安全、隱私合規(guī)等監(jiān)管要求，以及數(shù)據(jù)存儲(chǔ)性能、容量等技術(shù)要求。

明確云遷移的相關(guān)準(zhǔn)備事項(xiàng)和優(yōu)先級(jí)。例如網(wǎng)絡(luò)傳輸帶寬（無(wú)論是Internet還是專(zhuān)線），這是成功使用云服務(wù)的前提。

試點(diǎn)項(xiàng)目實(shí)施。按照既定計(jì)劃和要求對(duì)相關(guān)云服務(wù)的使用進(jìn)行試點(diǎn)和測(cè)試，確保后續(xù)項(xiàng)目的可行性。

優(yōu)化和調(diào)整企業(yè)的相關(guān)戰(zhàn)略和制度。例如IT戰(zhàn)略和企業(yè)采購(gòu)規(guī)范，通過(guò)云計(jì)算來(lái)實(shí)現(xiàn)現(xiàn)代化的網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性。

構(gòu)建將數(shù)據(jù)和服務(wù)遷移到云的技術(shù)流程。鼓勵(lì)所有相關(guān)干系人之間的合作與透明度，以維持信任并實(shí)現(xiàn)目標(biāo)。

通過(guò)已驗(yàn)證的最佳實(shí)踐來(lái)證明現(xiàn)有安全實(shí)踐的有效性。在此基礎(chǔ)上持續(xù)參考和利用經(jīng)過(guò)驗(yàn)證的相關(guān)國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，并通過(guò)云安全的持續(xù)進(jìn)化實(shí)現(xiàn)安全防護(hù)能力的持續(xù)進(jìn)化。

定期評(píng)估現(xiàn)有的政策和流程。確保針對(duì)云供應(yīng)商審計(jì)的靈活性，同時(shí)根據(jù)未來(lái)的實(shí)際需求考慮并調(diào)整相關(guān)的安全評(píng)估模型。

云是網(wǎng)絡(luò)安全的未來(lái)，也是數(shù)字連續(xù)性的未來(lái)。雖然通過(guò)云計(jì)算提高網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性對(duì)某些企業(yè)組織而言最初可能很困難，這需要改變企業(yè)戰(zhàn)略、技術(shù)能力和策略框架等等，但這是未來(lái)的發(fā)展趨勢(shì)，對(duì)企業(yè)組織也將產(chǎn)生強(qiáng)大的積極成果，并最終賦能企業(yè)組織的數(shù)字化轉(zhuǎn)型。??