將網(wǎng)絡(luò)安全集成到組織的目標(biāo)和風(fēng)險(xiǎn)中，如此重要有兩個(gè)原因。

首先，網(wǎng)絡(luò)安全會(huì)影響組織的各個(gè)方面。因此，為了正確管理網(wǎng)絡(luò)安全，必須被整合到組織風(fēng)險(xiǎn)管理和決策中。例如：

• 運(yùn)營風(fēng)險(xiǎn)可能會(huì)受到網(wǎng)絡(luò)安全的支持，因?yàn)橐蕾囉谟谑褂玫臄?shù)字服務(wù)（電子郵件服務(wù)、定制軟件等）的安全性。
• 一些法律風(fēng)險(xiǎn)將與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)聯(lián)系在一起（例如保護(hù)數(shù)據(jù)或合作伙伴關(guān)系的合同要求，以特定方式處理數(shù)據(jù)的監(jiān)管要求）。
• 財(cái)務(wù)風(fēng)險(xiǎn)受到網(wǎng)絡(luò)安全的影響（例如，通過網(wǎng)絡(luò)實(shí)施的欺詐造成的資金損失，以及服務(wù)因網(wǎng)絡(luò)攻擊而脫機(jī)時(shí)的收入損失）。
• 良好的網(wǎng)絡(luò)安全還將允許您在使用新技術(shù)進(jìn)行創(chuàng)新時(shí)承擔(dān)一些風(fēng)險(xiǎn)。過于謹(jǐn)慎的風(fēng)險(xiǎn)處理方法可能導(dǎo)致錯(cuò)失商機(jī)或額外的（和不必要的）成本。

其次，網(wǎng)絡(luò)安全需要整合才能成功。良好的網(wǎng)絡(luò)安全不僅僅是擁有良好的技術(shù)，而是人們與安全部門建立良好的關(guān)系，并在整個(gè)組織中建立正確的流程來管理它。

例如，為了防止攻擊者訪問敏感數(shù)據(jù)（同時(shí)確保只有具有當(dāng)前有效要求的人才能看到它），您將需要：

• 存儲(chǔ)數(shù)據(jù)的良好技術(shù)解決方案
• 對(duì)處理數(shù)據(jù)的員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)
• 圍繞管理員工流動(dòng)的流程，與訪問管理保持一致

在結(jié)構(gòu)中反映注意內(nèi)容：

網(wǎng)絡(luò)安全是整個(gè)領(lǐng)導(dǎo)層的責(zé)任，不要把網(wǎng)絡(luò)安全留給一個(gè)人。

網(wǎng)絡(luò)安全事件將影響整個(gè)組織的重要事件，不僅僅是IT部門的重要事件。例如，可能會(huì)影響在線銷售，影響合同關(guān)系或?qū)е路苫虮O(jiān)管行動(dòng)。領(lǐng)導(dǎo)層內(nèi)部應(yīng)有足夠的專業(yè)知識(shí)，以便為網(wǎng)絡(luò)安全戰(zhàn)略提供指導(dǎo)，并將決策追究責(zé)任。然而，領(lǐng)導(dǎo)層的每個(gè)成員都需要足夠的專業(yè)知識(shí)來了解它如何影響他們的重點(diǎn)領(lǐng)域，并了解對(duì)整個(gè)組織的廣泛影響。

英國境外的網(wǎng)絡(luò)安全：在嘗試了解網(wǎng)絡(luò)安全對(duì)組織的影響和風(fēng)險(xiǎn)時(shí)，一個(gè)重要的考慮因素是組織在哪個(gè)國家/地區(qū)運(yùn)營。對(duì)于那些在英國境外運(yùn)營或在英國境外擁有合作伙伴的組織，CPNI智能業(yè)務(wù)指南強(qiáng)調(diào)了這可能如何影響安全考慮因素，包括網(wǎng)絡(luò)安全。本工具包的“與供應(yīng)商和合作伙伴協(xié)作”部分提供了有關(guān)如何緩解與這些關(guān)系相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的指導(dǎo)。

與專家互動(dòng)

考慮報(bào)告結(jié)構(gòu)是否使領(lǐng)導(dǎo)層能夠參與其所需的網(wǎng)絡(luò)安全。如果CISO向領(lǐng)導(dǎo)層報(bào)告的中介機(jī)構(gòu)只關(guān)注一個(gè)方面，無論是財(cái)務(wù)還是法律或技術(shù)-這可能會(huì)阻礙領(lǐng)導(dǎo)層看到網(wǎng)絡(luò)安全更廣泛影響的能力。現(xiàn)在在大多數(shù)組織中，CISO直接向領(lǐng)導(dǎo)層報(bào)告。

改善組織中網(wǎng)絡(luò)安全的一個(gè)好起點(diǎn)是考慮專家與領(lǐng)導(dǎo)層成員之間的溝通。獲得正確的結(jié)構(gòu)可能會(huì)有所幫助，但我們也經(jīng)?？吹诫p方都不愿意參與，因?yàn)椋?/p>

• 技術(shù)人員認(rèn)為領(lǐng)導(dǎo)層不會(huì)理解他們（屬于臆測）
• 領(lǐng)導(dǎo)層認(rèn)為技術(shù)人員無法在組織戰(zhàn)略目標(biāo)的背景下解釋問題（同樣屬于臆測）

改善這兩個(gè)群體之間的溝通需要雙方的努力：

• 領(lǐng)導(dǎo)層需要對(duì)網(wǎng)絡(luò)安全有足夠深入的了解，才能了解網(wǎng)絡(luò)安全如何支持其整體組織目標(biāo)
• 技術(shù)人員需要認(rèn)識(shí)到網(wǎng)絡(luò)風(fēng)險(xiǎn)的溝通是他們工作的核心組成部分，并確保他們了解自己在促進(jìn)組織目標(biāo)方面的作用。?