Skip to main content

落实弹性原则

学习目标 

完成本单元后,您将能够:

  • 描述如何设计整合策略,以采用新的网络政策和原则。
  • 解释如何获得支持,建立同盟,以将网络弹性放在首位。
  • 列出行动,证明网络弹性是组织的宝贵商机。
  • 确定如何制定计划和组建团队,以有效采用网络弹性原则。
  • 描述如何推广网络弹性原则,以及在整个组织中跟踪和扩展网络弹性。

落实原则

要落实世界经济论坛 (WEF) 针对石油和天然气 (OG) 行业的网络弹性原则,充分实现其预期效益,网络弹性不能是事后的想法,而应纳入组织文化和企业规范的各个方面。为了改变企业根深蒂固的思维形式,管理者可以采取渐进的方法,在 OG 组织内引入网络弹性最佳实践。以下是此方法的步骤:

  • 设计整合策略。
  • 获得支持,建立同盟。
  • 举例说明。
  • 制定计划,组建团队。
  • 进行推广。
  • 跟踪和扩展。

Sydney 是一家公共石油和天然气公司的首席信息安全官 (CISO)。我们来了解一下她是如何落实网络弹性原则的。 

Sydney 站在石油和天然气公司前面。

设计整合策略

Sydney 知道,制定能够有效整合和促进采用新的网络政策和原则的策略是多么的重要。她首先围绕组织内的四个关键支柱定义交付方法:风险态势、内部文化、组织模式和业务战略。她评估组织的内部成熟度和风险态势,以准确确定网络行动的优先级。

Sydney 还通过了解网络安全如何支持和实现每个业务部门的核心能力,将网络弹性原则与公司的战略、愿景和使命相协调和整合。她了解组织运营模式和架构,验证快速成功采用策略需要哪些关键利益相关的帮助。Sydney 选择了一种与组织文化紧密结合的交付模式策略,以确保有效采纳和落实网络弹性原则。

获得支持,建立同盟

接下来,为了获得内部中层管理者和高层领导者的支持,Sydney 展示了其业务部门的网络风险,同时利用董事会的授权将网络弹性放在首位。通过说明网络弹性原则在特殊情况下的价值,她概述了让董事会赢得关键利益相关者认可所需的具体期望和需求。她通过向董事会成员说明并证明网络弹性的重要性,获得了高层领导的支持。

Sydney 还确定了组织内多个利益相关者中的关键支持者,他们对网络弹性原则的实施至关重要(例如,组织的风险官和审计团队)。在制定战略计划时,她通过说明与业务的相关性和益处,获得了关键业务主管的认可。她还为试点项目或灯塔项目提供资源和资金支持,提供专门的网络安全基金,将运营预算分配给具体的网络弹性措施。

Sydney 还将网络弹性原则整合到现有管理流程中,以实现无缝和更快速的采用(例如,通过利用其组织的安全文化和其他成熟的规则)。

举例说明

接下来,为了让高层领导继续支持和参与,Sydney 将网络弹性阐述为组织的宝贵商机。她将新的网络策略联系到公司的愿景、使命和战略目标。通过说明组织和业务部门的风险来传达落实策略的复杂性和紧迫性。

Sydney 还与已确定的内部盟友进行协调,确保共同且一致地向董事会阐述和报告提案。她向董事会重申了网络弹性的好处,通过实际例子量化和指出组织的风险和回报,展示了商业价值。她还通过澄清绩效衡量点和及时的关键绩效指标,通过定义定期报告(从每月到每半年)制定了明确的目标。

Sydney 通过重申网络弹性原则的相关性,向董事会强调了长期网络弹性的价值和益处。 

制定计划,组建团队

接下来,为了有效采纳和落实网络弹性原则,Sydney 制定了一个路线图,其中包含明确的活动、里程碑和实用的关键绩效指标,以及支持未来变化的机制。她根据组织的复杂性和文化以及董事会成员的目标,选择了一个跨职能团队来管理落实路线图。通过设置关键的可交付成果和衡量点,以及定义明确的报告和指标沟通计划,调整并验证计划(如果需要)。

Sydney 还通过考虑内部变更管理、业务流程工程和交付方法(例如,利用组织的敏捷方法和年度业务规划)来定义交付模型。她通过应用个人目标并在每个角色中嵌入网络安全责任,验证团队是否理解原则的价值以及是否支持路线图。

进行推广

接下来,Sydney 开始推出关键的网络弹性和风险管理原则,通过遵循既定的整合策略来塑造其组织的网络安全文化。她在目标运营模型中引入、落实并嵌入网络弹性原则。利用试点项目、灯塔项目和现有项目,将网络弹性项目整合到新的发展中。

Sydney 还为包括董事会成员在内的广泛员工量身定制培训,以全面了解固有的网络风险,建立网络风险意识。

跟踪和扩展

最后,Sydney 通过即时反馈回路实现持续跟踪,同时提供关键绩效指标,进行常规绩效审查,以在整个组织中扩展网络弹性。她能够就当前和未来网络弹性项目的价值以及组织网络安全目标的实现与关键利益相关者进行持续沟通。她持续向董事会报告和反馈,回顾最初的目标,提供简单的衡量标准,汇报进度和总体价值。

Sydney 还跟踪主要指标(例如,项目预算和生产能力),在确定的障碍对落实产生负面影响之前消除这些障碍。她跟踪和审查定义的绩效指标,需要时对其进行调整,以支持网络安全扩展。

知识检查

准备好检验您所学内容了吗?以下知识检查不打分——仅是一个简单的自我检测方式。开始时,将左列中的说明拖到右侧匹配字词旁边。完成所有匹配项目后,单击 Submit(提交)查看成绩。要重新开始,请单击 Reset(重新设置)

做得好!

总结

在本模块中,您了解了评估网络风险和增强整个 OG 行业的网络弹性的蓝图。您还学习了 OG 行业董事会如何落实 WEF 的网络弹性原则。做的不错!

如果有兴趣了解网络安全行业和相关技术,请前往网络安全学习中心,了解其他角色,听取安全从业人员的意见。

资源

PDF:WEF:石油和天然气行业的网络弹性

在 Salesforce 帮助中分享 Trailhead 反馈

我们很想听听您使用 Trailhead 的经验——您现在可以随时从 Salesforce 帮助网站访问新的反馈表单。

了解更多 继续分享反馈