与埃森哲合作网络弹性指数：提高组织网络弹性W H I T E P A P E R朱L Y2 0 网络弹性指数：提高组织网络弹性2封面：@gonin/Gettyimages内容3前言4执行摘要5介绍71 建立网络弹性框架182 网络弹性指数的前进道路19结论20附录201 CRI 方法242 关键术语表253 致谢27贡献者28尾注免责声明本文件由世界经济论坛发布，作为对项目、洞察领域或互动的贡献。本文所表达的调查结果、解释和结论是世界经济论坛推动和认可的协作过程的结果，但其结果不一定代表世界经济论坛或其成员、合作伙伴或其他利益相关者的全部观点。© 2022 世界经济论坛。版权所有。不得以任何形式或通过任何方式（包括影印和录制）或通过任何信息存储和检索系统复制或传播本出版物的任何部分。 网络弹性指数：提高组织网络弹性3前言Jeremy Jurgens 世界经济论坛董事总经理吉姆·吉恩埃森哲安全高级董事总经理世界经济论坛致力于提升整个数字生态系统的网络弹性和准备工作。发表于 2022 年 1 月，我们的首份《全球网络安全展望》报告指出，企业高管和网络领导者对其组织的网络弹性态势存在广泛的认知差距。虽然 92% 的受访企业高管认为网络弹性已融入企业风险管理战略，但只有 55% 的网络领导者同意。了解网络风险对组织的影响是加强网络弹性的一个复杂但关键的因素。需要有框架和工具来帮助网络领导者了解当前的网络风险及其影响并将其传达给高级领导层。与网络安全中心的多元化社区合作开发在埃森哲的支持下，网络弹性指数旨在作为参考框架提供跨行业、同行和供应链的网络弹性实践的可见性和透明度。董事会和领导层应该清楚网络弹性及其好处。因此，转化网络弹性状态对业务运营、战略和连续性的影响非常重要。我们希望网络弹性指数能够帮助网络领导者更好地与组织内的高级领导层互动，将网络弹性定位为战略要务。 网络弹性指数：提高组织网络弹性4执行摘要 网络弹性是一种能力一个超越任何压力、失败、危险和对组织及其生态系统内的网络资源的威胁，以便组织可以自信地追求其使命，实现其文化并保持其所需的运营方式。 使网络弹性成为一部分的奖励我们的精神是承担健康风险、创新的更大机会并负责任地捕捉未来数字经济的价值。世界经济论坛网络安全中心– 与网络弹性指数工作组合作并与埃森哲合作 – 开发了全球网络弹性指数 (CRI)。 CRI 为公共和私营部门的网络领导者提供了一个共同的最佳实践框架，以实现真正的网络弹性、衡量组织绩效的机制以及传达价值的清晰语言。 CRI 还是一种通用、公正的媒介，全球各个部门的组织都可以通过它评估并与其生态系统合作伙伴互动，以创建一个更具网络弹性的数字网络。世界经济论坛预计，作为第四次工业革命一部分的数字化转型将创造约 100 万亿美元到 2025 年为世界经济带来额外价值。1全球大流行只是在破坏并重新设计了我们的数字生活结构时才加速了这场革命。它还提供了一个谨慎的暂停，以重新关注负责任发展的基本原则和未来数字环境的使用。鉴于这个机会的力量，不可持续、排他性或不可信的数字创作——无论多么有价值——都是不可接受的。现在是重新设计我们为未来创造系统性网络弹性的方法的时候了。要想取得成功，必须设计、构建和管理网络弹性，然后正确地打好基础。基本的网络弹性不仅必须是技术系统的组成部分，还必须是团队、组织文化和日常工作方式的组成部分。这些话题有长期以来，在网络项目中的代表性不足并与其他原则混为一谈。在组织内部及其生态系统中，网络弹性必须是一种普遍的思维方式，并得到整体方法的支持。网络弹性的方法还必须摆脱仅仅维持现状所造成的恐惧驱动的限制，而这些限制往往随后会试图返回当可预见的中断发生时，会出现明显的脆弱状态。使网络弹性成为精神的一部分的回报是更大的机会来承担健康风险、创新和负责任地捕捉明天数字经济的价值。然而今天，数字和当前事件表明需要做很多工作才能关闭行业生态系统之间和各个组织内部在网络弹性方面的能力和绩效差距。世界经济论坛的《2022 年全球网络安全展望》报告发现，只有 19% 的网络领导者确信他们的组织具有网络弹性，这表明绝大多数人知道他们的组织缺乏与风险相称的网络弹性。2此外，该报告发现，58% 的受访者认为他们的合作伙伴和供应商的弹性不如他们自己的组织，88% 的受访者担心小型企业的网络弹性和生态系统中的中型企业。在另一份报告中，81% 的受访者表示“领先于攻击者是一场持久战，成本不可持续”，而 2020 年这一比例为 69%。3这表明，随着组织、生态系统、供应链和关系变得更加相互联系和相互依存，变革步伐加快，不仅弹性滞后，而且缺乏一种有凝聚力的方法来构建弹性。越来越清楚的是，尽管存在这种相互联系，但不存在超越破坏性网络事件的联盟。当今生态系统中网络弹性有限的四个主要原因是许多组织：–对网络弹性有狭隘的看法，主要关注安全响应和恢复–对于完整的网络弹性能力应包括哪些内容缺乏共识–发现准确衡量组织的网络弹性绩效或将其真正价值传达给业务领导层具有挑战性–努力在其组织内部和生态系统合作伙伴之间保持透明，以了解其网络弹性态势中的缺陷以及他们在破坏性事件中的经历。CRI 解决了这些限制。此外，CRI 还为世界网络领导者提供了信息——他们既是数字经济的推动者，也是受益者–一个蓝图，以更好地为每个人建立一个更可持续、更具包容性和更有弹性的未来数字环境。 介绍本白皮书详细介绍了两个组成部分，即网络弹性框架 (CRF) 和网络弹性指数 (CRI)，它们指导组织的网络弹性之旅。 CRF（以及随后的 CRI）是作为一种前瞻性解决方案开发的，旨在促进跨数字生态系统的更有效实践。 CRF 提供了一个清晰且可塑的基础，组织可以从中清晰地定义和理解拥有强大的组织网络弹性意味着什么。这将增强各行业对网络弹性最佳实践的认识，并为那些设计或加强其网络弹性方法的人提供指导。 CRF 和 CRI 共同提供了一个独特的网络弹性蓝图，以提高透明度和可见性，并在数字生态系统和不同行业中实现全球信任。建立网络弹性框架和指数CRF 是在组织中建立整体网络弹性的最佳实践指南。它由六个关键原则、相关实践及其子实践组成，网络领导者可以通过这些原则明确定义健康的组织网络弹性。它作为一个标准的、与行业无关的框架，具有明确的结果，可以作为所有组织的基线，无论其地理位置或规模如何。随后，CRI 是一种工具，可帮助组织使用针对最佳实践的绩效衡量标准，定量衡量其网络弹性如 CRF 中所述。 CRI 为参与组织提供有关组织网络弹性成熟度的见解，提高每个行业内的总体态势感知，并为公共和私营部门的利益相关者提供见解。 CRI 还确定了内部趋势跨行业，使组织能够根据自己的行业以及跨行业来衡量他们的网络弹性整个生态系统。建立网络弹性基准是帮助组织在不断变化的环境中评估和调整其网络弹性的关键。CRF 和 CRI 共同为一个内部网络弹性的当前状态带来了透明度。组织，以及随后与更广泛的生态系统的关系。 CRF 是 CRI 的基础。使用 CRF 的原则和实践，CRI 由基于每个原则、实践和实践的加权指标对组织的网络弹性的测量组成。子实践，这些子实践共同计算以产生组织在个人层面的评级、按部门和行业的评级以及按能力的综合评级（图 1）。当匿名并结合在一起时，按组织级别的能力衡量网络弹性绩效进一步揭示了行业内部和跨行业的趋势。数字 1网络弹性框架和网络弹性指数如何相互关联 练习（Y2)个人组织 CRI 评级按能力汇总评级原则 ( Xn) 练习（Yn)按部门和行业划分的评级趋势网络弹性框架网络弹性指数资料来源：世界经济论坛和埃森哲网络弹性指数：提高组织网络弹性 5练习（Y1)测量子实践（Zn)原则测量子实践（Z1)原则 ( X1) 方法要创建一个全球值得信赖的战略性网络弹性洞察力来源，需要采用高度协作和以创新为主导的方法，组建一个由各个行业、学术界、民间社会和国际组织的网络领导者和专家组成的社区。通过这种方法（图 2），举办了多个研讨会，分发了问卷，并与网络弹性指数工作组成员进行了一对一的访谈。国际化对公认的网络安全和网络弹性框架进行了评估，以了解全面实施所需的常见做法和要素网络弹性特定框架（参见图 5）。 CRF 的目标是补充这些现有框架，而不是重新发明它们。社区验证了 CRF 的原则和实践，考虑了数据收集策略，并最终达成了 CRF 和 CRI 的当前迭代。图 2与社区一起创建网络弹性框架和网络弹性指数的过程社区研讨会现有框架和标准行业知识审查和迭代网络弹性框架资料来源：世界经济论坛和埃森哲网络弹性指数：提升组织网络弹性 6mnd伊格 下面：@kupicoo/Gettyimages1建立网络弹性框架网络弹性指数：提升组织网络弹性 7 网络弹性指数：推进组织网络弹力8CRF 是驱动 CRI 的基础和理论。 CRF 的原则、后续实践和子实践概述了健康的组织网络弹性。本节详细介绍了 CRF 的全部内容。网络弹性框架原则图 3每个 CRF 原则都伴随着一组实践和子实践，以进一步实现网络弹性框架网络领导者开发和评估他们的网络弹性（图 3）。促进具有网络弹性意识的领导力 通过领导力推动文化通过问责制和透明度赢得信任倡导员工行为 提供持续培训确定风险背景、评估和优先级 验证风险整合推动基于风险的决策通过设计提高弹性 跨职能优化 假设资源受损为未来而创新网络弹性框架利用安全框架和行业标准专注于共同的关键资产和核心业务减少曝光衡量成熟度和绩效推动持续改进 整合响应和恢复通过问责制和透明度赢得信任促进生态系统范围内的协作 提高生态系统范围内的网络弹性能力建立网络弹性治理 建立董事会对网络弹性的监督任命一名负责的官员资料来源：世界经济论坛和埃森哲mnd伊格 网络弹性指数：推进组织网络弹力9原则：定期评估和优先考虑网络风险网络弹性管理直接由风险驱动。实践子实践确定风险背景、评估和优先级：组织有责任了解其角色和生态系统内的相互依赖关系，报告自身以及生态系统上游和下游带来的系统性网络风险，并相应地管理其网络弹性工作。–该组织维护其主要生态系统和供应链的地图相互依赖关系，包括价值链分析、用例/场景和相关的系统影响评估。–该组织至少每年都会对外报告其对生态系统中网络弹性相互依赖性及其相关管理工作的分析状态。验证风险整合：组织的业务风险承受能力、网络风险价值和网络暴露被整合到整体业务战略、企业范围的风险管理和相关的治理结构中，然后推动预算和资源分配。–至少每年一次，当发生重大变化时，组织对其风险进行量化评估，包括与其风险承受能力相比的网络风险价值和网络风险。–该组织至少每年一次将其网络风险评估结果正式反馈到其预算和资源配置决策中，并在事件导致网络风险计算发生变化时根据需要将适当的资源分配给最高优先级的网络弹性领域。推动基于风险的决策：负责管理组织网络弹性的人员获得授权，并有明确的渠道与决策者沟通可能超出组织容忍阈值的情况。管理层负责相应地做出基于风险的决策。–所有员工都有公认的报告机制和明确的上报渠道，以便管理层及时报告可能对组织的网络弹性具有高风险的情况。–管理层对来自事件和重大违规的显着网络弹性决策或桌面演习进行事后审查，以确保它们与基于风险的复原力原则和标准以及情境。进行更正以改进未来的决策。 网络弹性指数：推进组织网络弹力10原则：建立和维护核心安全基础面对意外攻击，核心组织任务功能和支持系统是安全的。实践子实践利用安全框架和行业标准：组织使用公认的安全框架、行业标准和合规性法规，并每年对其进行客观衡量。–每年，组织都会根据公认的国家或国际安全框架（例如美国国家标准与技术研究院 [NIST] 网络安全框架、国际标准化组织 [ISO] 27001 关于如何管理信息安全、NIST 特别出版物 800-53 关于安全和隐私控制、英国网络评估框架等）。–每年，该组织都会根据其所遵守的所有安全、弹性和隐私行业监管标准进行客观衡量（例如，《健康保险可移植性和责任法案》、纽约金融服务部网络安全监管、网络安全能力成熟度模型 [C2M2]、北美电力可靠性公司关键基础设施保护等）。专注于常